{"id":142,"date":"2026-06-20T04:31:52","date_gmt":"2026-06-20T04:31:52","guid":{"rendered":"https:\/\/shattered.io\/dk\/2026\/06\/20\/nis2-direktiv-danmark-2026\/"},"modified":"2026-06-20T04:33:33","modified_gmt":"2026-06-20T04:33:33","slug":"nis2-direktiv-danmark-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/dk\/2026\/06\/20\/nis2-direktiv-danmark-2026\/","title":{"rendered":"NIS2 i Danmark: 6.000 Virksomheder, \u20ac10M B\u00f8der [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Den 1. juli 2025 tr\u00e5dte <strong>NIS-2-loven<\/strong> i kraft i Danmark, og med den stod mere end 6.000 virksomheder pludselig over for et nyt cybersikkerhedsregime med b\u00f8der p\u00e5 op til <strong>\u20ac10 millioner<\/strong>. Loven, formelt kaldet <em>Lov om foranstaltninger til sikring af et h\u00f8jt cybersikkerhedsniveau<\/em> (Lov nr. 434), udvidede antallet af regulerede virksomheder fra knap 1.000 under den gamle NIS1-lov til mere end 6.000 under NIS2. Hvad er de konkrete krav, hvem er d\u00e6kket, og hvad sker der hvis man ikke overholder dem? Denne analyse giver dig svarene.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"hvad-er-nis2-direktivet\">Hvad er NIS2-direktivet?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">NIS2 (Network and Information Systems Directive 2) er EU&#8217;s opdaterede direktiv for cybersikkerhed, vedtaget i december 2022 og tr\u00e5dt i kraft i EU i januar 2023. Direktivet erstatter det f\u00f8rste NIS-direktiv fra 2016 og adresserer en simpel kendsgerning: cybertrusler er vokset dramatisk, og den tidligere regulering var ikke tilstr\u00e6kkelig til at beskytte kritisk infrastruktur og vigtige samfundsfunktioner.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">EU-fristen for national implementering var 17. oktober 2024, men kun 4 af 27 EU-medlemsstater n\u00e5ede at transponere direktivet til tiden. Danmark var ikke et af dem. Den Europ\u00e6iske Kommission indledte retssager mod de resterende 23 lande, herunder Danmark, for forsinket implementering. Dansk lovgivning fulgte i maj 2025 og tr\u00e5dte endeligt i kraft 1. juli 2025, ni m\u00e5neder efter EU-fristen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">NIS2 indf\u00f8rer to kategorier af virksomheder: <strong>V\u00e6sentlige enheder<\/strong> (VE) og <strong>Vigtige enheder<\/strong> (VI). Forskellen afspejles direkte i sanktionsniveauet og intensiteten af tilsynet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"danmarks-sene-implementering-et-skridt-bagud-fra-starten\">Danmarks sene implementering: et skridt bagud fra starten<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Danmarks NIS-2-lov, Lov nr. 434 af 6. maj 2025, valgte en sektorbaseret tilgang. I stedet for \u00e9t samlet lovkompleks regulerer Danmark NIS2 gennem flere separate love afh\u00e6ngigt af sektor:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Energisektoren<\/strong>: Lov om sikkerhed og beredskab (Lov nr. 258 af 6. marts 2025), i kraft siden 7. marts 2025. Implementerer b\u00e5de NIS2 og CER-direktivet.<\/li>\n<li><strong>Telekomsektoren<\/strong>: Lov om sikkerhed og beredskab i telesektoren (Lov nr. 435 af 6. maj 2025), i kraft siden 1. juli 2025.<\/li>\n<li><strong>Finanssektoren<\/strong>: H\u00e5ndteres under DORA-forordningen (Digital Operational Resilience Act), der tr\u00e5dte i kraft 17. januar 2025.<\/li>\n<li><strong>\u00d8vrige sektorer<\/strong>: D\u00e6kket af den generelle NIS-2-lov (L 141), i kraft fra 1. juli 2025.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Denne opdelade tilgang giver fleksibilitet, men skaber ogs\u00e5 forvirring. If\u00f8lge PwC Legal er Danmark et af de f\u00e5 EU-lande, der ikke anvender administrative b\u00f8der i traditionel forstand: sanktioner udstedes i stedet som <strong>strafferetlige b\u00f8der<\/strong> via de kompetente nationale domstole efter anbefaling fra tilsynsmyndigheden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Overgangstiden har heller ikke gjort det nemmere. Virksomheder, der formelt er designeret som v\u00e6sentlige eller vigtige enheder, modtager ikke endelig officiel besked f\u00f8r senest 17. juli 2026. Herefter har de 9 til 10 m\u00e5neder til at overholde alle relevante krav.