NIS2 for danske SMV'er — den komplette guide til krav, bøder og en realistisk køreplan

Kort fortalt: Hvorfor NIS2 rammer jer — også selvom I ikke føler jer 'kritiske'

NIS2 er EU's nye direktiv for net- og informationssikkerhed, der trådte i kraft i oktober 2024 og er ved at blive implementeret i dansk lovgivning. Det afløser den oprindelige NIS-lov og er en markant udvidelse — både i hvem der er omfattet, hvor meget der kræves, og hvor hårdt der straffes hvis I ikke gør jeres arbejde.

For mange danske små og mellemstore virksomheder lyder NIS2 stadig som noget, der gælder hospitaler, energiselskaber og store telco'er. Det er forkert. Direktivet rammer langt bredere: managed service providers, IT-leverandører, fødevareproducenter, fragtfirmaer, online markedspladser, fremstillingsvirksomheder, posttjenester, affaldshåndtering og kemiindustri — for blot at nævne nogle. Og lige så vigtigt: hvis I er underleverandør til en virksomhed der er omfattet, så er kravene reelt også jeres.

Den gode nyhed er, at NIS2 ikke kræver, at I bygger en sikkerhedsorganisation som en bank. Det kræver, at I tager sikkerhed alvorligt, dokumenterer det, øver det og kan vise det. Resten af denne artikel er en jordnær gennemgang af præcis hvad det betyder for en typisk dansk SMV — og en konkret køreplan I kan starte med i næste uge.

Hvem er omfattet? Essential, important — og 'i praksis omfattet via kæden'

NIS2 deler omfattede virksomheder op i to kategorier: essential entities (kritiske enheder) og important entities (vigtige enheder). Forskellen ligger først og fremmest i tilsynsintensitet og bødeloft — kravene til sikkerhed er stort set de samme.

Som hovedregel er I omfattet, hvis I arbejder inden for én af de listede sektorer OG har mindst 50 ansatte eller en årlig omsætning/balance på over 10 mio. EUR. Mindre virksomheder kan også blive omfattet, hvis de er eneste udbyder af en kritisk tjeneste, eller hvis de er en digital infrastrukturudbyder (fx DNS, registrar, TLD, datacenter).

• Energi, transport, bank, finansiel markedsinfrastruktur, sundhed, drikkevand, spildevand, digital infrastruktur og offentlig forvaltning er 'essential'.
• Post og kurer, affaldshåndtering, kemi, fødevarer, fremstillingsindustri (medicinsk udstyr, elektronik, køretøjer m.fl.), digitale udbydere (markedspladser, søgemaskiner, sociale medier) og forskning er 'important'.
• Managed Service Providers og Managed Security Service Providers er omfattet uanset størrelse hvis de leverer til kritiske kunder.
• Underleverandører er ikke selv direkte omfattet — men jeres kunder skal stille kontraktlige krav til jer, og dem skal I kunne dokumentere I lever op til.

Det sidste punkt er den vigtigste enkeltforskel mellem NIS1 og NIS2. Direktivet kræver eksplicit, at omfattede virksomheder styrer sikkerhed i hele deres forsyningskæde. Det betyder, at hvis I leverer software, IT-services, fragt, vedligehold eller andre kritiske ydelser til en omfattet virksomhed, vil I i 2026 og frem opleve, at de begynder at sende jer sikkerhedsspørgeskemaer, kræve auditrettigheder og indsætte sanktionsklausuler i kontrakter. Mange danske SMV'er er reelt 'NIS2-omfattede via bagdøren' uden at vide det endnu.

De 10 minimumsforanstaltninger I skal kunne dokumentere

Artikel 21 i NIS2 lister de minimumsforanstaltninger, alle omfattede virksomheder skal implementere. Det er bevidst formuleret teknologineutralt, så det kan tilpasses virksomhedens størrelse og risikoprofil — men de 10 områder er ikke til forhandling. I skal kunne dokumentere alle ti.

• 1. Risikoanalyse og informationssikkerhedspolitikker — skrevne, godkendte af ledelsen, opdateret mindst årligt.
• 2. Hændelseshåndtering — proces for opdagelse, klassificering, eskalering og indrapportering af sikkerhedshændelser.
• 3. Forretningskontinuitet og krisestyring — herunder testede backup- og recovery-procedurer.
• 4. Forsyningskædesikkerhed — krav til leverandører, kontrakter og løbende vurdering.
• 5. Sikkerhed i indkøb, udvikling og vedligehold af IT-systemer — herunder sårbarhedshåndtering og patching.
• 6. Politikker og procedurer til at vurdere effekten af sikkerhedsforanstaltninger — fx løbende audits.
• 7. Grundlæggende cyberhygiejne og awareness-træning for alle medarbejdere — også ledelsen.
• 8. Politikker for kryptering — hvilke datatyper, hvilke kanaler, hvilken nøglehåndtering.
• 9. Sikkerhed for menneskelige ressourcer, adgangskontrol og asset management.
• 10. Brug af multi-faktor autentifikation, sikker kommunikation og sikre nødkommunikationskanaler.

Ledelsesansvar — bestyrelsen kan personligt holdes ansvarlig

Et af de markante nyheder i NIS2 er, at ansvaret for cybersikkerhed flyttes op i bestyrelse og direktion. Det er ikke længere noget, ledelsen kan delegere fuldt til IT-chefen og glemme. Direktivet kræver, at ledelsen aktivt godkender risikostyringsforanstaltninger, fører tilsyn med implementeringen og selv gennemgår jævnlig cybersikkerhedstræning.

I praksis betyder det, at jeres bestyrelse skal kunne svare på spørgsmål som: Hvilke trusler er vi mest udsat for? Hvor stor er vores eksponering? Hvilke kontroller har vi indført? Hvornår testede vi sidst vores backup-restore? Hvornår øvede vi sidst en hændelse? Og hvad er vores plan, hvis vi rammes af ransomware i morgen?

Tilsynsmyndigheden (i Danmark Center for Cybersikkerhed) kan ved alvorlige overtrædelser midlertidigt suspendere certificeringer, forbyde personer i lederstillinger at varetage ledelsesfunktioner og udstede personlige bødeforlæg. Det er en markant skærpelse i forhold til NIS1.

Bøder og sanktioner — hvor meget kan det reelt koste?

NIS2 indfører bødelofter der er på niveau med GDPR. For essential entities kan bøderne nå op til 10 mio. EUR eller 2% af den globale årlige omsætning — hvad der er højest. For important entities er loftet 7 mio. EUR eller 1,4% af omsætningen.

For en typisk dansk SMV med 50–200 ansatte er det ikke nødvendigvis bødestørrelsen i sig selv, der bør holde jer vågne om natten. Det er kombinationen af: bøde + driftstop ved en sikkerhedshændelse + tabte kunder + erstatningskrav fra kunder hvis kæden brydes + omdømmeskade + den tid ledelsen skal bruge på at håndtere myndigheder, presse og kunder samtidig. Den samlede regning løber meget hurtigt op over 1 mio. kr. selv for mindre hændelser.

24- og 72-timers indrapportering — den proces I skal have klar nu

NIS2 indfører en streng tidslinje for indrapportering af 'significant incidents' til myndigheden. Hvis I rammes af en hændelse, der har eller kan have alvorlig påvirkning af jeres tjenester, skal I:

• Inden 24 timer: Indsende en tidlig advarsel ('early warning') med mistanke om hændelsens art.
• Inden 72 timer: Indsende en egentlig hændelsesrapport med en første vurdering af alvorsgrad, påvirkning og indikatorer.
• Inden 1 måned: Indsende en slutrapport med rodårsag, omfang, foranstaltninger og lessons learned.
• Løbende: Holde berørte kunder informeret, hvis hændelsen kan påvirke leveringen af jeres tjenester til dem.

Den 24-timers deadline er ubarmhjertig — og den løber fra det øjeblik I opdager hændelsen, ikke fra det øjeblik den startede. For en typisk SMV uden 24/7 SOC er det helt afgørende, at I har aftalt en eskaleringskæde med jeres IT-leverandør på forhånd: Hvem ringer hvem? Hvem træffer beslutningen om at indrapportere? Hvem skriver early warning'en? Hvis I først skal finde ud af det, mens telefonerne ringer og systemerne er nede, er I allerede for sent ude.

Det er en af grundene til, at vi anbefaler at lægge hændelseshåndtering og 24-timers-flowet ind i jeres faste IT-drift, ikke som et separat dokument der ligger i en mappe. Det skal være sat op, øvet og kendt af både IT, ledelse og ejeren.

Risikoanalyse — fundamentet alle andre krav hænger på

Næsten alle de øvrige NIS2-krav forudsætter, at I har lavet en risikoanalyse. Uden den kan I ikke argumentere for, hvorfor jeres sikkerhedsforanstaltninger er passende, og I kan ikke prioritere indsats efter, hvad der reelt betyder mest. En god risikoanalyse for en SMV behøver ikke at fylde 80 sider — men den skal være rigtig.

