NIS2 for danske SMV'er — Hvad skal du gøre inden deadline?

Opdateret april 2026 · 6 min læsetid

EU's NIS2-direktiv er den største ændring i europæisk cybersikkerhedslovgivning i et årti. For danske virksomheder betyder det, at cybersikkerhed ikke længere er valgfrit — det er et lovkrav med reelle konsekvenser, hvis man ikke lever op til det.

Og det rammer langt bredere end de fleste tror.

Hvad er NIS2?

NIS2 (Network and Information Systems Directive 2) er en EU-forordning der erstatter det oprindelige NIS-direktiv fra 2016. Formålet er at hæve cybersikkerhedsniveauet på tværs af EU ved at stille konkrete krav til virksomheder i kritiske og vigtige sektorer.

Den oprindelige NIS ramte primært store operatører af kritisk infrastruktur — energiselskaber, vandværker, hospitaler. NIS2 udvider definitionen markant og inkluderer nu også sektorer som:

• IT-tjenester og managed services (MSP'er, cloud-udbydere)
• Produktion (fødevarer, kemikalier, medicinsk udstyr)
• Transport og logistik
• Affaldshåndtering
• Post- og kurertjenester
• Digital infrastruktur (DNS, datacentre, sociale platforme)

I Danmark vurderes det, at over 6.000 virksomheder er omfattet — op fra omkring 1.000 under det gamle direktiv. Mange af disse er SMV'er, der aldrig før har skullet forholde sig til regulatoriske cybersikkerhedskrav.

Hvem er omfattet?

NIS2 skelner mellem "væsentlige" og "vigtige" enheder. Hovedreglen er, at virksomheder med mere end 50 ansatte eller en årlig omsætning over 10 mio. EUR i de omfattede sektorer er underlagt direktivet. Men der er undtagelser: visse virksomheder uanset størrelse kan være omfattet, hvis de leverer kritiske tjenester.

Her er den del, mange overser: forsyningskæden. Selvom jeres virksomhed ikke direkte er omfattet, kan jeres kunder kræve, at I lever op til NIS2-lignende standarder som en del af deres supply chain-sikkerhed. Hvis I er underleverandør til en NIS2-reguleret virksomhed, vil de sandsynligvis stille krav til jeres sikkerhedsniveau.

De vigtigste NIS2-krav

NIS2 stiller krav inden for fire hovedområder:

1. Risikostyring

Virksomheder skal implementere "passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger" for at håndtere risici. I praksis betyder det:

• En dokumenteret risikovurdering af jeres IT-infrastruktur
• Politikker for adgangsstyring, kryptering og netværkssikkerhed
• Regelmæssig sikkerhedsopdatering og patch management
• Multi-faktor autentifikation (MFA) på kritiske systemer
• Backup-procedurer og disaster recovery-planer

For de fleste SMV'er starter det med at få styr på det mest basale: korrekt konfiguration af Microsoft 365, email-autentifikation (SPF, DKIM, DMARC), og MFA på alle konti.

2. Incident reporting

NIS2 kræver, at sikkerhedshændelser rapporteres til de relevante myndigheder inden for stramme tidsfrister:

• 24 timer: Tidlig varsling om en væsentlig hændelse
• 72 timer: Fuld hændelsesnotifikation med vurdering af omfang og konsekvens
• 1 måned: Endelig rapport med årsagsanalyse og afhjælpende tiltag

Det kræver, at I har overvågning, logging og en incident response-plan på plads inden noget sker. Kan I overhovedet opdage et databrud i dag? Ifølge IBM Cost of Data Breach 2024 tager det i gennemsnit 194 dage at identificere et brud. NIS2 kræver rapportering inden for 24 timer.

3. Forsyningskædesikkerhed

I skal vurdere og dokumentere sikkerhedsrisici i jeres forsyningskæde. Det gælder både IT-leverandører, cloud-tjenester og andre kritiske underleverandører. Konkret betyder det:

• Sikkerhedskrav i kontrakter med leverandører
• Regelmæssig vurdering af leverandørers sikkerhedsniveau
• Incident notification-aftaler med kritiske leverandører

4. Ledelsesansvar

Og her bliver det alvorligt: NIS2 pålægger personligt ansvar på ledelsesniveau. Bestyrelsen og direktionen skal godkende cybersikkerhedsforanstaltningerne og kan holdes ansvarlige, hvis virksomheden ikke lever op til kravene. Det er ikke længere noget IT-afdelingen klarer alene.

Bøder for manglende overholdelse kan nå op til 10 mio. EUR eller 2% af global omsætning for væsentlige enheder.

Hvad skal jeres SMV gøre nu?

Det kan virke overvældende, men det handler om at starte med det vigtigste:

1. Afklar om I er omfattet. Tjek jeres sektor og størrelse op mod NIS2-kriterierne.
2. Lav en GAP-analyse. Hvor står I i dag versus NIS2-kravene? Hvad mangler?
3. Prioriter de lavthængende frugter. MFA, endpoint-beskyttelse, email-sikkerhed, backup — de ting der giver mest sikkerhed for mindst indsats.
4. Dokumenter. NIS2 kræver dokumentation. Start med at nedskrive jeres politikker, selv i simpel form.
5. Få ekstern hjælp. De færreste SMV'er har en intern CISO. En managed security-partner kan udfylde den rolle.

Hvordan Netdk hjælper med NIS2-compliance

Vores Pro- og Enterprise-pakker er designet med NIS2-kravene for øje. Det inkluderer:

• NIS2 compliance mapping — vi kortlægger jeres nuværende sikkerhedsniveau mod NIS2-kravene og identificerer gaps
• Teknisk implementering — MFA, endpoint detection, email-sikkerhed, netværkssegmentering
• Incident response-plan — dokumenteret procedure der opfylder NIS2's rapporteringskrav
• 24/7 overvågning (Enterprise) — SOC-monitorering der sikrer, at hændelser opdages og rapporteres inden for tidsfristen
• Løbende dokumentation — vedligeholdelse af de politikker og procedurer NIS2 kræver

Priser starter fra 1.999 kr./md for Pro og 4.999 kr./md for Enterprise med fuld NIS2-dækning. Sammenlignet med potentielle bøder og konsekvenserne af et databrud er det en fornuftig investering.