Den danske NIS2-lov trådte i kraft 1. juli 2025. Vi guider jer skridtvis gennem compliance — på dansk, til SMV-budget, med fast pris pr. trin. Ingen overraskelser, ingen 200-siders rapporter I aldrig læser.
Hovedreglen er enkel — men forsyningskæden fanger mange SMV'er, der ellers troede de var fritaget. Tre hurtige tjek:
Klassisk SMV-tærskel. Hvis I rammer én af dem — og er i en omfattet sektor — er I direkte omfattet af NIS2.
IT-tjenester, transport, produktion, sundhed, energi, vand, affald, digital infrastruktur, post — listen er bred. Visse kritiske tjenester er omfattet uanset størrelse.
Den der fanger flest: NIS2-virksomheder skal vurdere deres forsyningskæde. Selvom I ikke er omfattet direkte, vil jeres kunder kræve NIS2-niveau dokumentation.
Vi pakker NIS2-rådgivning som fire konkrete trin med fast leverance og fast pris pr. trin. I bestemmer hvor langt I går — og kan stoppe efter trin 2 hvis I selv vil køre implementeringen.
Tre modeller — afhængigt af hvor langt I selv vil køre implementeringen. Alle priser er ex moms og uden binding. Engangs-leverancer faktureres ved leveret rapport.
Pris afhænger af antal medarbejdere, M365-størrelse og evt. on-prem-systemer. Fast pris bekræftes efter en 30 min. afklaring — uden binding.
Ingen skæmmeretorik — bare det der faktisk står i lovgivningen og det vi ser i markedet. NIS2 er ikke "endnu en GDPR-bekymring" — den har tænder, og forsørgningskæden gør at den også rammer SMV'er der ikke er omfattet direkte.
10 mio. EUR eller 2% af global omsætning — alt efter hvad der er højest — for væsentlige enheder. Vigtige enheder har lavere lofter (7 mio. EUR / 1,4%), men det er stadig alødegivere.
NIS2 pålægger personligt ansvar på bestyrelse og direktion. Ledelsen skal godkende sikkerhedsforanstaltningerne og kan holdes individuelt ansvarlig hvis virksomheden ikke lever op til kravene.
NIS2-virksomheder skal vurdere deres leverandører. Hvis I ikke kan dokumentere et passende sikkerhedsniveau, mister I udbud — eller eksisterende kunder. Det rammer SMV'er hårdest.
Kilde: D-mærket.dk + NIS2-loven (LOV nr. 633 af 11/06/2024), trådt i kraft 1. juli 2025.
NIS2 skelner mellem "væsentlige" enheder (højeste bøder, strengeste tilsyn) og "vigtige" enheder (lavere bøder, lettere tilsyn). Begge kategorier har samme tekniske krav. Eksempler på sektorer hvor danske SMV'er typisk fanges:
Listen er ikke udtømmende. Over 6.000 danske virksomheder vurderes omfattet — op fra ca. 1.000 under det gamle NIS-direktiv. Er I i tvivl, så starter en NIS2-rådgivning altid med en konkret afklaring af om I er omfattet (og som hvad).
De seks spørgsmål vi oftest får fra danske SMV'er når de overvejer NIS2-rådgivning. Mangler I et svar? Ring på 70 23 57 70.
Måske. Hovedreglen er 50+ ansatte eller 10 mio. EUR i omsætning i en omfattet sektor, men der er to undtagelser:
1) Virksomheder uanset størrelse der leverer kritiske tjenester (fx DNS-udbydere, datacentre, visse IT-services) er omfattet direkte.
2) Hvis I er underleverandør til en NIS2-virksomhed, vil de stille NIS2-lignende krav til jer via forsyningskæden — uanset jeres egen størrelse. En NIS2-rådgivning starter altid med en konkret afklaring af om I er omfattet — og hvorfor.
Hos Netdk koster en engangs-NIS2-vurdering (risikovurdering + gap-analyse) 15.000-25.000 kr afhængigt af virksomhedens størrelse og kompleksitet. Et fuldt implementeringsforløb med handlingsplan og teknisk udbedring koster 30.000-75.000 kr. Løbende NIS2-dokumentation er inkluderet i Pro-pakken til 1.999 kr/md.
Alle priser er ex moms og uden binding. Som sammenligning koster en intern compliance-medarbejder typisk 600.000-900.000 kr/år.
En typisk NIS2-rådgivning for en dansk SMV varer 4-12 uger fra opstart til implementeret handlingsplan:
Risikovurdering 1-2 uger · Gap-analyse 1 uge · Handlingsplan 1 uge · Teknisk udbedring 2-8 uger afhængigt af modenhed.
Løbende compliance-dokumentation er en kvartalsvis aktivitet derefter. Vi anbefaler at starte med engangs-vurderingen, så I ved hvor I står — før I beslutter omfang og tempo.
Bøder kan nå op til 10 mio. EUR eller 2% af global omsætning for væsentlige enheder (7 mio. EUR / 1,4% for vigtige enheder). NIS2 pålægger desuden personligt ansvar på bestyrelse og direktion — ledelsen kan holdes individuelt ansvarlig hvis virksomheden ikke lever op til kravene.
Den ofte oversete konsekvens er forsyningskæden: NIS2-virksomheder skal vurdere deres leverandørers sikkerhed, så I risikerer at miste kunder hvis I ikke kan dokumentere et passende niveau. Det er typisk det der rammer SMV'er kommercielt før bøderne overhovedet kommer i spil.
Nej, D-mærket er ikke et lovkrav — men det er en stærk genvej. D-mærket har et dedikeret NIS2-modul der mapper direkte mod direktivets sikkerhedsforanstaltninger, så certificeringen fungerer som et færdigpakket dokumentations-framework.
For SMV'er er D-mærkets NIS2-modul ofte den mest pragmatiske vej til compliance, fordi det er bygget til danske virksomheder og anerkendes af forsikringsselskaber og større kunder. Vi bygger vores NIS2-rådgivning på D-mærke-baseline — uanset om I selv vil certificeres.
Ja. NIS2-rådgivning er en almindelig driftsudgift og fuldt fradragsberettiget på linje med anden ekstern rådgivning. Engangs-vurderinger udgiftsføres typisk i det år de leveres.
Implementeringsforløb der omfatter software/hardware kan i nogle tilfælde aktiveres og afskrives — det afhænger af karakter og levetid. Konkret bogføring bør altid afstemmes med jeres revisor, men der er ingen særregler for NIS2-rådgivning.
Indtast jeres domæne og få en hurtig sikkerheds-baseline der peger på de mest oplagte NIS2-gaps — uden installation, uden formular, uden binding. Bagefter taler vi om hvad der giver mening for jer.
Eller ring direkte: 70 23 57 70 · Man-fre 08:00-16:00 · Læs om Netdk