Den 1. juli 2025 trådte NIS-2-loven i kraft i Danmark, og med den stod mere end 6.000 virksomheder pludselig over for et nyt cybersikkerhedsregime med bøder på op til €10 millioner. Loven, formelt kaldet Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (Lov nr. 434), udvidede antallet af regulerede virksomheder fra knap 1.000 under den gamle NIS1-lov til mere end 6.000 under NIS2. Hvad er de konkrete krav, hvem er dækket, og hvad sker der hvis man ikke overholder dem? Denne analyse giver dig svarene.
Hvad er NIS2-direktivet?
NIS2 (Network and Information Systems Directive 2) er EU’s opdaterede direktiv for cybersikkerhed, vedtaget i december 2022 og trådt i kraft i EU i januar 2023. Direktivet erstatter det første NIS-direktiv fra 2016 og adresserer en simpel kendsgerning: cybertrusler er vokset dramatisk, og den tidligere regulering var ikke tilstrækkelig til at beskytte kritisk infrastruktur og vigtige samfundsfunktioner.
EU-fristen for national implementering var 17. oktober 2024, men kun 4 af 27 EU-medlemsstater nåede at transponere direktivet til tiden. Danmark var ikke et af dem. Den Europæiske Kommission indledte retssager mod de resterende 23 lande, herunder Danmark, for forsinket implementering. Dansk lovgivning fulgte i maj 2025 og trådte endeligt i kraft 1. juli 2025, ni måneder efter EU-fristen.
NIS2 indfører to kategorier af virksomheder: Væsentlige enheder (VE) og Vigtige enheder (VI). Forskellen afspejles direkte i sanktionsniveauet og intensiteten af tilsynet.
Danmarks sene implementering: et skridt bagud fra starten
Danmarks NIS-2-lov, Lov nr. 434 af 6. maj 2025, valgte en sektorbaseret tilgang. I stedet for ét samlet lovkompleks regulerer Danmark NIS2 gennem flere separate love afhængigt af sektor:
- Energisektoren: Lov om sikkerhed og beredskab (Lov nr. 258 af 6. marts 2025), i kraft siden 7. marts 2025. Implementerer både NIS2 og CER-direktivet.
- Telekomsektoren: Lov om sikkerhed og beredskab i telesektoren (Lov nr. 435 af 6. maj 2025), i kraft siden 1. juli 2025.
- Finanssektoren: Håndteres under DORA-forordningen (Digital Operational Resilience Act), der trådte i kraft 17. januar 2025.
- Øvrige sektorer: Dækket af den generelle NIS-2-lov (L 141), i kraft fra 1. juli 2025.
Denne opdelade tilgang giver fleksibilitet, men skaber også forvirring. Ifølge PwC Legal er Danmark et af de få EU-lande, der ikke anvender administrative bøder i traditionel forstand: sanktioner udstedes i stedet som strafferetlige bøder via de kompetente nationale domstole efter anbefaling fra tilsynsmyndigheden.
Overgangstiden har heller ikke gjort det nemmere. Virksomheder, der formelt er designeret som væsentlige eller vigtige enheder, modtager ikke endelig officiel besked før senest 17. juli 2026. Herefter har de 9 til 10 måneder til at overholde alle relevante krav.
Hvem er dækket af NIS2 i Danmark?
Størrelseskriterierne for NIS2 i Danmark følger EU-direktivets minimumskrav. En virksomhed er som udgangspunkt omfattet, hvis den opfylder mindst ét af følgende kriterier:
- Beskæftiger mere end 50 medarbejdere, eller
- Har en årlig omsætning og balance på over EUR 10 millioner
Kriterierne er ikke kumulative, dvs. det er nok at opfylde ét af dem, forudsat at virksomheden opererer inden for de sektorer, der er listet i NIS2’s bilag I og II.
Analysevirksomheden Copla beskriver det som “ikke blot en reguleringsopgradering, men et paradigmeskifte”, at Danmark udvider fra ca. 1.000 til mere end 6.000 enheder på tværs af 18 sektorer. For mange virksomheder er NIS2 det første møde med formelle cybersikkerhedskrav.
