Hvad er NIS 2-loven?
EU's NIS 2 Direktiv trådte i kraft den 18. oktober 2024. I Danmark er NIS 2-loven (LOV nr 434 af 06/05/2025) Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau implementeret i dansk ret med forsinkelse. NIS2 loven er fra 1. juli 2025 gældende lov.
Danmark er et gennemdigitaliseret land. Det globale aktuelle høje cybertrusselsniveau gør cybersikkerhed er blevet en præmis for både statslige, offentlige og private aktører. Små enheder og SMV'er er i økosystem af underlerandører, kædeled og 80% af dansk erhvervsliv.
Sektorprincippet gælder i Danmark. Der afviges delvist fra princippet forhold til tilsynsmyndigheder for de vigtige og væsentlige enheder. Det er fastlagt ved bekendtgørelse, hvilken myndighed der er jeres sektorspecifikke tilsynsmyndighed, læs mere på Ministeriet for Samfundssikkerhed og beredskab website og myndigheds websites.
NIS2-loven er gældende dansk lov, se Kapitel 3 pkt. 1-10.
10 Minimumskrav
See NIS 2 Directive Artikel 21 PKT. A-J
ARTIKEL
Få 5 gode råd til at blive NIS2-klar
I takt med at Danmark og resten af verden accelererer i retningen af en stadig mere digitaliseret fremtid, har EU-direktivet NIS2 aldrig været mere relevant.
CYBERSIKKERHED & LICENSE TO OPERATE
Cyberangreb slår ned og lammer økosystem, som lyn. Trojanske heste åbner eksempelvis bagdøre på tværs af systemer og rammer økosystem og integrationer. Der er krav til cybersikkerhed på tværs af sektorer.
• CER Direktivet kræver modstandsdygtighed hos særligt samfundskritiske enheder og beredskab.
• Energisektoren har en særlov om styrket beredskab.
• Vigtige og kritiske enheder skal efterleve NIS 2 loven og har krav om cybersikkerhed samt cyber- og data- hygiejne med awareness og tekniske og operationelle og organisatoriske foranstaltninger samt beredskab.
STRATEGISK RISIKOLEDELSE & CYBER RESILIENS
Har I afklaring om trusselslandskab? Cybersikkerhed stiller krav fra IT-drift til bestyrelsen.
Kan I identificere og afhjælpe trusler og beskytte jeres kritiske funktioner og systemer? Kan I reetablere tabte og kompromitterede data? Har I lagt grundlag for driftskontinuitet? Er medarbejderne klar over deres roller og ansvar? Har I modstandsdygtighed; beredskab, nødprocedurer og nødkommunikation? Det handler om governance og risikoledelse og compliance. Cybersikkerhed kræver tredjeparts risikoledelse og Supply Chain Resiliens. De svageste led rammes - efterfulgt af kaskadeeffekt.
TDC Erhverv rådgiver på tværs af sektorer om governance, risikoledelse, compliance og sikring af cyber resiliens.
NIS 2-loven er trådt i kraft: Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau
TDC Erhvervs GRC ekspert teamet står klar til at hjælpe med afklaring om jeres modenhedsniveau. Få hjælp ud fra jeres situation til at prioritere – til fx at sikre driftskontinuitet & License to Operate uanset jeres unikke sektor og branchekrav.
NIS2 ER LOVKRAV OM ØGET MODSTANDSDYGTIGHED
NIS2 er trådt i kraft med retsvirkning for vigtige og væsentlige enheder, og indirekte omfattede enheder.
Der er lovkrav om metoder til at identificere og analysere kendte og forudsigelige trusler:
En all-hazards risikobaseret tilgang
At hindre hændelser, mitigere og minimere effekt
Definer kriterier for at vurdere og evaluere risici
Risikoejerskab skal allokeres, og roller og ansvar
Risikostyrings-arbejdet skal dokumenteres. For en tilsynsmyndighed kan anmode om adgang til data og dokumentation. Det er lovkrav at der defineres robuste beredskabsplaner med nød procedurer og nød kommunikation.
Det handler om øget modstandsdygtighed. NIS2 stiller krav om implementering af passende tekniske og organisatoriske foranstaltninger for at styre jeres sikkerhedsrisici ud fra defineret risikoacceptkriterier. Sikr samspil imellem kapabiliteter og få afklaring om risikoappetit. Brug holistiske standarder, compliance ramme og etabler system for sikkerhedsledelse samt Information Security Management. Sikr governance og adfærdsmæssige, fysiske, organisatoriske, tekniske og operationelle samt etiske og persondataretlige foranstaltninger, der skal vurderes i helhed i samspil.
ETABLER HOLISTISK RISIKOLEDELSE
Sektorspecifikke tilsynsmyndigheder vil stille krav om politikker og procedurer til at vurdere effekten af samspillet imellem foranstaltninger. Herunder jeres implementering af risikostyringsforanstaltninger og begrundelse for enhedens accept af rest risici. Det handler om sikring af I kan identificere og afhjælpe trusler, og beskytte kritiske funktioner og systemer. Og sikre implementering af cyber- og data- hygiejne.
I §Artikel 21 er der 10 punkt liste minimumskrav.
Modelbekendtgørelsen §6 stk. 1 nr. 2 stiller krav til risikopolitik. Der er nye dokumentationskrav og det handler om prioritering af indsatsen, herunder jeres identificerede risici, riskoprofil og risikoappetit. Og nye (up- og down stream) leverandørkontrolkrav. For sammenhænge vil blive afdækket imellem vigtige og væsentlige enheders aktiviteter og eventuelle negativ indvirkning ud fra kaskadeeffekt og tredjeparts risici.
Der er krav om metoder til identifikation, vurdering og håndtering og prioritering af passende – for jer – risikostyringsforanstaltninger.
