Spring til hovedindhold
THINGGAARD IT
Tilbage til værktøjer

NIS2-tjekliste

Baseret på lov nr. 434/2025 — dækker §§ 6-15 (alle 10 minimums­foranstaltninger + registrering, ledelse, rapportering og kunde-notifikation).

Martin Thinggaard
IT-konsulent & Ejer · 7 min
Bemærk: Checklisten er baseret på lov nr. 434 af 25/04/2025 (dansk gennemførelse af NIS2). Den er en hurtig modenhedstjek — ikke juridisk rådgivning, og erstatter ikke tilsynsmyndighedens vurdering. Usikker på om I overhovedet er omfattet? Start med NIS2-tjek.

Kun de mest kritiske krav i loven. ~3 minutter.

Ledelsesansvar (§ 11)

1.
Har direktion/bestyrelse formelt godkendt jeres cybersikkerheds­foranstaltninger?
Kritisk
§ 11 — ledelsen er personligt ansvarlig.
2.
Har ledelsen modtaget cybersikkerheds­træning der gør dem i stand til at vurdere risici?
Kritisk
§ 11, stk. 2 — ledelsen skal gennemgå uddannelse.

Registrering (§ 9 + § 10)

3.
Er virksomheden registreret hos SAMSIK (eller sektoransvarlig myndighed) senest 3 måneder efter I blev omfattet?
Kritisk
§ 9 — registreringspligt for omfattede enheder.

Risikostyring (§ 6, nr. 1)

4.
Har I lavet en dokumenteret risikoanalyse af jeres net- og informationssystemer?
Kritisk
5.
Har I en skriftlig, opdateret informationssikkerheds­politik?
Kritisk

Hændelseshåndtering (§ 6, nr. 2)

6.
Har I en skriftlig beredskabsplan/nødplan for cyberangreb?
Kritisk
§ 6, stk. 1, nr. 2.

Driftskontinuitet & backup (§ 6, nr. 3)

7.
Har I backup der følger 3-2-1-princippet og er testet for genskabelse inden for de seneste 12 måneder?
Kritisk
8.
Har I en disaster recovery-plan med definerede RTO og RPO for kritiske systemer?
Kritisk

Forsyningskæde (§ 6, nr. 4)

9.
Har I et overblik over kritiske IT-leverandører og hvilke data/systemer de har adgang til?
Kritisk
10.
Stiller I kontraktuelle sikkerheds­krav til jeres kritiske leverandører (sikkerhed, hændelsesrapportering, audit-ret)?
Kritisk

Anskaffelse & sårbarheder (§ 6, nr. 5)

11.
Har I en proces til at identificere og håndtere sårbarheder (CVE-overvågning, scanninger, patch-prioritering)?
Kritisk
12.
Bliver alle systemer, OS og applikationer holdt opdateret med sikkerheds­patches inden for rimelig tid?
Kritisk

Awareness & cyberhygiejne (§ 6, nr. 7)

13.
Får alle medarbejdere årlig cybersikkerheds-awareness (phishing, password, social engineering)?
Kritisk

Kryptering (§ 6, nr. 8)

14.
Er data krypteret både ved transmission og opbevaring?
Kritisk
§ 6, stk. 1, nr. 8.

Personale & adgang (§ 6, nr. 9)

15.
Har I en formel on- og offboarding­proces der lukker alle adgange samme dag medarbejderen stopper?
Kritisk
16.
Er privilegerede konti (admin, domain admin, root) adskilt fra almindelige bruger­konti og særligt beskyttet?
Kritisk

MFA & sikker kommunikation (§ 6, nr. 10)

17.
Er der MFA på alle administrative og bruger-konti til kritiske systemer?
Kritisk
§ 6, stk. 1, nr. 10 — multifaktor-autentifikation.
18.
Har I moderne endpoint-beskyttelse (EDR/XDR) på alle servere og klienter?
Kritisk

Hændelses­rapportering (§ 12 + § 13)

19.
Ved I præcist hvem der anmelder en hændelse til CSIRT (CFCS) inden for fristerne?
Kritisk
§ 12 — tidlig varsling inden 24 t, hændelsesrapport inden 72 t.
20.
Er alle fristerne (24 t varsling, 72 t hændelsesrapport, statusrapport efter 1 mdr ved igangværende hændelse, endelig rapport) dokumenteret i beredskabsplanen?
Kritisk
§ 12 + § 13, stk. 1, nr. 5 — statusrapport hvis hændelsen fortsat er aktiv efter 1 måned.

Kunde-notifikation (§ 15)

21.
Har I en proces for at informere kunder/modtagere af jeres tjenester når en hændelse påvirker dem?
Kritisk
§ 15 — pligt til at informere berørte modtagere.

Var dette værktøj nyttigt?

Klik på en stjerne for at give din bedømmelse