← Blog
20. april 2026 · 8 min · Nordic Defence

NIS2 i praksis: Den komplette 2026-guide for nordiske virksomheder

NIS2 er nu lov i hele EØS. Vi skærer gennem juristsproget og forklarer, hvem der er omfattet, de ti kernekrav, tidsfristerne og seks konkrete trin til at blive compliance-klar.

NIS2-direktivet (EU 2022/2555) er den mest omfattende cybersikkerhedsregulering, Norden nogensinde har skullet forholde sig til. I Danmark er det implementeret gennem NIS2-loven. Norge, Sverige, Finland og Island har tilsvarende nationale love. For tusindvis af virksomheder, der aldrig har set sig selv som kritisk infrastruktur, betyder det en helt ny virkelighed.

Hvis du er i tvivl om, om I er omfattet, eller hvad I faktisk skal gøre — du er ikke alene. Denne guide skærer gennem bureaukratiet og giver dig et klart billede.

Hvad er NIS2 — og hvorfor nu?

NIS2 erstatter det oprindelige NIS-direktiv fra 2016. Begrundelsen er enkel: NIS1 var for snævert, uensartet implementeret, og cybertruslen er eksploderet. Sammenlignet med forgængeren dækker NIS2 flere sektorer, flere virksomheder, stiller strengere krav og giver markante bøder ved brud.

Nyt for ledelsesgrupper: NIS2 indfører personligt ansvar. Bestyrelse og administrerende direktør kan holdes ansvarlige, hvis virksomheden mangler tilstrækkelig cybersikkerhed.

Er vi omfattet? Størrelse og sektor

NIS2 har to niveauer: væsentlige og vigtige enheder. Begge har i store træk samme krav, men forskellig grad af tilsyn.

Væsentlige enheder (strengest tilsyn)

  • Energi (el, olie, gas, fjernvarme, brint)
  • Transport (luft, jernbane, søfart, vej)
  • Bank og finansmarkedsinfrastruktur
  • Sundhed (hospitaler, lægemiddelproducenter, laboratorier)
  • Drikkevand og spildevand
  • Digital infrastruktur (cloud, DNS, IXP, datacentre)
  • Offentlig forvaltning (centrale organer)
  • Rumfart

Vigtige enheder

  • Post og kurer
  • Affaldshåndtering
  • Kemikalier
  • Fødevareproduktion og -distribution
  • Produktion (medicinsk udstyr, computerudstyr, køretøjer, maskiner)
  • Digitale udbydere (markedspladser, søgemaskiner, sociale medier)
  • Forskningsinstitutioner

De ti kernekrav

NIS2 artikel 21 oplister ti minimumskrav, enhver omfattet enhed skal opfylde. Det er ikke afkrydsninger — tilsynsmyndigheden forventer dokumenteret implementering.

  1. Risikoanalyse og informationssikkerhedspolitik — formel, opdateret, bestyrelsesgodkendt.
  2. Hændelseshåndtering — definerede processer, øvet.
  3. Forretningskontinuitet og kriseberedskab — inkl. backup og disaster recovery.
  4. Leverandørkædesikkerhed — kortlæg og kontraktsikr tredjeparter.
  5. Sikkerhed i indkøb, udvikling og vedligeholdelse — sikker SDLC, patching.
  6. Politikker til vurdering af effekten af sikkerhedsforanstaltninger.
  7. Grundlæggende cyberhygiejne og træning — phishing-bevidsthed, adgangskodedisciplin.
  8. Kryptografi og kryptering — hvor og hvordan.
  9. Personalesikkerhed, adgangskontrol, aktivstyring.
  10. Multifaktor-autentificering og sikret kommunikation.

Rapporteringskrav der vil overraske jer

Rapporteringspligten er måske det strengeste element i NIS2. I samme sekund I opdager en 'væsentlig hændelse' — noget, der har eller kan få alvorlige operationelle konsekvenser — starter uret.

  1. Inden 24 timer: Tidlig varsling til tilsynsmyndigheden med det, I ved.
  2. Inden 72 timer: Opdateret vurdering inklusive angrebsvektor og indledende modforanstaltninger.
  3. Inden 1 måned: Fuld slutrapport med rodårsagsanalyse og lukkede tiltag.

Bøder, personligt ansvar og tilsyn

Væsentlige enheder kan idømmes bøder på op til 10 millioner euro eller 2 procent af global årsomsætning — det højeste tal. For vigtige enheder er loftet 7 millioner euro eller 1,4 procent.

Personligt ansvar er det nye. Bestyrelsesformænd og direktører kan midlertidigt bortvises fra ledelsesposter ved grov uagtsomhed. Cybersikkerhed er nu en bestyrelsessag — ikke en IT-sag.

Seks trin til compliance-beredskab

  1. Afklar status: Er vi omfattet? Væsentlig eller vigtig? Registrer virksomheden hos tilsynsmyndigheden, hvis det ikke allerede er gjort.
  2. Gap-analyse: Mål nuværende tilstand mod de ti krav. Vær ærlige — det er billigere at finde huller nu end efter et angreb.
  3. Risikobaseret prioritering: Prøv ikke at løse alt på én gang. Hvad er de mest sandsynlige angrebsveje? Hvad vil skade mest? Start dér.
  4. Byg hændelseshåndtering: Definér roller, lav kontaktliste, øv scenarier mindst to gange årligt. 24-timers-vinduet kræver, at I allerede ved, hvad I skal gøre.
  5. Lås leverandørkæden: Kortlæg kritiske tredjeparter. Kontraktsæt sikkerhedskrav. Bed om SOC 2-rapporter eller ISO 27001-certifikater.
  6. Dokumentér alt: Politikker, øvelser, hændelser, tiltag, beslutninger. Tilsynet vil se beviser — ikke intentioner.

Hvad koster det, realistisk?

For en mellemstor virksomhed (100–500 ansatte) uden moden sikkerhed ligger første års investering typisk mellem 50.000 og 200.000 euro. Det dækker gap-analyse, politikudvikling, tekniske tiltag (MFA, EDR, logning), træning og indledende etablering af hændelseshåndtering.

Løbende drift: 1–3 procent af IT-budgettet er en gængs tommelfingerregel for sikkerhedsarbejde efter etablering.

Sådan hjælper Nordic Defence

Vi har kørt NIS2-gapanalyser for nordiske virksomheder, siden direktivet blev vedtaget. Vores tilgang er pragmatisk: vi dokumenterer det, I har, identificerer det, der mangler, og prioriterer efter faktisk risiko — ikke efter, hvad der er nemmest at krydse af.

For virksomheder uden internt SOC tilbyder vi SOC-as-a-Service med 24/7-overvågning og hændelsesrespons inden for NIS2-fristerne. Det gør jer rapporteringsklare fra dag ét.