NIS 2 er den almindelige betegnelse for EU-direktiv (EU) 2022/2555, som fastlægger foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i EU.
NIS 2-direktivet bygger ovenpå og ophæver EU-direktivet om sikkerhed i net- og informationssystemer (NIS1-direktivet).
Formålet med NIS 2-direktivet er at yderligere styrke og ensarte cybersikkerheden og modstandsdygtigheden overfor cybertrusler på tværs af EU for virksomheder inden for en lang række sektorer og for offentlige myndigheder, som anses for at være kritiske for økonomien og samfundet.
Med NIS 2 indføres en række nye krav til omfattede virksomheder og myndigheder. NIS 2 stiller bl.a. krav om gennemførelse af cybersikkerhedsforanstaltninger, hændelsesrapportering samt giver styrkede tilsyns- og håndhævelsesbeføjelser.
Flere myndigheder og virksomheder (kaldet ”enheder”) vil være omfattet, end tilfældet var med det hidtidige NIS-direktiv (NIS1). De sektorer, som er omfattet af NIS 2-direktivet, er beskrevet i direktivets bilag 1 (sektorer af særligt kritisk betydning) og bilag 2 (andre kritiske sektorer).
Hvem er omfattet af NIS 2-loven?
Flere myndigheder og virksomheder (kaldet ”enheder”) er omfattet, end tilfældet var med det hidtidige NIS-direktiv (NIS1). De sektorer, som er omfattet af NIS 2-direktivet, er beskrevet i lovens bilag 1 (sektorer af særlig kritisk betydning) og bilag 2 (andre kritiske sektore).
Der er udgivet fire generelle og tværgående vejledninger, der beskriver de centrale og tværgående begreber og krav i NIS 2-loven:
Vejledning om anvendelsesområdet: Hjælper offentlige og private enheder til at vurdere, om de er omfattet af NIS 2-loven.
Vejledning om ledelsens rolle og opgaver: Hjælper ledelsen i private og offentlige enheder med at opfylde kravene i NIS 2-loven.
Vejledning om foranstaltninger: Hjælper offentlige og private enheder med implementering af NIS 2-lovens cybersikkerhedsforanstaltninger.
Vejledning om hændelsesunderretning: Hjælper offentlige og private enheder til at efterleve deres forpligtelse til at underrette om væsentlige hændelser.
Ministeriet for Samfundssikkerhed og Beredskab er ansvarlig for at koordinere implementeringen af NIS 2-direktivet i Danmark.
Der er lagt op til, at direktivet minimumsimplementeres i Danmark gennem NIS 2-loven fremsat af Ministeriet for Samfundssikkerhed og Beredskab. Loven skaber en fælles grundlæggende ramme for implementeringen af NIS 2 på tværs af de omfattede sektorer.
De sektoransvarlige myndigheder vil fortsat være ansvarlige for cybersikkerheden og for at føre tilsyn med NIS 2-kravene i deres respektive sektorer.
Lovforslaget blev vedtaget af Folketinget ved 3. behandling den 29. april 2025. Loven trådte i kraft den 1. juli 2025 og de omfattede enheder, skal registre sig på virk.dk senest 1. oktober 2025:
Det er de sektoransvarlige myndigheders opgave at vejlede og føre tilsyn med, at de omfattede virksomheder og myndigheder i deres sektor efterlever NIS 2-kravene.
Du kan finde en samlet oversigt over sektorerne og kontaktoplysninger på de sektoransvarlige myndigheder her: