Formålet med denne artikel er at hjælpe danske virksomheder med at implementere og dokumentere kravene i NIS2-loven (lov nr. 434 af 06/05/2025). Artiklen kommer bl.a. ind på, hvilke virksomheder der er dækket af NIS2.
Artikelen er i familie med og struktureret på samme måde som den tidligere artikel Lov om styrket beredskab i energisektoren
DISCLAIMER: Denne artikel, dens grafik og interaktive værktøjer er baseret på den offentligt tilgængelige lov nr. 434 af 06/05/2025 (NIS 2-loven). Jeg har gjort mit bedste for at kvalitetssikre, men AI laver fejl. Indholdet i denne artikel kan ikke betragtes som juridisk eller teknisk rådgivning. Teksten og sammenhængene i artiklen er et resultat af min forståelse, min fortolkning og det valgte fokus.
Som beskrevet i tidligere artikler her i bloggen, er det min anbefaling ved indførelse af standarder og love at starte ved slutningen, så organisationen har en nordstjerne at pejle efter. Den nordstjerne er et bestået audit.
Det er derfor værdifuldt for en implementerende organisation grundigt at forstå, i dette tilfælde NIS2-loven, opbygningen samt de krav, en auditør vil stille.
Det er netop ambitionen med det interaktive værktøj i denne artikel. Det dækker ikke alle relevante detaljer, men forventes at give en god retningslinje. Den konkrete lovtekst samt anden understøttende litteratur er nødvendige supplementer.
Den danske NIS2-lov
Lov nr. 434 af 06/05/2025 (NIS 2-loven) trådte i kraft den 1. juli 2025. Loven gennemfører EU’s NIS 2-direktiv (direktiv 2022/2555). Loven hører under Ministeriet for Samfundssikkerhed og Beredskab. Den ophæver de tidligere sektorspecifikke love om net- og informationssikkerhed for domænenavnssystemet, sundhedssektoren, transportsektoren samt operatører af væsentlige internetudvekslingspunkter.
Loven finder anvendelse på offentlige og private enheder, der er omfattet af lovens bilag 1 (Sektorer af særlig kritisk betydning) og bilag 2 (Andre kritiske sektorer). Den gælder ikke for enheder, der er omfattet af lov om styrket beredskab i energisektoren, lov om sikkerhed og beredskab i telesektoren eller for finansielle enheder, der er udpeget efter lov om finansiel virksomhed. Den gælder som udgangspunkt heller ikke for offentlige forvaltningsenheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse.
De to kategorier
Væsentlige enheder (§ 4)
Enheder inden for sektorer i bilag 1, som beskæftiger 250 personer eller derover, eller har en årlig omsætning over 50 mio. euro og en årlig samlet balance over 43 mio. euro
Vigtige enheder (§ 5)
Enheder inden for sektorer i bilag 1 eller 2, som beskæftiger 50 personer eller derover, eller har en årlig omsætning over 10 mio. euro og en årlig samlet balance over 10 mio. euro, såfremt de ikke opfylder kriterierne for at være væsentlige enheder.
Foranstaltninger til styring af cybersikkerhedsrisici (§ 6)
Både væsentlige og vigtige enheder skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre sikkerhedsrisici i net- og informationssystemer. Disse skal som minimum omfatte følgende 10 elementer:
- Politikker for risikoanalyse og informationssystemsikkerhed.
- Håndtering af hændelser.
- Driftskontinuitet, herunder backupstyring og reetablering efter en katastrofe og krisestyring.
- Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere.
- Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder.
- Politikker og procedurer for vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici.
- Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.
- Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering.
- Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
- Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation samt sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant.
Relationen til ISO 27001 er belyst sidst i artiklen.
Ledelsens ansvar (§ 7)
Foranstaltningerne skal være godkendt af enhedens ledelse, som fører tilsyn med gennemførelsen. Medlemmerne af ledelsen skal deltage i relevante kurser i styring af cybersikkerhedsrisici.
Registrerings- og underretningspligter (§ 9, § 10, § 12, § 13)
Enheder skal registrere stamdata (navn, adresse, ip-intervaller, sektorer m.v.) hos den relevante kompetente myndighed. De skal uden unødigt ophold underrette den kompetente myndighed og Computer Security Incident Response Team (CSIRT) om enhver væsentlig hændelse. Underretningen har faste tidsfrister:
- Tidlig varsling: Senest inden for 24 timer efter kendskab.