15 sektorer, 6.000 virksomheder: NIS2’s rækkevidde i tal
NIS-2-loven (L 141) dækker 15 sektorer direkte, mens den samlede danske implementering inklusive sektorspecifik lovgivning dækker 18 sektorer. Nedenstående tabel viser fordelingen og kategoriseringen:
| Sektor | Kategori | Lovgrundlag | Ikrafttrædelse |
|---|---|---|---|
| Energi (el, gas, olie, fjernvarme, hydrogen) | Væsentlig | Lov nr. 258/2025 | 7. marts 2025 |
| Transport (luft, jernbane, vej, sø) | Væsentlig | NIS-2-loven L 141 | 1. juli 2025 |
| Bankvæsen og finansiel infrastruktur | Væsentlig | DORA-forordningen | 17. januar 2025 |
| Sundhed (hospitaler, laboratorier, forskning) | Væsentlig | NIS-2-loven L 141 | 1. juli 2025 |
| Drikkevand og spildevand | Væsentlig | NIS-2-loven L 141 | 1. juli 2025 |
| Digital infrastruktur (cloud, datacentre, DNS) | Væsentlig | NIS-2-loven L 141 | 1. juli 2025 |
| IKT-tjenester (managed services, security) | Væsentlig | NIS-2-loven L 141 | 1. juli 2025 |
| Telekommunikation | Væsentlig | Lov nr. 435/2025 | 1. juli 2025 |
| Post og kurertjenester | Vigtig | NIS-2-loven L 141 | 1. juli 2025 |
| Affaldshåndtering | Vigtig | NIS-2-loven L 141 | 1. juli 2025 |
| Kemisk industri | Vigtig | NIS-2-loven L 141 | 1. juli 2025 |
| Fødevarer (produktion og distribution) | Vigtig | NIS-2-loven L 141 | 1. juli 2025 |
| Produktion (medicinsk udstyr, elektronik, maskiner) | Vigtig | NIS-2-loven L 141 | 1. juli 2025 |
| Digitale markedspladser og søgemaskiner | Vigtig | NIS-2-loven L 141 | 1. juli 2025 |
| Forskning og videregående uddannelse | Vigtig | NIS-2-loven L 141 | 1. juli 2025 |
De konkrete NIS2-krav: hvad skal virksomheder gøre?
NIS2 stiller krav inden for fire overordnede kategorier. Digitaliseringsstyrelsen, der er tilsynsmyndighed for den digitale sektor, opsummerer kravene som:
- Registrering: Enheder skal registrere sig via Virk.dk med MitID Erhverv. Udenlandske enheder med aktiviteter i Danmark registrerer via et separat formular eller tredjepartsrepræsentant.
- Ledelseskrav: Topledelsen skal godkende og have overblik over cybersikkerhedsforanstaltninger. NIS2 gør det personligt ansvarligt for direktionen at sikre compliance.
- Hændelsesrapportering: Væsentlige hændelser skal rapporteres til de relevante myndigheder inden for faste tidsfrister.
- Tekniske og organisatoriske sikkerhedsforanstaltninger: Virksomheder skal implementere risikobaserede sikkerhedsforanstaltninger, herunder adgangsstyring, kryptering, backup, supply chain-sikkerhed og business continuity-planlægning.
Kravene er ikke “check the box”-compliance. NIS2 forventer, at sikkerhed er forankret i virksomhedens ledelse og risikostyring, ikke blot i IT-afdelingen. Det er en markant kulturel forandring for mange danske mellemstore virksomheder.
Hændelsesrapportering: 24-72-30 reglen
Et af de mest konkrete og tidskritiske NIS2-krav er den strukturerede hændelsesrapportering. Processen kører i tre trin:
- 24 timer: Tidlig varsling til den relevante sektormyndighed ved væsentlige hændelser. Denne notifikation skal sendes, selvom virksomheden endnu ikke har fuldt overblik over hændelsen.
- 72 timer: Opdateret rapport med foreløbig vurdering af årsag, omfang og indvirkning.
- 30 dage: Endelig rapport med fuld analyse, afhjælpende foranstaltninger og erfaringer.
Rapporteringen sker via CFCS NIS-portalen (Center for Cybersikkerhed) eller via Virk.dk. CFCS fungerer som Danmarks nationale CSIRT (Computer Security Incident Response Team) og er den centrale koordinerende enhed for alvorlige hændelser, der rammer kritisk infrastruktur.
