Er din virksomhed NIS2-pligtig?
NIS2 — implementeret i Danmark via NIS 2-loven, der trådte i kraft 1. juli 2025 — gælder for tusindvis af danske virksomheder og offentlige institutioner på tværs af 18 sektorer. Her kan du hurtigt afklare om din organisation er i scope, og hvad du konkret skal have styr på.
To spørgsmål der afklarer det meste
NIS2-sektorer i Danmark
NIS2 opdeler sektorer i væsentlige enheder (strengere tilsyn, højere bøder) og vigtige enheder (lettere tilsyn). Begge kategorier er underlagt de samme Artikel 21-krav til certifikatstyring og TLS-sikkerhed.
Du er i scope — hvad gør du nu?
NIS2 Artikel 21 specificerer ti sikkerhedskategorier du skal implementere. For IT-afdelinger er dette de fire mest konkrete første skridt:
Ofte stillede spørgsmål om NIS2-scope
Er min virksomhed NIS2-pligtig?
Din virksomhed er NIS2-pligtig hvis den opererer i en af de 18 sektorer, der er dækket af direktivet, og opfylder størrelseskriterierne — 50 eller flere medarbejdere, eller en årlig omsætning på over 10 mio. EUR. Visse kritiske aktører er altid i scope uanset størrelse, og offentlige myndigheder er også omfattet. Brug sektoroversigten på denne side til at se hvor I hører til.
Hvornår trådte NIS2 i kraft i Danmark?
NIS2 trådte i kraft i Danmark den 1. juli 2025 via NIS 2-loven. Kravene gælder fra ikrafttrædelsen, og omfattede enheder skulle registrere sig senest den 1. oktober 2025.
Er kommuner og offentlige institutioner NIS2-pligtige?
Ja, alle 98 danske kommuner og 5 regioner er omfattet af NIS 2-loven og indgår i praksis som væsentlige enheder. De er underlagt kravene i Artikel 21 og 23 fuldt ud. Det betyder bl.a. krav til systematisk certifikatstyring og TLS-certifikatovervågning. Se vores guide om kommunal IT-sikkerhed og NIS2.
Hvad sker der hvis min organisation er NIS2-pligtig men ikke overholder kravene?
Vigtige enheder kan bødes op til 7 mio. EUR eller 1,4% af global omsætning. Væsentlige enheder op til 10 mio. EUR eller 2%. Ledelsen kan holdes personligt ansvarlig, og tilsynsmyndighederne kan gennemføre inspektioner og udstede bindende instrukser.
Gælder NIS2 for leverandører til NIS2-pligtige organisationer?
Ja, indirekte. NIS2 Artikel 21(2)(d) og Artikel 22 kræver at NIS2-pligtige organisationer adresserer sikkerhed i hele forsyningskæden. Det betyder i praksis at de stiller konkrete sikkerhedskrav til leverandører — herunder krav til certifikatstyring og TLS-konfiguration. Er du leverandør til en NIS2-pligtig organisation, bør du forvente at blive spurgt om det.
Hvad er forskellen på væsentlige og vigtige enheder under NIS2?
Begge kategorier er underlagt de samme krav i Artikel 21. Forskellen ligger i tilsynsintensitet og bøderamme: væsentlige enheder er underlagt strengere proaktivt tilsyn og kan bødes op til 10 mio. EUR eller 2% af global omsætning. Vigtige enheder har en lidt lavere bøderamme — op til 7 mio. EUR eller 1,4% — men kravene til certifikatstyring og NIS2 compliance er identiske.
Hvem fører tilsyn med NIS2 i Danmark?
Styrelsen for Samfundssikkerhed er den centrale koordinerende myndighed, og tilsynet føres af de sektoransvarlige myndigheder — fx Energistyrelsen for energisektoren og Finanstilsynet for den finansielle sektor. Konkrete sektormyndigheder varierer per branche — tjek med din brancheorganisation hvis du er i tvivl om hvem der fører tilsyn med netop jer.
Hvad er det første skridt, hvis min virksomhed er NIS2-pligtig?
Det første skridt er at lave en aktivfortegnelse over alle dine TLS-certifikater og de systemer, de beskytter. Det er det første, tilsynet spørger om, så start der. CertControl bygger registret automatisk på få minutter og holder det opdateret fra dag ét.
Hvor hurtigt skal man kunne finde årsagen til en sikkerhedshændelse under NIS2?
Du skal kunne identificere rodårsagen til en hændelse inden for 24 timer. Det kræver løbende, proaktiv overvågning — for eksempel automatisk alarm ved certifikatudløb, TLS-fejl og konfigurationsforringelse.
Start med at kortlægge dine certifikater — det er trin ét
Det første NIS2-tilsynet vil spørge om er din aktivfortegnelse. CertControl bygger den automatisk og holder den opdateret — fra dag ét.
14 dages gratis prøveperiode · Hostet i EU · Dedikeret instans per kunde
Primærkilder
De regulatoriske oplysninger på denne side bygger på den primære lovgivning og den ansvarlige danske myndighed. Verificér den gældende ordlyd direkte hos kilderne nedenfor.
- NIS2-direktivet (EU) 2022/2555 — fuld tekst på EUR-Lex, EU's officielle lovdatabase.
- Styrelsen for Samfundssikkerhed (SAMSIK) — den danske NIS2-myndighed: vejledning, anvendelsesområde og NIS2-loven (i kraft 1. juli 2025).