Cybersikkerhed

NIS2 i Danmark 2026: gennemførelse, krav og tilsyn

NIS2 i Danmark 2026: den nye cybersikkerhedslov, ikrafttræden 1. juli 2025, SAMSIK's tilsyn, hvem der er omfattet, krav og sanktioner. Praktisk guide.

Also available in:English·Deutsch·Español·Français·lv

NIS2 er gennemført i Danmark med lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (lov nr. 434 af 6. maj 2025), der trådte i kraft den 1. juli 2025 – mere end otte måneder efter EU’s frist den 17. oktober 2024. Loven gennemfører NIS2-direktivet (direktiv (EU) 2022/2555) og pålægger omkring 6.000 danske virksomheder krav om risikostyring, incidentrapportering, ledelsesansvar og kontrol med leverandørkæden. Tilsynet varetages af Styrelsen for Samfundssikkerhed (SAMSIK), der koordinerer på tværs af sektorer, mens sektormyndigheder fører tilsyn med deres områder. Omfattede virksomheder skulle selv registrere sig senest den 1. oktober 2025. Denne guide gennemgår, hvem der er omfattet, hvilke krav der gælder, og hvordan tilsynet er organiseret.

Hvornår trådte NIS2 i kraft i Danmark?

Danmark var sent ude. EU-fristen var den 17. oktober 2024, men den danske lov trådte først i kraft den 1. juli 2025. Forsinkelsen betød en periode med usikkerhed for omfattede virksomheder, men ændrer ikke på, at kravene nu gælder. En central frist var, at omfattede virksomheder selv skulle registrere sig hos den relevante myndighed senest den 1. oktober 2025 – en pligt, mange virksomheder overså.

Hvem er omfattet af NIS2 i Danmark?

Direktivet og den danske lov skelner mellem to kategorier:

  • Væsentlige entiteter – blandt andet energi, transport, bankvæsen, finansiel markedsinfrastruktur, sundhed, drikkevand, spildevand, digital infrastruktur og offentlig forvaltning.
  • Vigtige entiteter – blandt andet post- og kurertjenester, affaldshåndtering, fremstilling, fødevareproduktion og -distribution samt digitale udbydere.

Tærsklen er som udgangspunkt mellemstore virksomheder og opefter (mindst 50 ansatte eller en årsomsætning over 10 mio. euro), men visse sektorer er omfattet uanset størrelse. Forskellen mellem de to kategorier ligger primært i tilsynets intensitet og sanktionsniveauet, ikke i selve sikkerhedskravene, der er de samme.

Hvem fører tilsyn?

Tilsynet er delt mellem en koordinerende myndighed og en række sektormyndigheder:

Myndighed Ansvarsområde
SAMSIK (Styrelsen for Samfundssikkerhed) Overordnet ansvar og koordinering på tværs af sektorer
Digitaliseringsstyrelsen Den digitale sektor
Energistyrelsen / Energinet Energisektoren
Sundhedsdatastyrelsen Sundhedssektoren
Trafikstyrelsen Transportsektoren

Denne opdeling betyder, at en dansk virksomhed skal vide, hvilken sektormyndighed den hører under, og registrere sig det rigtige sted. Ministeriet for Samfundssikkerhed og Beredskab er ressortministerium. Den delte tilsynsmodel er en dansk særegenhed sammenlignet med lande, der har samlet NIS2-tilsynet i én cybersikkerhedsmyndighed, og den stiller krav om, at virksomheder med aktiviteter i flere sektorer kan forholde sig til flere tilsynsmyndigheder samtidig.

Hvilke krav stiller NIS2?

De centrale pligter for omfattede danske virksomheder er:

  • Risikostyring (artikel 21). Ti minimumsforanstaltninger, herunder risikoanalyse, incidenthåndtering, kontinuitet, sikkerhed i leverandørkæden, kryptering, adgangskontrol og multifaktorautentifikation.
  • Incidentrapportering (artikel 23). En tidlig varsling inden 24 timer og en fuld rapport inden 72 timer til tilsynsmyndigheden.
  • Ledelsesansvar. Ledelsen skal godkende og overvåge risikostyringsforanstaltningerne og gennemgå uddannelse i cybersikkerhedsrisici. Ansvaret kan ikke delegeres væk.
  • Leverandørkæden. Sikkerheden hos underleverandører er en udtrykkelig del af kravene.

Et værktøj, der strukturerer de ti foranstaltninger og kobler dem til beviser, gør det muligt at fremvise efterlevelsen ved et tilsyn. Se den praktiske gennemgang i bedste NIS2-software.

Sanktioner og ledelsesansvar

NIS2 fastsætter mærkbare bøder: for væsentlige entiteter op til 10 mio. euro eller 2 procent af den globale årsomsætning, og for vigtige entiteter op til 7 mio. euro eller 1,4 procent. Til forskel fra GDPR-bøderne, som i Danmark fastsættes af domstolene efter indstilling fra Datatilsynet, håndhæves NIS2 gennem den ordning, cybersikkerhedsloven fastlægger. Det personlige ledelsesansvar er en central nyskabelse: ledelsen skal aktivt godkende og overvåge foranstaltningerne, hvilket gør cybersikkerhed til et bestyrelsesanliggende, ikke kun en it-opgave.