Vigtigt at bemærke: 24-timersfristen løber fra det tidspunkt, virksomheden bliver bekendt med hændelsen, ikke fra tidspunktet for selve angrebet. Sent opdagede angreb, som fx ransomware der har ligget gemt i systemerne i uger, starter stadig 24-timersursuret fra opdagelsestidspunktet.
Bøder og sanktioner: op til €10 millioner i Danmark
NIS2 indfører bøder af en størrelse, der er ny i dansk cybersikkerhedspraksis. Sanktionerne afhænger af, om virksomheden klassificeres som væsentlig eller vigtig enhed:
| Enhedstype | Maksimal bøde | Alternativ beregning | Yderligere sanktioner |
|---|---|---|---|
| Væsentlig enhed (VE) | €10.000.000 | 2% af global omsætning | Dagbøder, offentlig navngivelse, ledelseskrav |
| Vigtig enhed (VI) | €7.000.000 | 1,4% af global omsætning | Dagbøder, offentlig navngivelse |
| Offentlige myndigheder | Varierer per sektor | Vurderes individuelt | Tvangsmulkter, organisationsændringer |
Et afgørende dansk særkende: Danmark udsteder ikke administrative bøder i traditionel GDPR-forstand. I stedet anbefaler tilsynsmyndigheden en bøde, som derefter idømmes som strafferetlig bøde via de kompetente nationale domstole. Dette giver en ekstra retslig proces, men det ændrer ikke ved sanktionernes størrelse.
Udover bøder kan tilsynsmyndighederne pålægge dagbøder, offentliggøre overtrædelser (naming and shaming) og i yderste konsekvens forbyde enkeltpersoner i ledelsen at bestride visse stillinger. Det sidste tiltag er nyt i dansk cybersikkerhedsregulering og understreger, at NIS2 gør compliance til et ledelsesansvar, ikke blot et IT-ansvar.
Registrering via Virk.dk: hvad ved vi om compliance-status?
Registreringsporten på Virk.dk åbnede 1. juli 2025, og fristen for obligatorisk registrering var 1. oktober 2025. Virksomheder, der bliver omfattet af loven efter denne dato, skal registrere sig senest to uger efter at være blevet omfattet.
De danske myndigheder har ikke offentliggjort præcise tal for, hvor mange af de 6.000+ virksomheder, der faktisk har registreret sig. Det er et mønster, der går igen på tværs af EU: frister passerer, og håndhævelsen er endnu sparsom i de fleste lande.
En vigtig detalje: mange virksomheder er i en gråzone, fordi de formelt først modtager besked om, at de er designeret som henholdsvis væsentlig eller vigtig enhed, senest 17. juli 2026. Frem til da kan visse virksomheder med rette spørge, om de er dækket, og hermed forsinkelse enten registrering eller tilpasning af sikkerhedsforanstaltninger.
DNV Cyber’s rapport “How Cyber Resilient Is Denmark?”, baseret på interviews med 200 danske ledere i kritisk infrastruktur, konkluderer, at den grundlæggende svaghed i Danmarks digitale modstandsdygtighed er “uklart ejerskab af cybersikkerhed”. Rapporten finder, at ledere i kritisk infrastruktur ofte ser national cyber-resiliens som “andres ansvar”.
Hvem fører tilsyn med NIS2 i Danmark?
NIS2-tilsynet i Danmark er fordelt på tværs af sektormyndigheder. Den overordnede koordinering ligger hos Ministeriet for Samfundssikkerhed og Beredskab (MSSB), men den daglige tilsynsrolle er placeret hos de relevante sektormyndigheder:
- Digitaliseringsstyrelsen: Tilsynsmyndighed for den digitale sektor, herunder cloud-udbydere, datacentre, DNS-udbydere og IT-managed service providers. Kontakt: [email protected]
- Styrelsen for Samfundssikkerhed (Samsik): Spiller en central rolle i at koordinere national cyber-resiliens og føre tilsyn på tværs af sektorer.
- CFCS (Center for Cybersikkerhed): Fungerer som Danmarks nationale CSIRT og modtager hændelsesrapporter via NIS-portalen. CFCS er placeret under Forsvarets Efterretningstjeneste.
- Sektormyndigheder: Energistyrelsen, Trafik-, Bygge- og Boligstyrelsen, Finanstilsynet m.fl. fører tilsyn i deres respektive sektorer.
