Er din virksomhed klar til NIS2?

NIS2-loven træder i kraft den 1. juli 2025 og skal sikre, at vores kritiske sektorer, fra energi og transport til sundhed og digitale tjenester, er bedre beskyttet mod digitale angreb.

Loven retter sig derfor primært mod mellemstore og store virksomheder samt offentlige myndigheder inden for en lang række samfundskritiske sektorer.

En mellemstor virksomhed defineres typisk som en enhed med mindst 50 ansatte, eller en årlig omsætning på over 10 millioner EUR og en årlig balance på over 10 millioner EUR. 

De vigtigste krav i NIS2-loven

NIS 2-loven understreger, at cybersikkerhed er et ledelsesansvar. Det betyder, at ledelsen skal:

• Godkende cybersikkerhedsforanstaltninger: Bestyrelsen eller direktionen skal aktivt godkende de tekniske, operationelle og organisatoriske sikkerhedstiltag, der skal implementeres.
• Føre tilsyn: Ledelsen skal løbende følge op på, at sikkerhedsforanstaltningerne fungerer effektivt og er tilstrækkelige.
• Sikre uddannelse: Ledelsesmedlemmer skal selv deltage i relevante kurser om cybersikkerhedsrisici og opfordre til, at lignende kurser tilbydes til alle medarbejdere. Medarbejdernes viden og adfærd er nemlig et centralt element i god cybersikkerhed.

Hvad betyder det, hvis du er en lille eller mellemstor virksomhed?

Selvom din virksomhed ikke direkte opfylder størrelseskriterierne for at være omfattet af NIS 2-loven, kan du stadig blive berørt.

Mange virksomheder og myndigheder, der er omfattet, er nemlig afhængige af leverandører. Det betyder, at NIS 2-omfattede virksomheder vil stille krav til deres leverandørers cybersikkerhed for at beskytte deres egen forsyningskæde.

Som leverandør kan du derfor opleve, at dine kunder vil forvente, at du har et vist niveau af cybersikkerhed og kan dokumentere det.

Gode råd til din virksomhed

• Start med en risikovurdering: Få overblik over, hvilke trusler og sårbarheder din virksomhed står over for, og hvilke systemer der er mest kritiske.
• Dokumenter dine procedurer: Sørg for, at jeres politikker og arbejdsgange inden for cybersikkerhed er nedskrevet og let tilgængelige for relevante medarbejdere.
• Involver medarbejderne: Regelmæssig træning og øvelser kan gøre en stor forskel for medarbejdernes bevidsthed og evne til at handle korrekt i en krisesituation.
• Dialog med leverandører: Hvis du er leverandør til en NIS 2-omfattet virksomhed, så tag en snak med dine kunder om deres forventninger til din cybersikkerhed. Vær forberedt på at demonstrere jeres sikkerhedspraksis.

Lav en beredskabsplan 

Et centralt element i NIS2 er evnen til at håndtere et cyberangreb, så I kan komme videre.

Derfor bør din virksomhed have en beredskabsplan for cybersikkerhed. En sådan plan beskriver, hvem der gør hvad, hvis I bliver ramt og hvordan I hurtigt får genoprettet drift og kommunikeret med kunder, partnere og myndigheder.

Beredskabsplanen skal være afprøvet og opdateret, og ikke blot eksistere på papir. Øv jer regelmæssigt på realistiske scenarier, så alle ved, hvad de skal gøre, og så eventuelle svagheder i planen kan blive opdaget og rettet i tide.

Det behøver ikke være komplekst at komme i gang: Start med at udpege en krisestab og kortlæg, hvilke systemer og data der er mest kritiske for forretningen.

Det skaber både tryghed og handlekraft, hvis det værste skulle ske. 

Er du i tvivl, om din virksomhed er direkte omfattet af NIS2?

Styrelsen for Samfundssikkerhed har udviklet et værktøj, der kan give dig en hurtig og vejledende vurdering af, om din virksomhed falder ind under NIS2-loven. Læs mere om NIS2-tjekket her.