Fra 17. oktober 2024 skal væsentlige og vigtige enheder i hele EU leve op til skærpede krav til cybersikkerhed. NIS2-direktivet er nu dansk lov, og det betyder konkrete forpligtelser for mange virksomheder og offentlige institutioner i Danmark.

Kort sagt handler det om at identificere risici, dokumentere din sikkerhed og sikre, at både digital og fysisk adgang er kontrolleret. Hvis du er omfattet, skal du kunne vise, at du aktivt arbejder med sikkerhed – ellers risikerer din virksomhed kontrolbesøg og markante bøder.

Kort fortalt

• NIS2 er et EU-direktiv der stiller krav til cybersikkerhed i væsentlige og vigtige sektorer som energi, transport, sundhed, digital infrastruktur, offentlig forvaltning og produktion
• Virksomheder skal gennemføre risikovurderinger, implementere sikkerhedsforanstaltninger, anmelde hændelser og dokumentere compliance
• Center for Cybersikkerhed fører tilsyn og kan udstede administrative bøder
• Både digital og fysisk sikring indgår i kravene såsom adgangskontrol, brandsikring og alarm kan være nødvendige elementer
• Underleverandører til omfattede virksomheder påvirkes også indirekte gennem kædeansvar

Hvad er NIS2-direktivet?

NIS2 er den opdaterede version af EU’s første netværks- og informationssikkerhedsdirektiv. Det udvider antallet af berørte sektorer markant og skærper kravene til, hvordan virksomheder håndterer cybersikkerhedsrisici.

Direktivet dækker 18 sektorer, herunder:

• Energi og elforsyning
• Transport og logistik
• Sundhedsvæsenet
• Digital infrastruktur og tjenester
• Offentlig forvaltning
• Spildevands- og affaldshåndtering
• Produktion af medicin, maskiner, elektronik og kemikalier
• Fødevarer og drikkevarer

Hvis din virksomhed opererer i en af disse sektorer, eller du leverer kritiske tjenester til dem, er det sandsynligt, at du enten er omfattet direkte eller skal kunne dokumentere sikkerhed over for dine aftagere.

Hvilke krav stiller NIS2 til virksomheder?

NIS2 direktivet forpligtiger omfattede enheder til en række konkrete tiltag. Det handler ikke kun om IT-sikkerhed, men om en helhedsorienteret tilgang til sikring.

Risikovurdering og sikringsforanstaltninger

Du skal kunne dokumentere, at du har identificeret og vurderet dine sikkerhedsrisici. Det betyder en systematisk gennemgang af både digitale systemer og fysisk infrastruktur.

Foranstaltningerne skal som minimum omfatte:

• Håndtering af hændelser og backup-løsninger
• Sikkerhed i forsyningskæden, herunder leverandørstyring
• Kryptering og adgangskontrol
• Fysisk sikring af kritiske faciliteter og infrastruktur
• Uddannelse af medarbejdere

Netop den fysiske sikring er et område, hvor vi hos Bagger Låse & Alarm A/S har hjulpet offentlige og private kunder i mange år. Effektiv adgangskontrol, tyverialarm og brandsikring er ofte centrale elementer i en NIS2-godkendt sikkerhedsplan.

Anmeldelse af alvorlige hændelser

Hvis din virksomhed oplever et sikkerhedsbrud, skal du anmelde det til Center for Cybersikkerhed inden for en kort frist. Procedurerne varierer, så kontakt Center for Cybersikkerhed for de præcise frister og krav.

Det kræver, at du har procedurer på plads, så du hurtigt kan opdage, vurdere og rapportere hændelser.

Ledelsesansvar

NIS2 krav retter sig direkte mod virksomhedens ledelse. Bestyrelse og direktion skal godkende sikkerhedsforanstaltninger, følge med i deres implementering og deltage i relevant træning.

Hvis kravene ikke overholdes, kan ledelses­medlemmer i væsentlige enheder ifalde personligt ansvar.

Hvem fører tilsyn og hvad er konsekvenserne ved manglende overholdelse?

Center for Cybersikkerhed er udpeget som den primære tilsynsmyndighed i Danmark. De har beføjelse til at foretage inspektioner, kræve dokumentation og udstede påbud.

Bøder NIS2

Sanktionerne er markante og differentieret efter hvor kritisk din virksomhed vurderes. Bødeniveauerne er fastsat i direktivet, og du bør kontakte Center for Cybersikkerhed eller din juridiske rådgiver for de præcise rammer og hvordan de anvendes i praksis.

Derudover kan manglende overholdelse føre til offentliggørelse af overtrædelser, tab af licenser og erstatningskrav fra tredjeparter, der påvirkes af sikkerhedsbrud.

Hvordan påvirker NIS2 også underleverandører?

Selvom din virksomhed ikke direkte er omfattet af NIS2 direktivet, kan du stadig blive indirekte berørt. Omfattede virksomheder skal dokumentere sikkerhed i hele forsyningskæden, og det betyder krav til underleverandører.

Hvis du leverer services eller produkter til en NIS2-omfattet kunde, kan de forlange:

• Dokumentation for dine egne sikkerhedsforanstaltninger
• Sikkerhedscertifikater eller auditrapporter
• Skriftlige aftaler om håndtering af data og adgang

At være proaktiv og kunne demonstrere solid sikkerhed bliver en konkurrencefordel. Vi ser allerede nu, hvordan vores kunder inden for erhverv og det offentlige stiller skarpere krav til sikring af kontor, lager og produktion.

Hvordan kommer du i gang med NIS2-compliance?

At overholde cybersikkerhed virksomhed-krav under NIS2 handler om at tænke helhedsorienteret. Her er en praktisk tjekliste:

Afklar om I er omfattet – kontakt Center for Cybersikkerhed eller din brancheorganisation, hvis du er i tvivl

Gennemfør en samlet risikovurdering – både digitale systemer og fysisk adgang til kritiske områder

Implementér nødvendige sikringsløsninger – adgangskontrol, alarm, kryptering, backup osv.

Dokumentér alt – procedurer, politikker og ansvar skal være skriftlige og opdaterede

Træn ledelse og medarbejdere – alle skal forstå deres rolle i sikkerhedsarbejdet

Etablér beredskabsplaner – hvordan opdager, rapporterer og håndterer I hændelser?

Mange virksomheder starter med at sikre den fysiske adgang, fordi det er konkret, synligt og forholdsvist hurtigt at implementere. Elektroniske låse, erhvervsalarm og branddetekteringsanlæg giver dig både øget sikkerhed og værdifuld dokumentation til tilsynet.

Digital sikkerhed erhverv kræver fysisk sikring

Et ofte overset punkt i cybersikkerhed virksomhed-tiltag er den fysiske dimension. NIS2 anerkender, at digital sikkerhed falder fra hinanden, hvis uvedkommende får fysisk adgang til servere, netværksudstyr eller kontorområder med følsom information.

Derfor ser vi stigende efterspørgsel på:

Adgangskontrolsystemer der logger hvem der har adgang til serverrum, lagre og produktionsområder

Overfaldsalarmer til medarbejdere der arbejder alene eller med følsomme processer

TVO-anlæg (tv-overvågning) til dokumentation af aktivitet omkring kritiske områder

Brandsikring der beskytter infrastruktur mod fysisk ødelæggelse

Hos Bagger Låse & Alarm A/S har vi siden 1975 leveret sikkerhedsløsninger til offentlige arbejdspladser, og vi kender de krav, som myndigheder og store virksomheder stiller. Vi kan rådgive om, hvilke løsninger der giver mening i din NIS2-kontekst, og vi leverer og vedligeholder anlæg i hele Danmark.

Få professionel rådgivning om fysisk og elektronisk sikring

NIS2 krav kan virke omfattende, men de behøver ikke være uoverskuelige. Start med at kortlægge dine nuværende sikkerhedsforanstaltninger og identificér områder, hvor du mangler dokumentation eller tekniske løsninger.

Vores eksperter rådgiver gerne om, hvordan du sikrer dine lokationer og overholder tilsyn NIS2-forpligtelser. Vi kombinerer mekanisk sikring, elektronisk sikring og brandsikring i én totalløsning, så du slipper for at koordinere mange leverandører.

Er du i tvivl om, hvordan NIS2 påvirker netop din virksomhed? Kontakt os for en uforpligtende snak om dine behov. Vi har erfaring fra over 30 kommuner, hospitaler, uddannelsessteder og private virksomheder, og vi er klar til at hjælpe dig med at komme godt i gang.

Kontakt os her eller ring til vores døgnvagt, hvis du har akut behov for sikring.

Ofte stillede spørgsmål om NIS2

Hvornår trådte NIS2-direktivet i kraft i Danmark?

NIS2 er implementeret i dansk lovgivning pr. 17. oktober 2024. Virksomheder der er omfattet, skal allerede nu kunne dokumentere compliance.

Gælder NIS2 også for små virksomheder?

Det afhænger af sektor og virksomhedens størrelse. Visse kritiske sektorer er omfattet uanset størrelse. Kontakt Center for Cybersikkerhed eller din brancheorganisation for at afklare, om din virksomhed er omfattet.

Hvem kontakter jeg, hvis jeg er usikker på, om min virksomhed er omfattet?

Center for Cybersikkerhed har vejledningsmateriale og en hotline. Din brancheorganisation kan også hjælpe med fortolkning af direktivet.

Kan manglende NIS2-compliance føre til erstatningskrav?

Ja. Hvis et sikkerhedsbrud rammer tredjeparter, kan de rejse civilretlige krav mod din virksomhed, hvis du ikke har levet op til lovkravene.

Hvilken rolle spiller fysisk sikring i NIS2-compliance?

Fysisk adgang til kritisk infrastruktur skal kontrolleres og dokumenteres. Det omfatter låsesystemer, adgangskontrol, alarm og brandsikring – områder hvor en erfaren sikringsvirksomhed som Bagger kan rådgive og levere løsninger.

Hvordan dokumenterer jeg, at min virksomhed overholder NIS2 krav?

Du skal have skriftlige politikker, logfiler fra adgangskontrol og IT-systemer, dokumentation for risikovurderinger, beredskabsplaner og træning af medarbejdere. Mange virksomheder vælger at lade en ekstern part gennemgå og validere deres sikkerhedsforanstaltninger.