Tilsynsmodellen betyder, at en virksomhed kan have kontakt med flere myndigheder afhængigt af sin sektortilknytning. En stor transport- og logistikvirksomhed med egne IT-systemer og energiinstallationer kan i princippet falde under flere myndigheders jurisdiktion.
Nordisk sammenligning: Danmarks position i nabolandenes skygge
For at forstå Danmarks NIS2-situation er det nyttigt at sammenligne med de øvrige nordiske lande. DNV Cyber’s nordiske analyse fra 2026 giver et klart billede af cybertrusselsbilledet i regionen:
| Land | Cyberhændelser i 2025 | NIS2-status (per juni 2026) | Markant fund |
|---|---|---|---|
| Sverige | 60 hændelser | Implementeret | 1 ud af 5 svenske borgere rapporterer at hverdagen er påvirket af cyberhændelser |
| Finland | 44 hændelser | Implementeret | 65% af kritiske infrastrukturledere ser øget angrebsfrekvens; 61% af borgere vil acceptere indskrænkninger for bedre sikkerhed |
| Danmark | 41 hændelser | Implementeret (1. juli 2025) | Uklart ejerskab: mange ledere ser cyber-resiliens som “andres ansvar” |
| Norge | 21 hændelser | Implementeret | 52% af ledere i kritisk infrastruktur ser cyber-resiliens som “andres ansvar” |
Sverige er hårdest ramt med 60 cyberhændelser i 2025, mens Norge kun registrerede 21. DNV Cyber konkluderer, at cybermodstandsdygtighed i alle fire lande i høj grad afhænger af, i hvilken grad virksomheder, myndigheder og borgere forstår og udfylder deres rolle i et sammenkoblet system.
På globalt plan viser World Economic Forums Global Cybersecurity Outlook 2026, at 31% af respondenter verden over har lav tillid til, at deres land kan reagere effektivt på store cyberhændelser. Det er en stigning fra 26% i 2025. Kun 19% af organisationer siger, at deres cyber-resiliens overstiger minimumsrequirements, mod blot 9% i 2025.
Den største udfordring: ejerskab og ledelsesansvar
NIS2 stiller et krav, der mange steder viser sig sværere at opfylde end de tekniske krav: at topledelsen tager personligt ansvar for cybersikkerhed. I de nordiske lande ser vi igen og igen det samme mønster.
DNV Cyber’s rapport om Norge viste, at 52% af ledere i sektorer, der er klassificeret som kritiske af EU, mener, at modstandsdygtighed er “andres ansvar”. En tredjedel (32%) er ikke engang sikre på, om deres organisation er involveret i kritisk infrastruktur.
For Danmark er billedet ens. Ifølge DNV Cyber, baseret på 200 danske kritiske infrastrukturledere, er det ikke de tekniske kontroller, der er det svage led. Det er ledelsesforankring, tværsektoriel koordinering og evnen til at reagere i stor skala.
NIS2 forsøger at løse dette strukturelt: direktivet gør ledelsesorganer direkte ansvarlige og åbner for personligt ansvar over for direktører og bestyrelsesmedlemmer, hvis en virksomhed gentagne gange overtræder kravene. For mange danske ledere er dette en ny og ubehagelig realitet.
PwC’s Global Digital Trust Insights Survey 2026, baseret på svar fra over 3.800 globale ledere, viser, at 60% af erhvervs- og teknologiledere nu placerer cyberinvesteringer i deres tre øverste strategiske prioriteter. Alligevel er kun 6% trygge ved deres sikkerhedsniveau på tværs af alle sårbarhedskategorier.
NIS2 vs DORA vs CER: hvad gælder hvornår?
Mange danske virksomheder er forvirrede over forholdet mellem NIS2 og de andre store EU-regulativer, der rammer cybersikkerhedsområdet. Her er de vigtigste skel:
NIS2 gælder som udgangspunkt for alle sektorer i bilag I og II, medmindre en mere specifik regulering gælder. Den sætter minimumsstandarden for cybersikkerhed og hændelsesrapportering.
DORA (Digital Operational Resilience Act) er en finanssektorspecifik EU-forordning, der trådte i kraft 17. januar 2025. DORA gælder for banker, forsikringsselskaber, investeringsfirmaer og deres kritiske IT-leverandører. Finansielle virksomheder skal følge DORA frem for NIS2.