NIS2’s overlap med GDPR og DORA

NIS2 står sjældent alene. Sikkerhedsforanstaltningerne overlapper i vid udstrækning artikel 32 i databeskyttelsesforordningen, og for finansielle virksomheder går DORA forud for NIS2 for IKT-risici. En dansk virksomhed, der allerede har et GDPR-program, kan derfor genbruge meget af risikostyringen og leverandørkontrollen frem for at bygge et parallelt system. Det er en af de vigtigste grunde til at samle dokumentationen ét sted. En platform som Legiscope, der kobler NIS2-sikkerhedsforanstaltninger til den eksisterende GDPR-fortegnelse, reducerer dobbeltarbejdet.

Sådan kommer en omfattet virksomhed i gang

En pragmatisk rækkefølge: (1) afklar om og hvordan I er omfattet ud fra sektor og størrelse, (2) registrer jer hos den relevante myndighed, (3) kortlæg tilgange, leverandører og kritiske processer, (4) gennemfør en risikoanalyse og dokumentér de ti foranstaltninger, (5) etabl er arbejdsflowet for incidentrapportering med 24- og 72-timersfrister, og (6) forankr foranstaltningerne hos ledelsen, der skal godkende og overvåge dem. At begynde med kortlægningen og risikoanalysen er afgørende, fordi resten af dokumentationen bygger på dem.

Registrering og de praktiske frister

En af de mest oversete pligter i den danske gennemførelse er selvregistreringen. Omfattede virksomheder skulle selv registrere sig hos den relevante myndighed senest den 1. oktober 2025 – en frist, mange overså, blandt andet fordi loven først trådte i kraft den 1. juli. Registreringen er ikke en formalitet: den er forudsætningen for, at tilsynsmyndigheden ved, hvem der er omfattet, og den udløser de løbende pligter. Virksomheder, der endnu ikke har registreret sig, bør gøre det hurtigst muligt og samtidig kortlægge deres tekniske og organisatoriske foranstaltninger. En praktisk konsekvens er, at NIS2-arbejdet ikke kan udskydes, indtil et tilsyn kommer – pligterne gælder allerede, og den manglende registrering er i sig selv et forhold, tilsynsmyndigheden kan reagere på.

NIS2 og resten af compliance-arbejdet

For de fleste danske virksomheder står NIS2 ikke alene. Sikkerhedskravene overlapper i høj grad artikel 32 i databeskyttelsesforordningen, og leverandørkontrollen ligner håndteringen af databehandlere. En virksomhed, der allerede fører en fortegnelse over behandlingsaktiviteter og har dokumenteret sine sikkerhedsforanstaltninger under GDPR, har derfor et forspring på NIS2. Den mest effektive tilgang er at bygge NIS2-dokumentationen oven på det eksisterende databeskyttelsesarbejde frem for at oprette et parallelt system. En samlet GDPR- og sikkerhedsplatform gør det muligt at dokumentere en kontrol én gang og genbruge den på tværs af de to rammer, hvilket både sparer tid og reducerer risikoen for, at de to sæt dokumentation kommer til at modsige hinanden ved et tilsyn.

Ofte stillede spørgsmål

Hvornår trådte NIS2-loven i kraft i Danmark?

Den 1. juli 2025, med lov nr. 434 af 6. maj 2025. Omfattede virksomheder skulle selv registrere sig senest den 1. oktober 2025. Danmark var dermed mere end otte måneder forsinket i forhold til EU-fristen den 17. oktober 2024.

Er min virksomhed omfattet af NIS2?

Hvis I er en mellemstor eller større virksomhed (mindst 50 ansatte eller over 10 mio. euro i omsætning) i en af de nævnte sektorer, er I sandsynligvis omfattet. Visse sektorer er omfattet uanset størrelse. En kortlægning af sektor og størrelse – og registrering hos den rigtige myndighed – bør ske hurtigt.

Hvem fører tilsyn med NIS2 i Danmark?

SAMSIK (Styrelsen for Samfundssikkerhed) har det overordnede ansvar og koordinerer, mens sektormyndigheder som Digitaliseringsstyrelsen, Energistyrelsen og Sundhedsdatastyrelsen fører tilsyn med deres områder. Virksomheden skal vide, hvilken sektormyndighed den hører under.

Konklusion

NIS2 er nu dansk lov med cybersikkerhedsloven, der trådte i kraft den 1. juli 2025 og pålægger omkring 6.000 virksomheder bindende krav om risikostyring, incidentrapportering, ledelsesansvar og leverandørkontrol. Tilsynet er delt mellem SAMSIK og sektormyndighederne, og omfattede virksomheder skulle registrere sig senest den 1. oktober 2025. Med sanktioner op til 10 mio. euro og personligt ledelsesansvar er NIS2 et bestyrelsesanliggende. For danske virksomheder med et eksisterende GDPR-program er den mest effektive vej at bygge NIS2-dokumentationen oven på den, I allerede har – og behandle efterlevelse som en løbende proces, ikke et engangsprojekt.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →