Menu

Log ind
Edit Template
Log ind

NIS2 – er det for SMV?

I slutningen af januar afholdt vi sammen med advokat Frans Skovholm fra Dahl Advokater et webinar, hvor vi satte fokus på, hvornår NIS2 er relevant for en SMV-virksomhed. Responsen fra de mange tilmeldte var meget positiv, og derfor får du her et kort referat af de vigtigste pointer.

I en digital tidsalder, hvor cyberangreb og datalæk bliver mere almindelige, er det afgørende for virksomheder at beskytte deres data. Især små og mellemstore virksomheder (SMV’er) skal være opmærksomme på de nye regler, der træder i kraft under det såkaldte NIS2-direktiv.

Hvad er NIS2?

NIS2 står for Network and Information Security 2 og er et EU-direktiv, der har til formål at styrke cybersikkerheden i Europa. NIS2 fokuserer på at beskytte kritisk infrastruktur såsom systemer og tjenester, som samfundet er afhængigt af.

Det gælder fx energi-, transport- og sundhedssektoren. Men hvor NIS1 indeholdt mange uklarheder, udvider NIS2 både krav og omfang, så flere virksomheder bliver omfattet – herunder også en del SMV’er.

NIS2 er et direktiv

Modsat en forordning som fx GDPR, der er direkte bindende og skal implementeres ensartet i alle medlemslande, er NIS2 et direktiv. Dermed er der et fælles overordnet mål, men måden, det skal opnås på, er op til det enkelte land selv at vurdere og implementere.

Derfor skal det først vedtages i Folketinget, og dernæst indarbejdes i den danske lovgivning – og derfor træder NIS2 først i kraft i Danmark den 1. juli 2025, mens de fleste andre EU-lande allerede har indført det.

Hvem er omfattet af NIS2?

Forventeligt 2.000 danske virksomheder og kommuner bliver direkte omfattet af NIS2, og er derfor også omfattet af registreringspligten. Hvor en virksomhed under NIS1 blev udpeget, hvis den var omfattet, er det under NIS2 op til den enkelte virksomhed selv at vurdere, hvorvidt man er omfattet af NIS2 kravene. Er man det, skal man selv registrere sig hos den relevante myndighed.

Har din virksomhed mere end 50 ansatte eller en årlig omsætning og årlig balance på over 10 millioner euro og opererer i en kritisk sektor, kan I være direkte omfattet af NIS2. Selv hvis I ikke bliver direkte omfattet, kan I stadig blive indirekte berørt. Fx hvis I leverer varer eller tjenester til en virksomhed, der er direkte omfattet.

Hvilke krav stiller NIS2?

NIS2 stiller en række krav til de omfattede virksomheder. Lever man ikke op til kravene, kan det resultere i bøder og tab af tillid hos kunder og samarbejdspartnere. De overordnede krav er:

Styrket cybersikkerhed og risikostyring
Virksomheder skal have procedurer på plads for at identificere og håndtere sikkerhedstrusler.

Rapportering af sikkerhedsbrud
Væsentlige sikkerhedshændelser skal indberettes inden for 24 timer, og der skal være opfølgning efter 72 timer.

Ledelsesansvar
Ledelsen skal have en grundlæggende forståelse for informationssikkerhed, og kan i nogle tilfælde blive personligt ansvarlige, hvis kravene ikke overholdes.

Hvordan tackler man NIS2?

Selvom din virksomhed ikke er direkte omfattet af NIS2, kan den som nævnt sagtens være indirekte påvirket. Fx hvis I leverer til en virksomhed eller myndighed, der er direkte omfattet. Her kan nogle af kravene handle om, at I som virksomhed skal…

  1. Lave en risikovurdering for at identificere mulige sikkerhedsrisici.
  2. Udarbejde og implementere sikkerhedspolitikker, som alle medarbejdere skal følge
  3. Gennemgå kontrakter med leverandører for at sikre, at de også lever op til kravene
  4. Uddanne ledelsen i informationssikkerhed og deres ansvar under NIS2
  5. Dokumentere alle relevante processer

Her anbefaler Frans Skovholm, at NIS2 kravene indarbejdes i en kontrakt, der skal indeholde bestemmelser om informationssikkerhed. Desuden skal det være specificeret, at virksomheden har procedurer for at kunne håndtere tredjeparts risici. Dette kan enten gøres i form af en helt ny kontrakt eller som et tillæg til en eksisterende kontrakt.

Brug et rammeværk

For at sikre sig bedst muligt, anbefaler Frans Skovholm desuden, at man som virksomhed overvejer at bruge et anerkendt rammeværk, der omfatter informationssikkerhed. Det kan fx være ISO 27001 eller D-mærket, der er en dansk certificeringsordning, der hjælper virksomheder med at sikre ansvarlig datahåndtering og cybersikkerhed. Det er særligt velegnet til SMV’er, da det gør det lettere at forstå og implementere de nødvendige sikkerhedsforanstaltninger.

Et anerkendt rammeværk tilbyder en logisk struktur, der dels hjælper med at strukturere og konkret indarbejde de konkrete krav. Endelig hjælper det også den enkelte virksomhed med udadtil at demonstrere, at man som virksomhed lever op til NIS2.

Har I styr på GDPR?

NIS2 og GDPR er på mange måder beslægtet, da de begge handler om beskyttelse af kritiske data. Hvor NIS2 handler om overordnet cybersikkerhed og beskyttelse af kritisk infrastruktur, stiller GDPR skarpt på persondata.

Derfor er der også mange fællesnævnere, og mange af kravene er nært beslægtede. Fx risikovurderingen samt kravene til databeskyttelse og indberetning af sikkerhedsbrud. Hvis en virksomhed allerede følger GDPR, har de derfor et godt udgangspunkt for at overholde NIS2, da mange af de samme sikkerhedsforanstaltninger og dokumentationskrav gælder.

Ikke kun krav og regler

NIS2 er vigtig lovgivning, der ikke blevet mindre aktuel de seneste måneder. Derfor er det som virksomhed vigtigt at få afklaret, hvor man står ift. NIS2 og kravene omkring cybersikkerhed, rapportering af brud og ledelsesansvar.

Når man som SMV skal forberede sig på NIS2, er det en stor fordel, hvis man allerede har godt styr på GDPR. For selvom NIS2 og GDPR har forskellige fokusområder, overlapper de på så mange punkter, at det ofte vil være hensigtsmæssigt at tænke dem sammen.

Ikke kun for at undgå bøder, men for at styrke datasikkerheden, og dermed øge tilliden blandt kunder og samarbejdspartnere. For compliance i form af styr på GDPR og NIS2 mv. har også tit en særdeles positiv indvirkning både på virksomhedens omdømme og bundlinje, afslutter Frans Skovholm.

Vil du vide mere?

Overvejer du, hvordan din virksomhed kan blive klar til NIS2? Eller vil du vide mere om, hvordan D-mærket kan hjælpe dig med at opfylde kravene? Kontakt os for en uforpligtende snak om cybersikkerhed og overholdelse af NIS2 og GDPR.

Du kan også se eller gense webinaret ved at klikke her.

Del dette indlæg

Har du spørgsmål?

Har du spørgsmål omkring GDPR, vores løsning eller andet, kan du booke et møde med Martin eller Daniel. Book 15 min., 30 min. eller en time

Book møde

Andre artikler
GDPR

Overvågning – hvad må du?

Mange virksomheder anvender overvågning som et værktøj til at beskytte deres ejendom, styrke produktiviteten og dokumentere vigtige samtaler. Teknologien har gjort

Læs mere
GDPR

GDPR i sundhedssektoren

Arbejder du i sundhedssektoren, ved du, hvor mange fortrolige og følsomme persondata, der dagligt registreres, gemmes, behandles og sendes. Disse data

Læs mere
GDPR

GDPR i IT-afdelingen

IT-afdelingen er på mange måder helt central for GDPR-indsatsen i de fleste virksomheder. Det er her, persondata opbevares – og det

Læs mere

Ja tak – send mig jeres nyhedsbrev

Tilmeld

Vi hjælper dig hele vejen

Vi er en dansk virksomhed, der hjælper små og mellemstore virksomheder med at dokumentere GDPR – korrekt, brugervenligt, uvildigt og enkelt.

logo_white1_12@0.5x

Lexoforms er D-mærket

Lanceret i 2021 er D-mærket det første mærke i verden, der samler ansvarlig dataanvendelse, dataetik og it-sikkerhed i ét og samme mærke.

Horizontal - Right - White
CIPP-E_200x100px
+45 78 700 800

info@lexoforms.com

Tilmeld dig vores nyhedsbrev

Lexoforms A/S
Vejlsøvej 51, Bygning O
DK-8600 Silkeborg

Handels- og abonnementsbetingelser

Privatlivspolitik

Cookies

Vil du vide mere?

Lexoforms® A/S · CVR 38510746 · © 2017-2025 · All rights reserved

MH9230_frit_300x240px

Vil du vide mere?

Book et møde , når det passer dig – eller bliv ringet op.

Book møde
Ring mig op