NIS 2 – hvad skal vi konkret gøre?
Bragt i Nordjyske Stiftstidendes erhvervsbrevkasse den 16. september 2025.
Spørgsmål
Vi er en virksomhed i forsyningsbranchen og har hørt om NIS 2-direktivet. Det trådte i kraft i juli – men vi er stadig i tvivl om, hvad vi konkret skal gøre. Er det for sent at komme i gang?
Svar
Det er bestemt ikke for sent – men det er vigtigt at handle nu.
NIS 2-direktivet trådte i kraft i Danmark den 1. juli 2025 og stiller skærpede krav til cyber-sikkerhed i virksomheder, der leverer kritisk infrastruktur – fx inden for energi, transport, sundhed, digital infrastruktur og forsyning. Jeres virksomhed er omfattet, og I skal:
- Registrere jer senest 1. oktober 2025 hos de relevante myndigheder.
- Dokumentere jeres cybersikkerheds-indsats, herunder risikovurderinger, hændelseshåndtering og leverandørstyring.
- Være klar til at rapportere sikkerhedshændelser hurtigt og præcist.
- Have styr på ledelsesansvaret – direktivet stiller krav til både bestyrelse og direktion.
Hvis I endnu ikke er i gang, anbefales det at starte med en kortlægning: Hvor står I i dag? Og hvad mangler I for at leve op til kravene? Det kan især være en længere proces, end man lige forestiller sig at komme i gang med leverandørstyringen. Så få opgaverne delt op i håndterbare størrelser og træf de ledelsesmæssige beslutninger for at få dem prioriteret – hellere små skridt end ingen.
Der er kommet flere gode ressourcer fra myndighedernes side de sidste par måneder, og ud over det hurtige ”NIS2-tjek” som en indikator til, om man er omfattet, har Styrelsen for Samfundssikkerhed løbende udgivet vejledninger til implementering, som man kan finde på samsik.dk (NIS2-vejledninger).
Derudover kan det være en god idé at få hjælp fra en rådgiver med erfaring i cybersikkerhed og compliance. NIS 2 handler ikke kun om regler og bøder – det er også en mulighed for at styrke jeres digitale robusthed og tillid hos kunder og samarbejdspartnere.
Per Højbjerg Jensen