Licensly

NIS2 for begyndere, hvad er det egentlig?

Af Michal Lampe Sørensen · 6 min læsning · 18. maj 2026

Indhold

TL;DR

NIS2 er en ny EU-lov om cybersikkerhed. Den kræver at virksomheder i visse brancher dokumenterer at de tager sikkerhed alvorligt, med politikker, MFA, backup, og hændelseshåndtering. Bryder I reglerne, kan I få bøder på op til 10 mio. EUR. Loven gælder allerede. Hvis I er over 50 ansatte i en kritisk branche, eller leverer til en større kunde, skal I sandsynligvis gøre noget.

Hvad er NIS2, i én sætning?

NIS2 er en EU-lov der kræver at virksomheder i bestemte brancher beskytter sig mod hackerangreb og kan dokumentere det.

Det er det. Resten er detaljer.

Hvorfor hedder det NIS2?

Navnet kommer af Network and Information Systems Directive, version 2.

  • NIS1 (2016): Første version. For blød. Dækkede for få brancher.
  • NIS2 (2024-2025): Strammere krav. Flere brancher. Reelle bøder.

I praksis: Hvis jeres virksomhed bliver ramt af et hackerangreb, og I ikke kan dokumentere at I havde grundlæggende sikkerhed på plads, kan I få en bøde fra myndighederne. UD OVER det selve angrebet kostede jer.

Hvorfor skal vi bekymre os?

Tre konkrete grunde:

1

Bøder på op til 10 millioner EUR

For de mest kritiske virksomheder. Mindre kritiske kan stadig få op til 7 mio. EUR. Det er ikke promille af omsætningen, det er reelle beløb der kan vælte mindre virksomheder.

2

Ledelsesansvar er nyt

NIS2 gør ledelsen personligt ansvarlig. Hvis bestyrelsen eller direktionen ikke har sikret at virksomheden følger reglerne, kan de hænge på det. Tidligere kunne man skyde skylden på IT-afdelingen, det kan man ikke længere.

3

Jeres kunder kræver det af jer

Selv hvis I ikke direkte er omfattet, vil store kunder kræve at I lever op til NIS2-lignende krav. Sælger I noget til en bank, en kommune eller en stor producent, kommer spørgsmålene om jeres sikkerhed i næste kontraktforhandling.

Det her er ikke teoretisk. Tilsynsmyndighederne har ressourcer til at føre kontrol, og bødehjemler er aktiveret.

Er vi overhovedet omfattet?

Lad os tage det simpelt. I er sandsynligvis omfattet hvis I matcher BEGGE:

A) I arbejder i en af disse brancher

  • Sundhed (klinikker, hospitaler, laboratorier)
  • Bank og finans (primært under DORA, ikke NIS2)
  • Energi, vand, transport, telekommunikation
  • Offentlig administration (kommuner, regioner)
  • Digital infrastruktur (cloud, datacentre, DNS)
  • Fødevarer (produktion, distribution)
  • Fremstilling (medicinsk udstyr, elektronik, biler)
  • Post og kurér
  • Affaldshåndtering
  • Forskning

B) I har en vis størrelse

Mindst 50 ansatte ELLER 10 mio. EUR i årlig omsætning eller balance.

Opfylder I BEGGE A og B? Så er I næsten helt sikkert omfattet. Læs videre.

Hvad hvis vi er små?

Under 50 ansatte i en bilag-branche → I er formelt ikke omfattet.

MEN der er to undtagelser der kan ramme jer alligevel:

  • I er eneste leverandør af en kritisk tjeneste i Danmark → omfattet uanset størrelse
  • I leverer til en omfattet kunde → kunden kræver NIS2-lignende sikkerhed i jeres kontrakt

Den praktiske byrde bliver den samme, bare via kontrakt i stedet for direkte lovkrav.

Hvad skal vi konkret gøre?

NIS2 lister 10 ting I skal have styr på. Oversat til hverdagssprog:

Det grundlæggende (krav 1-4)

1

Skriv sikkerhedspolitikker ned

Ikke bare "vi tager sikkerhed alvorligt". Konkrete dokumenter, godkendt af ledelsen, opdateret regelmæssigt.

2

Have en plan for når noget går galt

Hvem ringer I til kl. 03 om natten hvis I er ramt af ransomware? Det skal stå et sted.

3

Backup der faktisk virker

Det er IKKE backup hvis I aldrig har gendannet fra den. Test mindst halvårligt.