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"hvem-er-daekket-af-nis2-i-danmark\">Hvem er d\u00e6kket af NIS2 i Danmark?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">St\u00f8rrelseskriterierne for NIS2 i Danmark f\u00f8lger EU-direktivets minimumskrav. En virksomhed er som udgangspunkt omfattet, hvis den opfylder mindst \u00e9t af f\u00f8lgende kriterier:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Besk\u00e6ftiger <strong>mere end 50 medarbejdere<\/strong>, eller<\/li>\n<li>Har en <strong>\u00e5rlig oms\u00e6tning og balance p\u00e5 over EUR 10 millioner<\/strong><\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Kriterierne er ikke kumulative, dvs. det er nok at opfylde \u00e9t af dem, forudsat at virksomheden opererer inden for de sektorer, der er listet i NIS2&#8217;s bilag I og II.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Analysevirksomheden Copla beskriver det som &#8220;ikke blot en reguleringsopgradering, men et paradigmeskifte&#8221;, at Danmark udvider fra ca. 1.000 til mere end 6.000 enheder p\u00e5 tv\u00e6rs af 18 sektorer. For mange virksomheder er NIS2 det f\u00f8rste m\u00f8de med formelle cybersikkerhedskrav.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"15-sektorer-6-000-virksomheder-nis2s-raekkevidde-i-tal\">15 sektorer, 6.000 virksomheder: NIS2&#8217;s r\u00e6kkevidde i tal<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">NIS-2-loven (L 141) d\u00e6kker 15 sektorer direkte, mens den samlede danske implementering inklusive sektorspecifik lovgivning d\u00e6kker 18 sektorer. Nedenst\u00e5ende tabel viser fordelingen og kategoriseringen:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Sektor<\/th><th>Kategori<\/th><th>Lovgrundlag<\/th><th>Ikrafttr\u00e6delse<\/th><\/tr><\/thead><tbody><tr><td>Energi (el, gas, olie, fjernvarme, hydrogen)<\/td><td>V\u00e6sentlig<\/td><td>Lov nr. 258\/2025<\/td><td>7. marts 2025<\/td><\/tr><tr><td>Transport (luft, jernbane, vej, s\u00f8)<\/td><td>V\u00e6sentlig<\/td><td>NIS-2-loven L 141<\/td><td>1. juli 2025<\/td><\/tr><tr><td>Bankv\u00e6sen og finansiel infrastruktur<\/td><td>V\u00e6sentlig<\/td><td>DORA-forordningen<\/td><td>17. januar 2025<\/td><\/tr><tr><td>Sundhed (hospitaler, laboratorier, forskning)<\/td><td>V\u00e6sentlig<\/td><td>NIS-2-loven L 141<\/td><td>1. juli 2025<\/td><\/tr><tr><td>Drikkevand og spildevand<\/td><td>V\u00e6sentlig<\/td><td>NIS-2-loven L 141<\/td><td>1. juli 2025<\/td><\/tr><tr><td>Digital infrastruktur (cloud, datacentre, DNS)<\/td><td>V\u00e6sentlig<\/td><td>NIS-2-loven L 141<\/td><td>1. juli 2025<\/td><\/tr><tr><td>IKT-tjenester (managed services, security)<\/td><td>V\u00e6sentlig<\/td><td>NIS-2-loven L 141<\/td><td>1. juli 2025<\/td><\/tr><tr><td>Telekommunikation<\/td><td>V\u00e6sentlig<\/td><td>Lov nr. 435\/2025<\/td><td>1. juli 2025<\/td><\/tr><tr><td>Post og kurertjenester<\/td><td>Vigtig<\/td><td>NIS-2-loven L 141<\/td><td>1. juli 2025<\/td><\/tr><tr><td>Affaldsh\u00e5ndtering<\/td><td>Vigtig<\/td><td>NIS-2-loven L 141<\/td><td>1. juli 2025<\/td><\/tr><tr><td>Kemisk industri<\/td><td>Vigtig<\/td><td>NIS-2-loven L 141<\/td><td>1. juli 2025<\/td><\/tr><tr><td>F\u00f8devarer (produktion og distribution)<\/td><td>Vigtig<\/td><td>NIS-2-loven L 141<\/td><td>1. juli 2025<\/td><\/tr><tr><td>Produktion (medicinsk udstyr, elektronik, maskiner)<\/td><td>Vigtig<\/td><td>NIS-2-loven L 141<\/td><td>1. juli 2025<\/td><\/tr><tr><td>Digitale markedspladser og s\u00f8gemaskiner<\/td><td>Vigtig<\/td><td>NIS-2-loven L 141<\/td><td>1. juli 2025<\/td><\/tr><tr><td>Forskning og videreg\u00e5ende uddannelse<\/td><td>Vigtig<\/td><td>NIS-2-loven L 141<\/td><td>1. juli 2025<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"de-konkrete-nis2-krav-hvad-skal-virksomheder-goere\">De konkrete NIS2-krav: hvad skal virksomheder g\u00f8re?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">NIS2 stiller krav inden for fire overordnede kategorier. Digitaliseringsstyrelsen, der er tilsynsmyndighed for den digitale sektor, opsummerer kravene som:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Registrering<\/strong>: Enheder skal registrere sig via Virk.dk med MitID Erhverv. Udenlandske enheder med aktiviteter i Danmark registrerer via et separat formular eller tredjepartsrepr\u00e6sentant.