En anvendelig risikoanalyse svarer på fire spørgsmål: Hvilke aktiver har vi (data, systemer, processer)? Hvilke trusler er de udsat for? Hvor stor er sandsynligheden og konsekvensen? Hvilke kontroller har vi (eller mangler vi)? Resultatet bliver en prioriteret liste over risici, hvor I tydeligt kan se, hvilke I accepterer, hvilke I afhjælper, og hvilke I forsikrer jer mod.

Vi anbefaler at gennemgå risikoanalysen mindst én gang om året og altid efter væsentlige ændringer — fx et nyt system, en større leverandøraftale, en organisationsændring eller en faktisk sikkerhedshændelse.

Tekniske foranstaltninger — det I konkret skal have kørende

På det tekniske niveau er der ikke noget magisk i NIS2. Det er — næsten uden undtagelse — de samme tiltag, vi har anbefalet danske SMV'er i flere år. Forskellen er, at de nu er lovkrav frem for best practice, og at I skal kunne dokumentere dem. Her er det vigtigste:

• Multi-faktor autentifikation på alle administrative konti og alle eksternt eksponerede systemer — uden undtagelser.
• Endpoint Detection & Response (EDR) på alle klienter og servere, ikke kun klassisk antivirus.
• Patch management med dokumenteret cyklus — kritiske sikkerhedspatches inden for 14 dage er en rimelig baseline.
• Centraliseret logning og overvågning — minimum login-forsøg, ændringer i privilegier, EDR-alarmer og firewall-events.
• Backup efter 3-2-1-princippet med mindst én immutable/offsite kopi, der er beskyttet mod ransomware.
• Test af restore mindst hvert kvartal, dokumenteret med tidsstempel og resultat.
• Kryptering af data i hvile på bærbare enheder (BitLocker, FileVault) og i transit (TLS 1.2+).
• Adgangsstyring efter least privilege — administratorrettigheder kun til dem der har et reelt behov, og ikke til daglig brug.
• Sårbarhedsscanning af eksternt eksponerede systemer mindst kvartalsvist.
• Sikker konfiguration af Microsoft 365 — Conditional Access, sikkerhedsstandarder eller eksplicitte politikker, sensitivity labels på fortroligt indhold.

Hvis I genkender, at jeres setup har huller på 3–4 af punkterne ovenfor, er I ikke alene. De fleste SMV'er, vi laver sikkerhedstjek hos, har mindst lige så mange. Det vigtige er at få lukket hullerne i en prioriteret rækkefølge, ikke at slå sig selv i hovedet med, at det ikke er perfekt.

Awareness og træning — det billigste sikkerhedstiltag I kan tage

Mellem 70 og 90% af alle vellykkede cyberangreb starter med en menneskelig fejl — typisk en phishing-mail, en svag adgangskode eller en fil downloadet fra et forkert sted. NIS2 kræver derfor eksplicit, at I træner medarbejdere — inklusive ledelsen — i grundlæggende cyberhygiejne.

En realistisk awareness-indsats for en dansk SMV ser sådan ud: introduktion til alle nye medarbejdere ved onboarding, simulerede phishing-tests 4–6 gange om året, en kort opdatering hvert kvartal om aktuelle trusler, og en mere grundig årlig gennemgang. Det behøver ikke at være kedeligt eller dyrt — korte videoer på 3–5 minutter, fulgt op af en lille quiz, virker langt bedre end heldagskurser, ingen husker bagefter.

Husk, at ledelsen også er omfattet. Bestyrelsesmedlemmer og direktion skal gennemgå målrettet træning, der gør dem i stand til at træffe oplyste beslutninger om risiko — ikke teknisk dybdetræning, men strategisk forståelse for trusselsbilledet, ansvar og konsekvenser.

Forsyningskædesikkerhed — sådan styrer I jeres leverandører

Forsyningskæden er det område, hvor NIS2 stiller flest helt nye krav i forhold til den gamle lov. I skal have styr på, hvem jeres kritiske leverandører er, hvad deres sikkerhedsniveau er, og hvad I gør, hvis én af dem rammes af en hændelse.

Start med at lave en liste over jeres top 10–20 vigtigste leverandører — typisk dem, der har adgang til jeres data eller systemer (IT, regnskab, HR-systemer, hosting, telefoni, betalingsløsninger). For hver af dem skal I kunne svare på: Hvilken data har de adgang til? Hvor ligger den fysisk? Har de en DPA underskrevet? Har de selv en hændelseshåndteringsproces? Hvordan informerer de jer, hvis de selv bliver ramt?

