Er vi omfattet af NIS2, bare fordi vores kunde er det?

Nej. NIS2-loven stiller ikke i sig selv krav til underleverandører. Men jeres kunde må forventes at stille relevante kontraktkrav til jer — så effekten kan ligne, selv om retsgrundlaget er et andet (kontrakt, ikke lov). Er I i tvivl om jeres egen status, kan I bruge myndighedernes værktøj NIS2tjek.dk.

Hvad sker der, hvis vi ikke kan opfylde kravene?

Ingen myndighed sanktionerer jer — men kunden kan vælge en leverandør, der kan. I praksis er konsekvensen kommerciel: tabte kontrakter og udbud, hvor sikkerhedsdokumentation er adgangskrav.

Kan vi bruge en ISO 27001-certificering som svar?

Ofte ja — en certificering eller en struktureret efterlevelse af en anerkendt standard besvarer mange spørgeskemaer på én gang. Men fuld certificering er ikke altid proportional; for mange SMV’er rækker dokumenterede grundforanstaltninger og en kort sikkerhedspolitik langt.

Hvor hurtigt skal vi kunne rapportere hændelser til kunden?

Det afgøres af kontrakten — men fordi kunden selv skal varsle myndighederne inden for 24 timer, vil mange kræve underretning fra jer “uden ugrundet ophold” eller inden for få timer. Sørg for, at I rent faktisk kan opdage hændelser hurtigt nok til at love det.

Viden

NIS2-leverandørkrav — hvad betyder det, når jeres kunde er omfattet?

NIS2-loven stiller ikke direkte krav til underleverandører — men den kræver, at omfattede virksomheder styrer risikoen i deres forsyningskæde. Derfor oplever stadig flere danske SMV'er, der ikke selv er omfattet, at deres kunder nu stiller kontraktkrav om sikkerhedsforanstaltninger, dokumentation, audit-adgang og hændelsesrapportering. Kravene kommer ikke fra myndighederne, men fra jeres kunder — og de afgør, om I beholder forretningen.

Udgivet: 20. juni 2026Opdateret: 20. juni 2026Læsetid: 5 min.

Hvorfor stiller vores kunder pludselig sikkerhedskrav?

NIS2-loven trådte i kraft 1. juli 2025 og omfatter omkring 6.000 danske organisationer, som skulle registrere sig senest 1. oktober 2025 — og tilsynet er begyndt i 2026. Et af lovens kerneområder er forsyningskædesikkerhed: Omfattede virksomheder skal vurdere og håndtere risici hos deres leverandører og tjenesteudbydere.

Det betyder, at jeres kundes compliance-afdeling nu skal kunne dokumentere, at I ikke er det svage led. Den dokumentation kan de kun få ét sted fra: jer.

Hvilke krav møder leverandører typisk?

Kravene varierer, men mønstret er genkendeligt:

Tekniske minimumsforanstaltninger: MFA, opdateringspolitik, kryptering, adgangsstyring, logning og mailsikkerhed (SPF, DKIM, DMARC).
Dokumentation: Sikkerhedspolitik, risikovurdering, beredskabsplan — ofte i form af et leverandørspørgeskema.
Hændelsesrapportering: Pligt til at underrette kunden hurtigt ved sikkerhedshændelser, der kan påvirke leverancen — fordi kunden selv har frister på 24 og 72 timer over for myndighederne.
Audit-adgang: Ret til at efterprøve jeres sikkerhed, fx via spørgeskema, dokumentation eller tredjepartserklæring.

Skal vi acceptere alle krav, som de står?

Nej — og det forventes I heller ikke at gøre ukritisk. Myndighedernes egen vejledning lægger op til en risikobaseret og proportional tilgang: Kravene til jer bør stå i forhold til, hvor kritisk jeres leverance er for kundens drift og sikkerhed.

Leverer I kantinedrift, er fuld ISO 27001-certificering ikke proportional. Driver I kundens IT-infrastruktur, er skrappe krav rimelige. Det giver jer et sagligt forhandlingsrum: Svar på kravene med udgangspunkt i jeres faktiske rolle i kundens risikobillede — og foreslå alternativer, hvor kravene skyder over målet.

Hvordan kommer I fornuftigt i gang?

En pragmatisk rækkefølge: Få styr på de basale tekniske foranstaltninger først (MFA, opdateringer, backup, mailsikkerhed) — det er dem, der optræder i stort set alle spørgeskemaer. Saml derefter jeres dokumentation ét sted, så I kan besvare leverandørspørgeskemaer på timer i stedet for uger. Og overvej at vende det til en fordel: Leverandører, der kan svare hurtigt og dokumenteret, vinder udbud over dem, der ikke kan.

Ofte stillede spørgsmål

Er vi omfattet af NIS2, bare fordi vores kunde er det?
Nej. NIS2-loven stiller ikke i sig selv krav til underleverandører. Men jeres kunde må forventes at stille relevante kontraktkrav til jer — så effekten kan ligne, selv om retsgrundlaget er et andet (kontrakt, ikke lov). Er I i tvivl om jeres egen status, kan I bruge myndighedernes værktøj NIS2tjek.dk.
Hvad sker der, hvis vi ikke kan opfylde kravene?
Ingen myndighed sanktionerer jer — men kunden kan vælge en leverandør, der kan. I praksis er konsekvensen kommerciel: tabte kontrakter og udbud, hvor sikkerhedsdokumentation er adgangskrav.
Kan vi bruge en ISO 27001-certificering som svar?
Ofte ja — en certificering eller en struktureret efterlevelse af en anerkendt standard besvarer mange spørgeskemaer på én gang. Men fuld certificering er ikke altid proportional; for mange SMV’er rækker dokumenterede grundforanstaltninger og en kort sikkerhedspolitik langt.
Hvor hurtigt skal vi kunne rapportere hændelser til kunden?
Det afgøres af kontrakten — men fordi kunden selv skal varsle myndighederne inden for 24 timer, vil mange kræve underretning fra jer “uden ugrundet ophold” eller inden for få timer. Sørg for, at I rent faktisk kan opdage hændelser hurtigt nok til at love det.

Kilder

NIS 2-loven, i kraft 1. juli 2025; registreringsfrist 1. oktober 2025 (samsik.dk)

Styrelsen for Samfundssikkerhed: vejledning om implementering af cybersikkerhedsforanstaltninger

Trafikstyrelsen: NIS2 og underleverandører — proportional, risikobaseret tilgang (trafikstyrelsen.dk)

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.

Book en afklaringssamtale Se relateret ydelse

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.