Samtænkes operationelle, tekniske og organisatoriske foranstaltninger sikrer I "modstandsdygtighed" til store og små planlagte transformationer og eventuelle kriser.
Operationel og organisatorisk resiliens og supply chain resilliens kræver tværorganisatoriske videndeling. Nye compliancekrav giver grundlag for øget tredjeparts risikoledelse og leverandørsamarbejder i risikoledelse.
Det handler om holistisk overblik; i trusselslandskab og økosystem med kausalitet i intern og ekstern kontekst samt proportionelle risikostyringsforanstaltninger.
GRUNDLAG FOR ØGET RESILIENS
NIS2 compliance er øget modstandsdygtighed og cyber resiliens i Danmark - og i jeres økosystem.
Der er krav til underretningspligt. Det kan få effekt på indirekte omfattede, via økosystem, ift. supply chain resiliens og mitigering af nærved hændelser. Cyber angreb lammer som lynnedslag med indvirkning på drifts-kontinuitet med data-kompromittering og datatab kan påvirke fortrolighed og integritet og tilgængelighed.
Kravet ifølge Artikel 23 a) er "uden unødig ophold og under alle omstændigheder indenfor 24 timer efter at have fået kendskab til væsentlige hændelser"...og b) "uden unødvendig ophold..og under alle omstændigheder indenfor 72 timer" skal vigtige og væsentlige enheder ihukomme lovkrav til hændelses- indrapportering. En tre-trins hændelsesrapportering.
NIS2 er ikke kun compliance, men sikrer kontinuitet, beslutningskraft på usikre grundlag og handlekraft. Future-fit License to Operate modstandsdygtighed.
Definer robuste beredskabsplaner og procedurer
Håndter databrud og/el sikkerhedsbrud og sikr grundlaget for resiliens, vækst og driftskontinuitet
Tag udgangspunkt I situation, risikoscenearier og gaps samt jeres behov for proportionelle foranstaltninger til sikring af et højt cybersikkerhedsniveau. Sikkerhed er I stigende grad solidt benchmark konkurrenceparameter.
CER DIREKTIVET: CER-loven
Lov om kritiske enheders modstandsdygtighed med etablering af modstandsdygtighedsforanstaltninger. Er I ”klar til…fortsat drift”?
Det er lovkrav til en kritisk enheds evne til at forebygge, beskytte sig imod, reagere på, modstå, afbøde, absorbere, tilpasse sig til el evne at "komme sig over hændelser, som i væsentlig grad forstyrrer eller har potentiale tl at forstyrre leverering af væsentlige tjenester. Hvad kan få afsmittende effekt på jeres leverandørkæde? Det handler om jeres tredjeparts risikoledelse, leverandørkontrol og underleverandørstyring
Det handler om at definere trusselskatalog med trusselsscenarier med udfaldsrum. En risikobaseret tilgang; med procedurer samt kriterier og definition og due diligence for på en systematisk måde, at forholde sig til og arbejde med trusler og håndtere ikke acceptable risici. I digitale og fysiske domæner. Kortlæg relevante risici, der kan forstyrrre leverancer i jeres værdikæde. Etabler både nød kommunikation og nød procedurer. Det handler om proaktiv beredskab, genopretningsplaner og udvikling af resiliens.
LOV OM STYRKET BEREDSKAB I ENERGISEKTOREN
Der stilles lovkrav til fysiske sikkerhed, cybersikkerhed og organisatoriske beredskab. Lovkravet omfatter aktører, der ikke tidligere har været underlagt beredskabskrav. Det er især interessant at bemærke, at Energistyrelsen skal godkende anmodninger om sikkerhedsgodkendelser af medarbejdere med kritiske funktioner.
Lov om styrket beredskab i energisektoren sammen med Bekendtgørelse om modstandsdygtighed og beredskab i Energisektoren trådte i kraft d. 7. marts 2025. NIS 2- og CER- direktiverne implementeres og der er en række supplerende krav til virksomheders beredskab, for at forebygge og modstå hændelser - på tværs af sektoren.
Sektoren har rapporteringskrav også ved nærvedhændelser, der vurderes at kunne påvirke tilgængelighed, integritet eller fortrolighed. Beredskabsreguleringen skal sikre robusthed i tilfælde af naturskabte, menneskeskabte og teknologiske risici. Der kan kræves samordnet beredskab. Der er krav til sektoren om passende cybersikkerhedsforanstaltninger.
Fordele ved TDC Erhverv som partner
Med kombinationen af kommunikationsteknologi, it-løsninger og digital forretningsudvikling er TDC Erhverv en komplet leverandør for virksomheder i alle størrelser. Vi har specialisterne og kompetencerne indenfor netværk, sikkerhed og digitalt samarbejde, der gør det enkelt at være kunde hos os. Dette betyder, at vi med indsigt, erfaring og kompetencer kan levere en skræddersyet løsning til jeres behov.
TDC Erhverv jeres end-to-end leverandør.
Tech-agnostik tilgang
Vælg en TDC Erhverv hosted tjeneste, hvor alle data bliver i landet eller opbevares i Microsoft Sentinel.
Sikkerhedsgodkendte analytikere
FE- og PET-sikkerhedsgodkendte analytikere, der taler dansk
Automatisering
Høj grad af automatisering minimerer reaktionstiden
Beredskab
24/7-beredskab med ISO 27001-certificering og ISAE 3000 revisionserklæring.
Onboarding
Vi sikrer en hurtig og effektiv onboarding
Threat intelligence
Specialisering inden for threat intelligence
Skal vi tale sikkerhed?
Hvis du har spørgsmål eller vil høre mere om, hvordan vi kan levere en sikkerhedsløsning, der giver jeres virksomhed størst værdi, så kontakt os.