Mange SMV'er undervurderer, hvor meget af deres reelle drift, der ligger uden for deres egen kontrol. En kompromitteret regnskabsleverandør eller en nedbrudt hosting-udbyder kan koste jer lige så meget som et angreb på jeres egne systemer — og I skal have en plan for begge dele.

Almindelige misforståelser om NIS2

• “Vi er for små til at være omfattet.” — Ofte forkert. Hvis I er underleverandør til en omfattet virksomhed, vil kravene komme til jer via kontrakter.
• “Vi har antivirus og firewall, så vi er dækket.” — Ikke i nærheden. NIS2 kræver dokumenteret risikostyring, ikke kun teknik.
• “Vores IT-leverandør tager sig af det.” — Ansvaret kan ikke outsources. Ledelsen er stadig personligt ansvarlig — også hvis hændelsen skyldes leverandøren.
• “Det er bare papirarbejde.” — Direktivet kræver, at I rent faktisk gør tingene, ikke kun skriver dem ned. Tilsynsmyndigheden kan kræve dokumentation og evidens.
• “Vi venter til myndighederne banker på.” — Det kan blive en dyr strategi. Bøderne er væsentlige, og jeres kunder vil begynde at kræve dokumentation længe før myndighederne gør.

En realistisk 12-måneders køreplan for en dansk SMV

I behøver ikke at gøre alt på én gang. Det vigtigste er at komme i gang og have en plan. Her er en realistisk fordeling, vi bruger med vores kunder:

• Måned 1–2: GAP-analyse. Få afdækket hvor I står i forhold til de 10 minimumskrav. Resultat: prioriteret liste.
• Måned 2–3: Quick wins. Slå MFA til overalt. Ryd op i administratorkonti. Indfør basis-Conditional Access i M365. Tjek og test jeres backup.
• Måned 3–6: Politikker og processer. Risikoanalyse, sikkerhedspolitik, hændelsesplan med 24-timers flow, leverandøroverblik.
• Måned 4–7: Teknik der tager længere tid. EDR udrulning, centraliseret logning, sårbarhedsscanning, sensitivity labels på fortroligt indhold.
• Måned 6–9: Awareness-program. Onboardingmodul, kvartalsvise phishingtests, ledelsestræning, dokumentation af gennemførsel.
• Måned 9–12: Test og evaluering. Tabletop-øvelse af en alvorlig hændelse, test-restore i fuld skala, gennemgang af risikoanalysen, ledelsesrapport.
• Løbende: Patch-cyklus, månedlig backup-test, kvartalsvis sårbarhedsscan, årlig gennemgang af politikker.

Hvad koster det at komme i mål — realistiske tal

Det er det spørgsmål, vi får oftest. Svaret afhænger af jeres udgangspunkt og størrelse, men her er nogle realistiske rammer for en typisk dansk virksomhed med 20–100 brugere, der starter fra et 'almindeligt' niveau (MFA delvist, antivirus, men ingen central overvågning og ingen testet backup):

• Initial GAP-analyse og handlingsplan: 25.000–60.000 kr. som engangsinvestering.
• Quick wins (MFA, Conditional Access, oprydning, backup-test): typisk 30.000–80.000 kr. afhængigt af kompleksitet.
• Løbende sikkerhedsdrift (EDR, overvågning, patch management, M365-sikring): 150–400 kr. pr. bruger pr. måned.
• Awareness-program: 50–150 kr. pr. bruger pr. år.
• Backup med immutable kopi: typisk 50–200 kr. pr. bruger pr. måned afhængigt af datamængde.
• Årligt sikkerhedstjek og opdatering af risikoanalyse: 20.000–50.000 kr.

Sammenlignet med konsekvensen af én alvorlig hændelse — eller med en bøde i den lave ende af NIS2-skalaen — er det en investering, der typisk tjener sig selv hjem mange gange. Og for de fleste af vores kunder ender NIS2-arbejdet ikke kun med compliance, men også med målbart bedre driftsstabilitet, færre supportsager og højere medarbejdertilfredshed, fordi tingene bare virker.

Sådan kommer I i gang i næste uge

Hvis denne artikel har gjort det klart, at I har et stykke arbejde foran jer, behøver I ikke at vente på en stor strategiøvelse. Tre konkrete skridt I kan tage allerede i næste uge:

• Tag vores gratis sikkerhedsscore — den giver jer en hurtig pejling på 2 minutter.
• Bestil en uforpligtende GAP-samtale, hvor vi gennemgår jeres setup mod de 10 NIS2-krav.
• Få afdækket om I er omfattet direkte eller via jeres kunder — det afgør hvor meget hastværk der reelt er.