CER-direktivet (Critical Entities Resilience) fokuserer på fysisk modstandsdygtighed for kritiske enheder og implementeres parallelt med NIS2 i Danmark, fx i energisektoren via Lov nr. 258 af 6. marts 2025.
For de fleste mellemstore danske virksomheder uden for finanssektoren er NIS2 det primære regelsæt at forholde sig til. Men leverandører til finansielle virksomheder kan havne i gråzonen, da DORA stiller skærpede krav til kritiske IT-tjenesteudbydere, uanset om de selv er finansielle.
Supply chain-sikkerhed: NIS2’s skjulte udfordring
Et af de mest undervurderede elementer i NIS2 er kravet om supply chain-sikkerhed. Virksomheder skal ikke blot sikre egne systemer; de skal aktivt vurdere og håndtere cyberrisici fra leverandører og underleverandører.
DNV Cyber’s anbefalinger for Finland fremhæver dette som en prioritet: “Styrk overblikket og tilsynet med leverandører og tredjepartsafhængigheder for at reducere systemisk risiko, begrænse skjult eksponering og håndtere kaskadeeffekter fra cyberhændelser i forbundne økosystemer.”
For Danmark, med stærke sektorer inden for pharma, shipping og avanceret produktion, er supply chain-risici betydelige. Et cyberangreb på én nøgleleverandør kan kaskadere ud til dusinvis af NIS2-regulerede virksomheder og udløse rapporteringspligter for alle i kæden.
Eksemplet med npm supply chain-angreb, hvor 1,2 millioner ondsindede pakker ramte globale udviklingsmiljøer, illustrerer, hvad der kan ske, når én svag komponent i forsyningskæden kompromitteres. Under NIS2 er det ikke blot de direkte ramte, der har ansvar: alle, der brugte den kompromitterede komponent, kan have rapporteringspligt.
OpDenmark og det geopolitiske trusselsbillede
NIS2 blev designet i en tid med stigende geopolitiske spændinger, og det danske trusselsbillede understreger nødvendigheden. I februar 2026 advarede Truesec om “OpDenmark”, en cybertrussel lanceret af den russiskstøttede hacktivistgruppe Russian Legion med en storskala angrebsadvarsel specifikt rettet mod Danmark.
Falconer Security, der analyserer geopolitiske cybertrusler mod nordiske SMV’er, advarer om, at “den geopolitiske cybertrussel mod Danmark og Norden er håndgribelig og voksende i 2026”. Angrebene er ikke længere kun rettet mod store statslige institutioner; mellemstore virksomheder i kritiske sektorer er i stigende grad i søgelyset.
Ifølge Check Points Cybersecurity Report 2026 steg cyberangreb i Europa med 20% i 2025. Kombinationen af statslige aktørers aktivitet, voksende ransomware-grupper og en angrebsoverflade, der udvides med hvert nyt IoT-device og cloud-migrering, gør NIS2-compliance til en strategisk nødvendighed snarere end blot en regulatorisk forpligtelse.
CFCS (Center for Cybersikkerhed) vurderer løbende trusselsniveauet for dansk kritisk infrastruktur. Centret er placeret under Forsvarets Efterretningstjeneste og udgiver jævnlige trusselsvurderinger. CFCS’s hjemmeside samler aktuelle advarsler og vejledning til virksomheder.
5 prognoser for NIS2 i Danmark frem mod 2027
Baseret på implementeringshistorik, myndighedsplaner og trusselsbilledet er her fem konkrete forudsigelser for NIS2-regulerings udvikling i Danmark:
- Første bøder falder i 2026: CFCS og sektormyndigheder begyndte revisioner i januar 2026. Forvent de første konkrete håndhævelsessager og offentliggørelser i andet halvår 2026, sandsynligvis rettet mod virksomheder, der ikke overholdt registreringsfristen 1. oktober 2025.
- Op mod 30% af de 6.000 virksomheder er endnu ikke compliant: Erfaringer fra GDPR-implementeringen i 2018 viste, at en stor andel af virksomheder ikke nåede at tilpasse sig inden fristen. NIS2 er mere teknisk kompleks, og compliance-graden vil sandsynligvis ligge under 70% i første omgang.