4

Stil krav til jeres leverandører

IT-leverandører skal også overholde sikkerhed. Det skal stå i jeres kontrakter.

Det praktiske (krav 5-10)

5

Sikker udvikling

Bygger I selv software? Skal være sikkert udviklet. De fleste SMV'er bygger ikke selv, så kan I springe denne.

6

Mål om sikkerheden virker

Ikke bare "vi har antivirus". Lav en assessment mindst årligt. Compliance Manager i Microsoft 365 kan hjælpe.

7

Træn medarbejderne

Phishing er den mest almindelige angrebsvinkel. Kvartalsvise simulationer er best practice.

8

Krypter jeres data

På enheder (BitLocker) og når data sendes (TLS/email-kryptering).

9

Styr hvem der har adgang til hvad

Fyrede medarbejdere skal ikke have adgang dagen efter. Access reviews mindst halvårligt.

10

Brug MFA på alle konti

Kodeord alene er ikke nok i 2026. Conditional Access giver granulær kontrol.

Vigtigste pointe: NIS2 handler ikke om at have alt på 100%, det handler om at I kan DOKUMENTERE at I har taget passende foranstaltninger. Papir er lige så vigtig som teknik.

Hvad er næste skridt?

Hvis I tænker "OK, vi skal nok kigge på det her," så er det her I gør:

Inden for de næste 30 dage

  • Tjek om I er omfattet, læs scope-guiden
  • Få et sikkerhedsoverblik, har I MFA på alle konti? Backup der er testet? Skriftlig politik?
  • Sæt et ledelsesmøde i kalenderen. NIS2 skal forankres i ledelsen, ikke kun IT

Inden for de næste 90 dage

  • Lav en gap-analyse, hvad mangler I sammenlignet med kravene?
  • Beslut jeres Microsoft 365-licens. Business Premium dækker omkring 80% af kravene for SMV'er. Læs licens-decision matrix
  • Få en jurist eller compliance-konsulent til at lave formel vurdering, billigere end at antage forkert

Vil I gå dybt?

Vores gratis whitepaper mapper alle 10 NIS2-krav til konkrete Microsoft 365-funktioner og audit-dokumentation: Den fulde Artikel 21-mapping.

Gå ikke i panik, men gå heller ikke i seng over det. NIS2 er en gradvis proces, start med basics (MFA, backup, politikker) og byg derfra.

Klar til at se hvilken Microsoft 365-licens I skal have?

Vores planoversigt viser hvilke licenser der dækker NIS2-kapabiliteterne.

Se Microsoft 365-planer →

Ofte stillede spørgsmål

Hvornår træder NIS2 i kraft?+

EU-direktivet skulle være indført i national lovgivning senest 17. oktober 2024. Den danske NIS2-lov trådte i kraft 1. juli 2025, registreringsfristen var 1. oktober 2025, og tilsyn har været aktivt fra primo 2026. Bøder kan udstedes nu, det er ikke længere noget der "kommer" i fremtiden.

Vores virksomhed er lille, er vi virkelig omfattet?+

Hvis I har under 50 ansatte og under 10 mio. EUR i omsætning, er I som hovedregel IKKE direkte omfattet. Men der er undtagelser (fx hvis I er den eneste leverandør af en kritisk tjeneste). Plus: leverer I noget som helst til en større kunde der er omfattet, vil de kræve NIS2-lignende sikkerhed af jer i kontrakter. Så den praktiske byrde kan ramme jer alligevel.

Hvad er forskellen på NIS2 og GDPR?+

GDPR handler om beskyttelse af personoplysninger og borgernes privatliv. NIS2 handler om at jeres IT-systemer kan modstå hackerangreb og holde driften kørende. De overlapper teknisk, fx kræver begge at I har stærk adgangsstyring, men er to forskellige regelsæt med to forskellige myndigheder bag. GDPR håndhæves af Datatilsynet, NIS2 håndhæves sektor-opdelt af relevante myndigheder (Sundhedsdatastyrelsen, Energistyrelsen, Digitaliseringsstyrelsen m.fl.) med Styrelsen for Samfundssikkerhed (SAMSIK) som koordinerende myndighed og CFCS som national CSIRT og teknisk støtte.

Relaterede artikler

Conditional Access forklaret, det mest undervurderede feature i Microsoft 365Microsoft 365 til virksomheder, den komplette guide (2026)