Hvornår trådte NIS2 i kraft i Danmark?

NIS2 trådte i kraft i Danmark i november 2024 via cybersikkerhedsloven. Kravene gælder fra ikrafttrædelsen.

Hvad sker der hvis min organisation er NIS2-pligtig men ikke overholder kravene?

Vigtige enheder kan bødes op til 7 mio. EUR eller 1,4% af global omsætning. Væsentlige enheder op til 10 mio. EUR eller 2%. Ledelsen kan holdes personligt ansvarlig. Tilsynsmyndighederne kan foretage uanmeldte inspektioner.

NIS2 · Scope-vejledning

Er min virksomhed NIS2-pligtig?

Q: Er min virksomhed NIS2-pligtig?

Din virksomhed er NIS2-pligtig hvis den opererer i en af de 18 sektorer dækket af direktivet og opfylder størrelseskriterierne (50+ medarbejdere ELLER 10 mio. EUR+ omsætning). Visse kritiske aktører er altid i scope uanset størrelse. Kommuner og offentlige forvaltninger er altid encompassed.

Q: Er kommuner og offentlige institutioner NIS2-pligtige?

Ja. Kommuner og offentlige forvaltningsorganer er eksplicit nævnt i NIS2 og er klassificeret som vigtige enheder i Danmark. De er underlagt alle krav i Artikel 21 og 23 uanset størrelse.

NIS2 (implementeret i Danmark via cybersikkerhedsloven i november 2024) gælder for tusindvis af danske virksomheder og offentlige institutioner på tværs af 18 sektorer. Her kan du hurtigt afklare om din organisation er i scope — og hvad du i så fald skal have styr på.

To spørgsmål der afklarer det meste

Opererer din organisation i en af de 18 NIS2-sektorer?

Se sektortabellen nedenfor. Kommuner og offentlige institutioner er altid i scope.

Opfylder din organisation størrelseskriterierne?

50+ medarbejdere ELLER 10 mio. EUR+ omsætning — ét af kriterierne er nok. Visse kritiske aktører er altid i scope uanset størrelse.

Svarer du ja til begge → du er sandsynligvis NIS2-pligtig.

Bemærk: Den endelige afgørelse beror på en konkret vurdering. Kontakt din juridiske rådgiver ved tvivl.

NIS2-sektorer i Danmark

NIS2 opdeler sektorer i væsentlige enheder (strengere tilsyn, højere bøder) og vigtige enheder (lettere tilsyn). Begge er underlagt Artikel 21-kravene.

Væsentlige enheder

⚡ Energi

El, fjernvarme, olie, gas, brint

🚢 Transport

Luftfart, jernbane, skibsfart, vejtransport

🏦 Banksektor

Kreditinstitutter, SIFI-banker

📈 Finansmarkedsinfrastruktur

Handelspladser, centrale modparter

🏥 Sundhedssektoren

Hospitaler, regionerne, kritiske medicinproducenter

💧 Vand og spildevand

Drikkevandsforsyning, spildevandsbehandling

🌐 Digital infrastruktur

IXP'er, DNS, TLD-registre, datacentre, CDN, cloud

🖥️ IT-tjenester (B2B)

Administrerede tjenester (MSP), sikkerhedstjenester (MSSP)

🏛️ Offentlig forvaltning

Statslige myndigheder (kommuner under vigtige enheder)

🚀 Rumfart

Operatører af jordbaseret infrastruktur

Vigtige enheder

📮 Post og kurertjenester

PostNord og lignende

♻️ Affaldshåndtering

Forbrænding, genanvendelse, storskald

🧪 Kemikalier

Produktion og distribution af farlige kemikalier

🍎 Fødevarer

Produktion, forarbejdning og distribution i stor skala

🏭 Fremstilling

Medicinsk udstyr, elektronik, maskiner, køretøjer

🔬 Forskning

Universiteter og forskningsinstitutioner

💻 Digitale udbydere

Online markedspladser, søgemaskiner, sociale medier

🏛️ Kommuner og regioner

Alle 98 kommuner og 5 regioner er i scope

Du er i scope — hvad nu?

NIS2 Artikel 21 specificerer otte sikkerhedskategorier du skal implementere. For IT-afdelinger starter det typisk her:

Lav en aktivfortegnelse

Start med at kortlægge alle TLS-certifikater og informationssystemer i scope. Det er grundlaget for alt andet.

Lav en risikovurdering

Vurdér risikoen for certifikatudløb, svag TLS og kompromitterede nøgler. Dokumentér og opdatér løbende.

Opsæt proaktiv overvågning

Automatisk alarm ved udløb, TLS-fejl og konfigurationsforringelse. Du skal kunne reagere inden for 24 timer ved en hændelse.

Sørg for revisionsklar dokumentation

Rapporter der kan vise tilsynsmyndigheder og ledelsen at I har kontrol — og at I har haft det over tid, ikke kun i dag.

Brug vores NIS2-tjekliste med 20 punkter til at se præcist, hvad du skal have på plads — og hvad CertControl dækker automatisk.

Spørgsmål & svar

Ofte stillede spørgsmål om NIS2-scope

Er kommuner og offentlige institutioner NIS2-pligtige?

Ja. Alle 98 danske kommuner og 5 regioner er klassificeret som vigtige enheder under cybersikkerhedsloven. De er underlagt kravene i Artikel 21 og 23 uanset størrelse. Se vores guide om kommuner og NIS2.

Gælder NIS2 for leverandører til NIS2-pligtige organisationer?

Ja indirekte. NIS2 Artikel 21(2)(d) og Artikel 22 kræver at organisationer adresserer sikkerhed i forsyningskæden. Det betyder i praksis at NIS2-pligtige organisationer vil stille sikkerhedskrav til leverandører — herunder krav til certifikatstyring og TLS-konfiguration.

Hvad er forskellen på væsentlige og vigtige enheder?

Begge kategorier er underlagt de samme krav i Artikel 21. Væsentlige enheder er underlagt strengere proaktivt tilsyn og højere bøderamme (op til 10 mio. EUR / 2% af omsætning mod 7 mio. EUR / 1,4% for vigtige enheder).

Hvem fører tilsyn med NIS2 i Danmark?

Tilsyn i Danmark varetages primært af Digitaliseringsstyrelsen og Center for Cybersikkerhed (CFCS). For den finansielle sektor er Finanstilsynet sektortilsyn. Sektormyndigheder kan afvige per branche.

Er du i scope?

Start med at kortlægge dine certifikater

Det første NIS2-tilsynet vil spørge om er din aktivfortegnelse. CertControl bygger den automatisk på 5 minutter.

Start gratis prøve Læs om NIS2-dækning

14 dages gratis prøveperiode · Hostet i EU · Dedikeret instans