Vi er under 50 ansatte — kan vi ignorere NIS2?

Ikke nødvendigvis. Tjek undtagelserne for kritiske aktører, og forvent kravene gennem jeres kunder, hvis I leverer til omfattede virksomheder eller det offentlige.

Er ISO 27001-certificering det samme som NIS2-compliance?

Nej, men der er stort overlap. ISO 27001 er et glimrende fundament, der dækker hovedparten af artikel 21 — rapporteringspligter og sektorspecifikke krav skal håndteres oveni.

Hvad er forskellen på NIS2 og DORA?

DORA er finanssektorens egen, strammere udgave. Er I omfattet af DORA, gælder den som lex specialis i stedet for NIS2’s tilsvarende krav.

Hvad koster det at blive NIS2-compliant?

Det afhænger helt af udgangspunktet. En gap-analyse til fast pris er den billigste måde at få et realistisk budget på, før der investeres i tiltag.

Viden

Hvad er NIS2 — og hvem er omfattet?

NIS2 er EU's direktiv om cybersikkerhed (direktiv 2022/2555), som stiller bindende krav om risikostyring, sikkerhedsforanstaltninger og hændelsesrapportering til virksomheder og myndigheder i samfundskritiske og vigtige sektorer. Direktivet gør cybersikkerhed til et direkte ledelsesansvar med personligt ansvar for topledelsen.

Udgivet: 11. juni 2026Opdateret: 11. juni 2026Læsetid: 5 min.

Hvorfor NIS2?

Forgængeren NIS1 dækkede få sektorer og blev håndhævet uensartet. NIS2 udvider markant: flere sektorer, klarere minimumskrav, skrappere tilsyn og bøder, der kan mærkes — op til 10 mio. EUR eller 2 % af global omsætning for væsentlige enheder. I Danmark er direktivet gennemført ved lov med ikrafttræden i 2025, og tilsynet føres af sektormyndighederne med Center for Cybersikkerhed som omdrejningspunkt.

Hvem er omfattet af NIS2?

NIS2 opdeler i væsentlige og vigtige enheder. Som hovedregel er I omfattet, hvis I opererer i en af direktivets sektorer og har mindst 50 ansatte eller en årsomsætning/balance over 10 mio. EUR. Visse aktører er omfattet uanset størrelse (fx DNS-udbydere og enheder, hvor en hændelse kan få væsentlige samfundskonsekvenser).

Sektorerne omfatter blandt andet energi, transport, sundhed, drikke- og spildevand, digital infrastruktur og IT-tjenester (herunder managed service providers), offentlig forvaltning, post, affald, fødevarer, fremstilling af kritiske produkter samt forskning.

To forhold overrasker ofte: kommuner og offentlige enheder er omfattet som offentlig forvaltning, og leverandørkæden trækkes med ind — er jeres kunde omfattet, vil kravene lande hos jer via kontrakter, selv hvis I ikke selv er direkte omfattet.

Hvad kræver NIS2 konkret?

Kernen er artikel 21’s minimumsforanstaltninger: politikker for risikostyring og informationssikkerhed, hændelseshåndtering, driftskontinuitet og backup, leverandørstyring, sikkerhed i anskaffelse og udvikling, evaluering af foranstaltningernes effekt, cyberhygiejne og awareness-træning, kryptografi, adgangsstyring og multifaktorautentifikation.

Dertil kommer rapporteringspligten ved væsentlige hændelser: tidlig varsling inden for 24 timer, hændelsesnotifikation inden for 72 timer og endelig rapport inden for en måned.

Og det vigtigste i bestyrelseslokalet: ledelsen skal godkende foranstaltningerne, føre tilsyn med dem og uddannes i cybersikkerhed — og kan holdes personligt ansvarlig ved forsømmelse.

Hvor skal I starte?

Tre skridt i rækkefølge: afklar om og hvordan I er omfattet (scoping), mål afstanden mellem nuværende sikkerhedsniveau og kravene (gap-analyse), og læg en prioriteret handlingsplan med de billigste, mest risikoreducerende tiltag først. De fleste SMV’er opdager, at 60-70 % af kravene kan løftes med god grundhygiejne — resten kræver struktur og dokumentation.

Ofte stillede spørgsmål

Vi er under 50 ansatte — kan vi ignorere NIS2?
Ikke nødvendigvis. Tjek undtagelserne for kritiske aktører, og forvent kravene gennem jeres kunder, hvis I leverer til omfattede virksomheder eller det offentlige.
Er ISO 27001-certificering det samme som NIS2-compliance?
Nej, men der er stort overlap. ISO 27001 er et glimrende fundament, der dækker hovedparten af artikel 21 — rapporteringspligter og sektorspecifikke krav skal håndteres oveni.
Hvad er forskellen på NIS2 og DORA?
DORA er finanssektorens egen, strammere udgave. Er I omfattet af DORA, gælder den som lex specialis i stedet for NIS2’s tilsvarende krav.
Hvad koster det at blive NIS2-compliant?
Det afhænger helt af udgangspunktet. En gap-analyse til fast pris er den billigste måde at få et realistisk budget på, før der investeres i tiltag.

Kilder

Direktiv (EU) 2022/2555 – NIS2 (EUR-Lex)

Center for Cybersikkerhed – NIS2

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.

Book en afklaringssamtale Se relateret ydelse

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.