<\/li>\n<li><strong>Ledelseskrav<\/strong>: Topledelsen skal godkende og have overblik over cybersikkerhedsforanstaltninger. NIS2 g\u00f8r det personligt ansvarligt for direktionen at sikre compliance.<\/li>\n<li><strong>H\u00e6ndelsesrapportering<\/strong>: V\u00e6sentlige h\u00e6ndelser skal rapporteres til de relevante myndigheder inden for faste tidsfrister.<\/li>\n<li><strong>Tekniske og organisatoriske sikkerhedsforanstaltninger<\/strong>: Virksomheder skal implementere risikobaserede sikkerhedsforanstaltninger, herunder adgangsstyring, kryptering, backup, supply chain-sikkerhed og business continuity-planl\u00e6gning.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Kravene er ikke &#8220;check the box&#8221;-compliance. NIS2 forventer, at sikkerhed er forankret i virksomhedens ledelse og risikostyring, ikke blot i IT-afdelingen. Det er en markant kulturel forandring for mange danske mellemstore virksomheder.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"haendelsesrapportering-24-72-30-reglen\">H\u00e6ndelsesrapportering: 24-72-30 reglen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Et af de mest konkrete og tidskritiske NIS2-krav er den strukturerede h\u00e6ndelsesrapportering. Processen k\u00f8rer i tre trin:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>24 timer<\/strong>: Tidlig varsling til den relevante sektormyndighed ved v\u00e6sentlige h\u00e6ndelser. Denne notifikation skal sendes, selvom virksomheden endnu ikke har fuldt overblik over h\u00e6ndelsen.<\/li>\n<li><strong>72 timer<\/strong>: Opdateret rapport med forel\u00f8big vurdering af \u00e5rsag, omfang og indvirkning.<\/li>\n<li><strong>30 dage<\/strong>: Endelig rapport med fuld analyse, afhj\u00e6lpende foranstaltninger og erfaringer.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Rapporteringen sker via CFCS NIS-portalen (Center for Cybersikkerhed) eller via Virk.dk. CFCS fungerer som Danmarks nationale CSIRT (Computer Security Incident Response Team) og er den centrale koordinerende enhed for alvorlige h\u00e6ndelser, der rammer kritisk infrastruktur.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Vigtigt at bem\u00e6rke: 24-timersfristen l\u00f8ber fra det tidspunkt, virksomheden <em>bliver bekendt med<\/em> h\u00e6ndelsen, ikke fra tidspunktet for selve angrebet. Sent opdagede angreb, som fx ransomware der har ligget gemt i systemerne i uger, starter stadig 24-timersursuret fra opdagelsestidspunktet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"boeder-og-sanktioner-op-til-e10-millioner-i-danmark\">B\u00f8der og sanktioner: op til \u20ac10 millioner i Danmark<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">NIS2 indf\u00f8rer b\u00f8der af en st\u00f8rrelse, der er ny i dansk cybersikkerhedspraksis. Sanktionerne afh\u00e6nger af, om virksomheden klassificeres som v\u00e6sentlig eller vigtig enhed:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Enhedstype<\/th><th>Maksimal b\u00f8de<\/th><th>Alternativ beregning<\/th><th>Yderligere sanktioner<\/th><\/tr><\/thead><tbody><tr><td>V\u00e6sentlig enhed (VE)<\/td><td>\u20ac10.000.000<\/td><td>2% af global oms\u00e6tning<\/td><td>Dagb\u00f8der, offentlig navngivelse, ledelseskrav<\/td><\/tr><tr><td>Vigtig enhed (VI)<\/td><td>\u20ac7.000.000<\/td><td>1,4% af global oms\u00e6tning<\/td><td>Dagb\u00f8der, offentlig navngivelse<\/td><\/tr><tr><td>Offentlige myndigheder<\/td><td>Varierer per sektor<\/td><td>Vurderes individuelt<\/td><td>Tvangsmulkter, organisations\u00e6ndringer<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Et afg\u00f8rende dansk s\u00e6rkende: <strong>Danmark udsteder ikke administrative b\u00f8der<\/strong> i traditionel GDPR-forstand. I stedet anbefaler tilsynsmyndigheden en b\u00f8de, som derefter id\u00f8mmes som <strong>strafferetlig b\u00f8de<\/strong> via de kompetente nationale domstole. Dette giver en ekstra retslig proces, men det \u00e6ndrer ikke ved sanktionernes st\u00f8rrelse.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Udover b\u00f8der kan tilsynsmyndighederne p\u00e5l\u00e6gge dagb\u00f8der, offentligg\u00f8re overtr\u00e6delser (naming and shaming) og i yderste konsekvens forbyde enkeltpersoner i ledelsen at bestride visse stillinger. Det sidste tiltag er nyt i dansk cybersikkerhedsregulering og understreger, at NIS2 g\u00f8r compliance til et <strong>ledelsesansvar<\/strong>, ikke blot et IT-ansvar.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"registrering-via-virk-dk-hvad-ved-vi-om-compliance-status\">Registrering via Virk.dk: hvad ved vi om compliance-status?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Registreringsporten p\u00e5 Virk.dk \u00e5bnede 1. juli 2025, og fristen for obligatorisk registrering var 1. oktober 2025. Virksomheder, der bliver omfattet af loven efter denne dato, skal registrere sig senest to uger efter at v\u00e6re blevet omfattet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">De danske myndigheder har ikke offentliggjort pr\u00e6cise tal for, hvor mange af de 6.000+ virksomheder, der faktisk har registreret sig. Det er et m\u00f8nster, der g\u00e5r igen p\u00e5 tv\u00e6rs af EU: frister passerer, og h\u00e5ndh\u00e6velsen er endnu sparsom i de fleste lande.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En vigtig detalje: mange virksomheder er i en gr\u00e5zone, fordi de formelt f\u00f8rst modtager besked om, at de er designeret som henholdsvis v\u00e6sentlig eller vigtig enhed, senest 17. juli 2026. Frem til da kan visse virksomheder med rette sp\u00f8rge, om de er d\u00e6kket, og hermed forsinkelse enten registrering eller tilpasning af sikkerhedsforanstaltninger.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">DNV Cyber&#8217;s rapport &#8220;How Cyber Resilient Is Denmark?&#8221;, baseret p\u00e5 interviews med 200 danske ledere i kritisk infrastruktur, konkluderer, at den grundl\u00e6ggende svaghed i Danmarks digitale modstandsdygtighed er &#8220;uklart ejerskab af cybersikkerhed&#8221;. Rapporten finder, at ledere i kritisk infrastruktur ofte ser national cyber-resiliens som &#8220;andres ansvar&#8221;.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"hvem-foerer-tilsyn-med-nis2-i-danmark\">Hvem f\u00f8rer tilsyn med NIS2 i Danmark?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">NIS2-tilsynet i Danmark er fordelt p\u00e5 tv\u00e6rs af sektormyndigheder. Den overordnede koordinering ligger hos Ministeriet for Samfundssikkerhed og Beredskab (MSSB), men den daglige tilsynsrolle er placeret hos de relevante sektormyndigheder:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Digitaliseringsstyrelsen<\/strong>: Tilsynsmyndighed for den digitale sektor, herunder cloud-udbydere, datacentre, DNS-udbydere og IT-managed service providers. Kontakt: NIS@digst.dk<\/li>\n<li><strong>Styrelsen for Samfundssikkerhed (Samsik)<\/strong>: Spiller en central rolle i at koordinere national cyber-resiliens og f\u00f8re tilsyn p\u00e5 tv\u00e6rs af sektorer.<\/li>\n<li><strong>CFCS (Center for Cybersikkerhed)<\/strong>: Fungerer som Danmarks nationale CSIRT og modtager h\u00e6ndelsesrapporter via NIS-portalen. CFCS er placeret under Forsvarets Efterretningstjeneste.<\/li>\n<li><strong>Sektormyndigheder<\/strong>: Energistyrelsen, Trafik-, Bygge- og Boligstyrelsen, Finanstilsynet m.fl. f\u00f8rer tilsyn i deres respektive sektorer.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Tilsynsmodellen betyder, at en virksomhed kan have kontakt med flere myndigheder afh\u00e6ngigt af sin sektortilknytning. En stor transport- og logistikvirksomhed med egne IT-systemer og energiinstallationer kan i princippet falde under flere myndigheders jurisdiktion.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"nordisk-sammenligning-danmarks-position-i-nabolandenes-skygge\">Nordisk sammenligning: Danmarks position i nabolandenes skygge<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">For at forst\u00e5 Danmarks NIS2-situation er det nyttigt at sammenligne med de \u00f8vrige nordiske lande. DNV Cyber&#8217;s nordiske analyse fra 2026 giver et klart billede af cybertrusselsbilledet i regionen:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Land<\/th><th>Cyberh\u00e6ndelser i 2025<\/th><th>NIS2-status (per juni 2026)<\/th><th>Markant fund<\/th><\/tr><\/thead><tbody><tr><td>Sverige<\/td><td>60 h\u00e6ndelser<\/td><td>Implementeret<\/td><td>1 ud af 5 svenske borgere rapporterer at hverdagen er p\u00e5virket af cyberh\u00e6ndelser<\/td><\/tr><tr><td>Finland<\/td><td>44 h\u00e6ndelser<\/td><td>Implementeret<\/td><td>65% af kritiske infrastrukturledere ser \u00f8get angrebsfrekvens; 61% af borgere vil acceptere indskr\u00e6nkninger for bedre sikkerhed<\/td><\/tr><tr><td>Danmark<\/td><td>41 h\u00e6ndelser<\/td><td>Implementeret (1. juli 2025)<\/td><td>Uklart ejerskab: mange ledere ser cyber-resiliens som &#8220;andres ansvar&#8221;<\/td><\/tr><tr><td>Norge<\/td><td>21 h\u00e6ndelser<\/td><td>Implementeret<\/td><td>52% af ledere i kritisk infrastruktur ser cyber-resiliens som &#8220;andres ansvar&#8221;<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Sverige er h\u00e5rdest ramt med 60 cyberh\u00e6ndelser i 2025, mens Norge kun registrerede 21. DNV Cyber konkluderer, at cybermodstandsdygtighed i alle fire lande i h\u00f8j grad afh\u00e6nger af, i hvilken grad virksomheder, myndigheder og borgere forst\u00e5r og udfylder deres rolle i et sammenkoblet system.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">P\u00e5 globalt plan viser World Economic Forums Global Cybersecurity Outlook 2026, at 31% af respondenter verden over har lav tillid til, at deres land kan reagere effektivt p\u00e5 store cyberh\u00e6ndelser. Det er en stigning fra 26% i 2025. Kun 19% af organisationer siger, at deres cyber-resiliens overstiger minimumsrequirements, mod blot 9% i 2025.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"den-stoerste-udfordring-ejerskab-og-ledelsesansvar\">Den st\u00f8rste udfordring: ejerskab og ledelsesansvar<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">NIS2 stiller et krav, der mange steder viser sig sv\u00e6rere at opfylde end de tekniske krav: at topledelsen tager personligt ansvar for cybersikkerhed. I de nordiske lande ser vi igen og igen det samme m\u00f8nster.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">DNV Cyber&#8217;s rapport om Norge viste, at <strong>52% af ledere<\/strong> i sektorer, der er klassificeret som kritiske af EU, mener, at modstandsdygtighed er &#8220;andres ansvar&#8221;. En tredjedel (32%) er ikke engang sikre p\u00e5, om deres organisation er involveret i kritisk infrastruktur.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">For Danmark er billedet ens. If\u00f8lge DNV Cyber, baseret p\u00e5 200 danske kritiske infrastrukturledere, er det ikke de tekniske kontroller, der er det svage led. Det er <strong>ledelsesforankring, tv\u00e6rsektoriel koordinering og evnen til at reagere i stor skala<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">NIS2 fors\u00f8ger at l\u00f8se dette strukturelt: direktivet g\u00f8r ledelsesorganer direkte ansvarlige og \u00e5bner for personligt ansvar over for direkt\u00f8rer og bestyrelsesmedlemmer, hvis en virksomhed gentagne gange overtr\u00e6der kravene. For mange danske ledere er dette en ny og ubehagelig realitet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">PwC&#8217;s Global Digital Trust Insights Survey 2026, baseret p\u00e5 svar fra over 3.800 globale ledere, viser, at <strong>60% af erhvervs- og teknologiledere<\/strong> nu placerer cyberinvesteringer i deres tre \u00f8verste strategiske prioriteter. Alligevel er kun 6% trygge ved deres sikkerhedsniveau p\u00e5 tv\u00e6rs af alle s\u00e5rbarhedskategorier.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"nis2-vs-dora-vs-cer-hvad-gaelder-hvornaar\">NIS2 vs DORA vs CER: hvad g\u00e6lder hvorn\u00e5r?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Mange danske virksomheder er forvirrede over forholdet mellem NIS2 og de andre store EU-regulativer, der rammer cybersikkerhedsomr\u00e5det. Her er de vigtigste skel:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>NIS2<\/strong> g\u00e6lder som udgangspunkt for alle sektorer i bilag I og II, medmindre en mere specifik regulering g\u00e6lder. Den s\u00e6tter minimumsstandarden for cybersikkerhed og h\u00e6ndelsesrapportering.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>DORA<\/strong> (Digital Operational Resilience Act) er en finanssektorspecifik EU-forordning, der tr\u00e5dte i kraft 17. januar 2025. DORA g\u00e6lder for banker, forsikringsselskaber, investeringsfirmaer og deres kritiske IT-leverand\u00f8rer. Finansielle virksomheder skal f\u00f8lge DORA frem for NIS2.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>CER-direktivet<\/strong> (Critical Entities Resilience) fokuserer p\u00e5 fysisk modstandsdygtighed for kritiske enheder og implementeres parallelt med NIS2 i Danmark, fx i energisektoren via Lov nr. 258 af 6. marts 2025.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">For de fleste mellemstore danske virksomheder uden for finanssektoren er NIS2 det prim\u00e6re regels\u00e6t at forholde sig til. Men leverand\u00f8rer til finansielle virksomheder kan havne i gr\u00e5zonen, da DORA stiller sk\u00e6rpede krav til kritiske IT-tjenesteudbydere, uanset om de selv er finansielle.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"supply-chain-sikkerhed-nis2s-skjulte-udfordring\">Supply chain-sikkerhed: NIS2&#8217;s skjulte udfordring<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Et af de mest undervurderede elementer i NIS2 er kravet om supply chain-sikkerhed. Virksomheder skal ikke blot sikre egne systemer; de skal aktivt vurdere og h\u00e5ndtere cyberrisici fra leverand\u00f8rer og underleverand\u00f8rer.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">DNV Cyber&#8217;s anbefalinger for Finland fremh\u00e6ver dette som en prioritet: &#8220;Styrk overblikket og tilsynet med leverand\u00f8rer og tredjepartsafh\u00e6ngigheder for at reducere systemisk risiko, begr\u00e6nse skjult eksponering og h\u00e5ndtere kaskadeeffekter fra cyberh\u00e6ndelser i forbundne \u00f8kosystemer.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">For Danmark, med st\u00e6rke sektorer inden for pharma, shipping og avanceret produktion, er supply chain-risici betydelige. Et cyberangreb p\u00e5 \u00e9n n\u00f8gleleverand\u00f8r kan kaskadere ud til dusinvis af NIS2-regulerede virksomheder og udl\u00f8se rapporteringspligter for alle i k\u00e6den.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Eksemplet med <a href=\"\/dk\/npm-supply-chain-attacks-2026\/\">npm supply chain-angreb<\/a>, hvor 1,2 millioner ondsindede pakker ramte globale udviklingsmilj\u00f8er, illustrerer, hvad der kan ske, n\u00e5r \u00e9n svag komponent i forsyningsk\u00e6den kompromitteres. Under NIS2 er det ikke blot de direkte ramte, der har ansvar: alle, der brugte den kompromitterede komponent, kan have rapporteringspligt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"opdenmark-og-det-geopolitiske-trusselsbillede\">OpDenmark og det geopolitiske trusselsbillede<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">NIS2 blev designet i en tid med stigende geopolitiske sp\u00e6ndinger, og det danske trusselsbillede understreger n\u00f8dvendigheden. I februar 2026 advarede Truesec om &#8220;OpDenmark&#8221;, en cybertrussel lanceret af den russiskst\u00f8ttede hacktivistgruppe Russian Legion med en storskala angrebsadvarsel specifikt rettet mod Danmark.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Falconer Security, der analyserer geopolitiske cybertrusler mod nordiske SMV&#8217;er, advarer om, at &#8220;den geopolitiske cybertrussel mod Danmark og Norden er h\u00e5ndgribelig og voksende i 2026&#8221;. Angrebene er ikke l\u00e6ngere kun rettet mod store statslige institutioner; mellemstore virksomheder i kritiske sektorer er i stigende grad i s\u00f8gelyset.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">If\u00f8lge Check Points Cybersecurity Report 2026 steg cyberangreb i Europa med <strong>20% i 2025<\/strong>. Kombinationen af statslige akt\u00f8rers aktivitet, voksende ransomware-grupper og en angrebsoverflade, der udvides med hvert nyt IoT-device og cloud-migrering, g\u00f8r NIS2-compliance til en strategisk n\u00f8dvendighed snarere end blot en regulatorisk forpligtelse.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">CFCS (Center for Cybersikkerhed) vurderer l\u00f8bende trusselsniveauet for dansk kritisk infrastruktur. Centret er placeret under Forsvarets Efterretningstjeneste og udgiver j\u00e6vnlige trusselsvurderinger. <a href=\"https:\/\/www.cfcs.dk\/\" target=\"_blank\" rel=\"noopener noreferrer\">CFCS&#8217;s hjemmeside<\/a> samler aktuelle advarsler og vejledning til virksomheder.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"5-prognoser-for-nis2-i-danmark-frem-mod-2027\">5 prognoser for NIS2 i Danmark frem mod 2027<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Baseret p\u00e5 implementeringshistorik, myndighedsplaner og trusselsbilledet er her fem konkrete forudsigelser for NIS2-regulerings udvikling i Danmark:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>F\u00f8rste b\u00f8der falder i 2026:<\/strong> CFCS og sektormyndigheder begyndte revisioner i januar 2026. Forvent de f\u00f8rste konkrete h\u00e5ndh\u00e6velsessager og offentligg\u00f8relser i andet halv\u00e5r 2026, sandsynligvis rettet mod virksomheder, der ikke overholdt registreringsfristen 1. oktober 2025.<\/li>\n<li><strong>Op mod 30% af de 6.000 virksomheder er endnu ikke compliant:<\/strong> Erfaringer fra GDPR-implementeringen i 2018 viste, at en stor andel af virksomheder ikke n\u00e5ede at tilpasse sig inden fristen. NIS2 er mere teknisk kompleks, og compliance-graden vil sandsynligvis ligge under 70% i f\u00f8rste omgang.<\/li>\n<li><strong>Supply chain-krav udl\u00f8ser ny b\u00f8lge af leverand\u00f8rkrav:<\/strong> Store NIS2-regulerede virksomheder vil i stigende grad stille cybersikkerhedskrav til leverand\u00f8rer via kontraktuelle forpligtelser, hvilket presser ogs\u00e5 virksomheder under NIS2-t\u00e6rsklen til at h\u00e6ve sikkerhedsniveauet.<\/li>\n<li><strong>Offentligg\u00f8relse af overtr\u00e6delser skaber afskr\u00e6kkende effekt:<\/strong> &#8220;Naming and shaming&#8221;-mekanismen forventes at have en st\u00e6rk afskr\u00e6kkende virkning i det lille danske marked, hvor omd\u00f8mme og kunderelationer er centrale. En enkelt offentliggjort overtr\u00e6delse kan have stor markedsp\u00e5virkning.<\/li>\n<li><strong>NIS2 fusionerer med AI-governance-dagsordenen:<\/strong> EU&#8217;s AI Act tr\u00e5dte i kraft i august 2024. I 2026 og 2027 vil de to regulativer konvergere i praksis, da AI-systemer der underst\u00f8tter kritisk infrastruktur potentielt er underlagt begge regels\u00e6t. Virksomheder med AI-drevne operationelle systemer skal forvente dobbelttilsyn.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"relateret-daekning\">Relateret d\u00e6kning<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"laes-ogsaa-disse-artikler-om-cybersikkerhed-og-trusler\">L\u00e6s ogs\u00e5 disse artikler om cybersikkerhed og trusler<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"\/dk\/ransomware-groups-surge-2026\/\">Ransomware-grupper steg med 49%: 8.159 ofre ramt i 2025<\/a><\/li>\n<li><a href=\"\/dk\/ai-cyberattacks-2026\/\">AI-cyberangreb: 90% autonome, 40.000 s\u00e5rbarheder<\/a><\/li>\n<li><a href=\"\/dk\/npm-supply-chain-attacks-2026\/\">npm supply chain-angreb: 1,2 millioner ondsindede pakker<\/a><\/li>\n<li><a href=\"\/dk\/novo-nordisk-databrud-2026\/\">Novo Nordisk: 1,3 TB stj\u00e5let, $25M l\u00f8sesum afvist<\/a><\/li>\n<li><a href=\"\/dk\/agentic-ai-security-2026\/\">Agentic AI-sikkerhed: $4,7M brud, 92% alarmeret<\/a><\/li>\n<li><a href=\"\/dk\/cybersikkerhed\/\">Cybersikkerhed: Seneste nyheder og analyser<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ekstern-autoritetslaesning\">Ekstern autoritetsl\u00e6sning<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">For officiel vejledning om NIS2 i Danmark, se:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/en.digst.dk\/digital-governance\/nis-2\/what-is-nis-2\/\" target=\"_blank\" rel=\"noopener noreferrer\">Digitaliseringsstyrelsen: Hvad er NIS2?<\/a><\/li>\n<li><a href=\"https:\/\/www.cfcs.dk\/\" target=\"_blank\" rel=\"noopener noreferrer\">Center for Cybersikkerhed (CFCS)<\/a><\/li>\n<li><a href=\"https:\/\/ecs-org.eu\/policy\/nis2-directive-transposition-tracker\/\" target=\"_blank\" rel=\"noopener noreferrer\">ECSO NIS2 Transposition Tracker<\/a><\/li>\n<li><a href=\"https:\/\/ezine.eversheds-sutherland.com\/eu-nis2-directive\/denmark\" target=\"_blank\" rel=\"noopener noreferrer\">Eversheds Sutherland: NIS2 i Danmark<\/a><\/li>\n<li><a href=\"https:\/\/copla.com\/blog\/compliance-regulations\/nis2-directive-regulations-and-implementation-in-denmark\/\" target=\"_blank\" rel=\"noopener noreferrer\">Copla: NIS2-regulering og implementering i Danmark<\/a><\/li>\n<li><a href=\"https:\/\/falconersecurity.com\/blog\/geopolitical-cyber-threats-2026\/\" target=\"_blank\" rel=\"noopener noreferrer\">Falconer Security: Geopolitiske cybertrusler mod Norden 2026<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"faq-om-nis2-i-danmark\">FAQ om NIS2 i Danmark<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hvornaar-traadte-nis2-loven-i-kraft-i-danmark\">Hvorn\u00e5r tr\u00e5dte NIS2-loven i kraft i Danmark?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">NIS-2-loven (Lov nr. 434 af 6. maj 2025) tr\u00e5dte i kraft den 1. juli 2025. Energisektorens s\u00e6rlov tr\u00e5dte i kraft allerede 7. marts 2025. Danmark overholdt ikke EU&#8217;s originalfrist p\u00e5 17. oktober 2024.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hvor-mange-virksomheder-er-daekket-af-nis2-i-danmark\">Hvor mange virksomheder er d\u00e6kket af NIS2 i Danmark?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Mere end 6.000 virksomheder og organisationer er d\u00e6kket under det samlede danske NIS2-regime, mod ca. 1.000 under den tidligere NIS1-lov. Udvidelsen d\u00e6kker 18 sektorer i alt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hvad-er-boederne-for-manglende-nis2-compliance-i-danmark\">Hvad er b\u00f8derne for manglende NIS2-compliance i Danmark?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">V\u00e6sentlige enheder kan id\u00f8mmes b\u00f8der p\u00e5 op til \u20ac10 millioner eller 2% af global oms\u00e6tning. Vigtige enheder kan b\u00f8des op til \u20ac7 millioner eller 1,4% af global oms\u00e6tning. I Danmark id\u00f8mmes b\u00f8der som strafferetlige sanktioner via domstolene, ikke som administrative b\u00f8der.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"gaelder-nis2-for-min-smv\">G\u00e6lder NIS2 for min SMV?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">NIS2 g\u00e6lder for virksomheder med mere end 50 medarbejdere ELLER oms\u00e6tning og balance p\u00e5 over EUR 10 millioner, der opererer inden for de 18 d\u00e6kkede sektorer. Mikrovirksomheder (under 10 medarbejdere og under EUR 2 millioner i oms\u00e6tning) er generelt undtaget, medmindre de er eneste udbyder af en kritisk tjeneste i Danmark.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hvad-er-fristen-for-at-registrere-sig-under-nis2\">Hvad er fristen for at registrere sig under NIS2?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Fristen for obligatorisk registrering via Virk.dk var 1. oktober 2025. Virksomheder, der bliver omfattet efter denne dato, skal registrere sig senest to uger efter at v\u00e6re blevet omfattet af loven.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hvornaar-skal-en-cyberhaendelse-rapporteres-under-nis2\">Hvorn\u00e5r skal en cyberh\u00e6ndelse rapporteres under NIS2?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">En tidlig varsling skal sendes inden for 24 timer fra opdagelsen af en v\u00e6sentlig h\u00e6ndelse. En opdateret rapport f\u00f8lger inden for 72 timer. En endelig rapport skal indsendes senest 30 dage efter h\u00e6ndelsen. Rapporteringen sker via CFCS NIS-portalen eller Virk.dk.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hvad-er-forskellen-paa-nis2-og-dora\">Hvad er forskellen p\u00e5 NIS2 og DORA?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">NIS2 er det generelle cybersikkerhedsdirektiv, der g\u00e6lder for de fleste kritiske sektorer. DORA (Digital Operational Resilience Act) er finanssektorspecifik og g\u00e6lder for banker, forsikringsselskaber og deres kritiske IT-leverand\u00f8rer. Finansielle virksomheder f\u00f8lger DORA frem for NIS2, men de to regels\u00e6t har mange overlappende principper.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Den 1. juli 2025 tr\u00e5dte NIS-2-loven i kraft i Danmark, og med den stod mere end 6.000 virksomheder pludselig over for et nyt cybersikkerhedsregime med b\u00f8der p\u00e5 op til \u20ac10\u2026<\/p>\n","protected":false},"author":5,"featured_media":143,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-142","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/posts\/142","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/comments?post=142"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/posts\/142\/revisions"}],"predecessor-version":[{"id":144,"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/posts\/142\/revisions\/144"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/media\/143"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/media?parent=142"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/categories?post=142"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/tags?post=142"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}