- Hændelsesunderretning: Senest inden for 72 timer (dog senest 24 timer for tillidstjenesteudbydere).
- Endelig rapport: Senest 1 måned efter hændelsesunderretningen.
Relation og mapning til ISO/IEC 27001:2022©
NIS2-loven fastlægger de juridiske minimumskrav i dansk lovgivning, mens ISO/IEC 27001 specificerer kravene til at etablere, implementere, vedligeholde og kontinuerligt forbedre et ledelsessystem for informationssikkerhed (ISMS).
De lovbundne krav i NIS2-lovens § 6, stk. 1 kan direkte relateres til og implementeres i henhold til de normative krav og de tilhørende kontroller i ISO/IEC 27001:2022.
NIS2-lovens krav om, at ledelsen godkender kontroller og deltager i kurser (§ 7), understøtter og opfylder kravene i ISO 27001 Klausul 5.1 (Leadership and commitment), hvor topledelsen skal demonstrere lederskab, sikre ressourcer samt sikre, at medarbejdere besidder den nødvendige kompetence (Klausul 7.2).
NIS2-lovens krav om “politikker for risikoanalyse” matcher kravene i ISO 27001 klausul 6.1.2 (Information security risk assessment), som kræver en defineret og konsistent proces til at identificere tab af fortrolighed, integritet og tilgængelighed (engelsk: Confidentiality, Integrity, Availability).
Interaktivt værktøj
Ambitionen med dette NIS2-værktøj, set fra et auditperspektiv, er at samle information ét sted for at tegne Nordstjernen og dermed hjælpe organisationen med at skabe indsigt, transparens og retning.
BEMÆRK: Jeg yder ingen garanti for, at dette virker og bliver ved med at virke hos jer, herunder om eksisterende audit-sessioner kan fungere i kommende revisioner.
Relation mellem NIS2 foranstaltninger i § 6 over for Annex A i ISO 27001
Hvor NIS2-loven definerer de ufravigelige retlige rammer, minimumskrav og indberetningspligter for enheder under dansk lov, leverer ISO/IEC 27001-standarden den præcise, procesorienterede struktur (ISMS) til operationelt at designe, styre og dokumentere, at lovens krav efterleves.
| NIS2-lovbestemt begreb (§ 6, stk. 1) | Tilsvarende ISO/IEC 27001:2022 Annex A Information security controls |
|---|---|
| 1) Politikker for risikoanalyse og informationssystemsikkerhed | A.5.1 Policies for information security A.5.12 Classification of information |
| 2) Håndtering af hændelser | A.5.24 Inf. security incident management planning and preparation A.5.25 Assessment and decision on inf. security events A.5.26 Response to information security incidents |
| 3) Driftskontinuitet, herunder backupstyring og reetablering efter en katastrofe og krisestyring | A.5.29 Information security during disruption A.5.30 ICT readiness for business continuity A.8.13 Information backup |
| 4) Forsyningskædesikkerhed (forholdet til direkte leverandører) | A.5.19 Information security in supplier relationships A.5.20 Addressing inf. security within supplier agreements A.5.21 Managing inf. security in the ICT supply chain |
| 5) Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse (...), herunder håndtering og offentliggørelse af sårbarheder | A.8.25 Secure development life cycle A.8.26 Application security requirements A.8.27 Secure system architecture and engineering principles A.8.8 Management of technical vulnerabilities |
| 6) Politikker og procedurer til vurdering af effektiviteten af foranstaltninger | A.5.35 Independent review of information security A.5.36 Compliance with policies, rules and standards for inf. security (Samt ISO 27001 Klausul 9.1 om overvågning og måling) |
| 7) Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse | A.6.3 Information security awareness, education and training |
| 8) Politikker og procedurer vedrørende brug af kryptografi og (...) kryptering | A.8.24 Use of cryptography |
| 9) Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver | Hovedafsnit 6 People controls (A.6.1-A.6.6) A.5.15 Access control A.5.9 Inventory of information and other associated assets |
| 10) Brug af løsninger med multifaktorautentificering (...) | A.8.5 Secure authentication |
Opsamling
Forhåbentlig har dette givet noget indsigt og inspiration.