- Supply chain-krav udløser ny bølge af leverandørkrav: Store NIS2-regulerede virksomheder vil i stigende grad stille cybersikkerhedskrav til leverandører via kontraktuelle forpligtelser, hvilket presser også virksomheder under NIS2-tærsklen til at hæve sikkerhedsniveauet.
- Offentliggørelse af overtrædelser skaber afskrækkende effekt: “Naming and shaming”-mekanismen forventes at have en stærk afskrækkende virkning i det lille danske marked, hvor omdømme og kunderelationer er centrale. En enkelt offentliggjort overtrædelse kan have stor markedspåvirkning.
- NIS2 fusionerer med AI-governance-dagsordenen: EU’s AI Act trådte i kraft i august 2024. I 2026 og 2027 vil de to regulativer konvergere i praksis, da AI-systemer der understøtter kritisk infrastruktur potentielt er underlagt begge regelsæt. Virksomheder med AI-drevne operationelle systemer skal forvente dobbelttilsyn.
Relateret dækning
Læs også disse artikler om cybersikkerhed og trusler
- Ransomware-grupper steg med 49%: 8.159 ofre ramt i 2025
- AI-cyberangreb: 90% autonome, 40.000 sårbarheder
- npm supply chain-angreb: 1,2 millioner ondsindede pakker
- Novo Nordisk: 1,3 TB stjålet, $25M løsesum afvist
- Agentic AI-sikkerhed: $4,7M brud, 92% alarmeret
- Cybersikkerhed: Seneste nyheder og analyser
Ekstern autoritetslæsning
For officiel vejledning om NIS2 i Danmark, se:
- Digitaliseringsstyrelsen: Hvad er NIS2?
- Center for Cybersikkerhed (CFCS)
- ECSO NIS2 Transposition Tracker
- Eversheds Sutherland: NIS2 i Danmark
- Copla: NIS2-regulering og implementering i Danmark
- Falconer Security: Geopolitiske cybertrusler mod Norden 2026
FAQ om NIS2 i Danmark
Hvornår trådte NIS2-loven i kraft i Danmark?
NIS-2-loven (Lov nr. 434 af 6. maj 2025) trådte i kraft den 1. juli 2025. Energisektorens særlov trådte i kraft allerede 7. marts 2025. Danmark overholdt ikke EU’s originalfrist på 17. oktober 2024.
Hvor mange virksomheder er dækket af NIS2 i Danmark?
Mere end 6.000 virksomheder og organisationer er dækket under det samlede danske NIS2-regime, mod ca. 1.000 under den tidligere NIS1-lov. Udvidelsen dækker 18 sektorer i alt.
Hvad er bøderne for manglende NIS2-compliance i Danmark?
Væsentlige enheder kan idømmes bøder på op til €10 millioner eller 2% af global omsætning. Vigtige enheder kan bødes op til €7 millioner eller 1,4% af global omsætning. I Danmark idømmes bøder som strafferetlige sanktioner via domstolene, ikke som administrative bøder.
Gælder NIS2 for min SMV?
NIS2 gælder for virksomheder med mere end 50 medarbejdere ELLER omsætning og balance på over EUR 10 millioner, der opererer inden for de 18 dækkede sektorer. Mikrovirksomheder (under 10 medarbejdere og under EUR 2 millioner i omsætning) er generelt undtaget, medmindre de er eneste udbyder af en kritisk tjeneste i Danmark.
Hvad er fristen for at registrere sig under NIS2?
Fristen for obligatorisk registrering via Virk.dk var 1. oktober 2025. Virksomheder, der bliver omfattet efter denne dato, skal registrere sig senest to uger efter at være blevet omfattet af loven.
Hvornår skal en cyberhændelse rapporteres under NIS2?
En tidlig varsling skal sendes inden for 24 timer fra opdagelsen af en væsentlig hændelse. En opdateret rapport følger inden for 72 timer. En endelig rapport skal indsendes senest 30 dage efter hændelsen. Rapporteringen sker via CFCS NIS-portalen eller Virk.dk.
Hvad er forskellen på NIS2 og DORA?
NIS2 er det generelle cybersikkerhedsdirektiv, der gælder for de fleste kritiske sektorer. DORA (Digital Operational Resilience Act) er finanssektorspecifik og gælder for banker, forsikringsselskaber og deres kritiske IT-leverandører. Finansielle virksomheder følger DORA frem for NIS2, men de to regelsæt har mange overlappende principper.
