IDA.DKIDA ForsikringIDA Studerende
Bliv medlem
IT og digitalisering
/
Læring og kompetencer
/
IT og digitalisering
/
NIS 2 er trådt i kraft – hvad betyder det for dig som leder?

IT og digitalisering

NIS 2 er trådt i kraft – hvad betyder det for dig som leder?

NIS 2-loven trådte i kraft 1. juli 2025. Læs, hvad det betyder for dig og din organisation, og hvordan du kommer i gang med at efterleve kravene.

NIS 2-loven trådte i kraft 1. juli 2025.
Billede: IDA

Af IDA Learning

10. september 2025

NIS 2-direktivet trådte i kraft 1. juli 2025 og er nu officielt en del af dansk lovgivning. Det stiller konkrete krav til cybersikkerhed for kritiske og vigtige organisationer, og det er ikke længere nok at have generelle sikkerhedsforanstaltninger.  

For mange virksomheder er det første gang, de skal dokumentere risikostyring, rapportering og ledelsesforankring på formelt niveau. Der skal etableres procedurer for rapportering af hændelser til myndighederne, og organisationer skal sikre, at alle relevante medarbejdere får den nødvendige træning. 

Er du omfattet, skal du registrere dig senest 1. oktober 2025. Du kan bruge NIS 2-tjek til at vurdere, om din organisation er omfattet. 

Styrelsen for Samfundssikkerhed (SAMSIK) har udgivet en række NIS2-vejledninger, der forklarer kravene og giver konkrete råd til, hvordan organisationer kan implementere dem.  

NIS 2 ændrer ledelsens rolle markant 

Ledelsens rolle i NIS 2 er langt mere aktiv og forpligtende, end mange tror. Det handler ikke blot om at godkende budget eller politikker – ledelsen skal løbende følge op, dokumentere, integrere i virksomhedens risikostyring, tage ansvar for leverandører og skabe kultur, ellers kan der være personligt ansvar. 

For ledere betyder det blandt andet: 

1. Ledelsen har et klart og juridisk ansvar

Det er ikke nok at “dele ansvaret” mellem it- og sikkerhedsafdelingen – ledelsen har direkte ansvar for, at organisationen efterlever NIS 2. Dette inkluderer både strategisk forankring og kontinuerlig opfølgning på cybersikkerhedsinitiativer. 

OBS: Ledelsen kan personligt holdes ansvarlig, hvis organisationen ikke efterlever NIS 2-kravene.

2. Krav om risikobaseret tilgang på ledelsesniveau 

NIS 2 kræver, at ledelsen løbende kortlægger og vurderer cyberrisici på tværs af hele organisationen – ikke bare it-infrastrukturen. Det betyder også, at ledelsen skal dokumentere beslutninger og prioriteringer i forhold til cybersikkerhed. 

3. Integrering med virksomhedens øvrige risikostyring 

Cybersikkerhed skal ikke stå alene – den skal indgå i den samlede virksomhedsrisikostyring og kobles til forretningsmål og kritiske processer. 

Det nytter altså ikke længere at anse cybersikkerhed som et “it-problem”. 

4. Krav om regelmæssig rapportering til ledelsen 

Lederen skal modtage regelmæssige rapporter om status på cybersikkerhed, hændelser og risici. Med andre ord: det er ikke nok med ad hoc-rapportering – der forventes faste processer og dokumentation. 

5. Sanktioner og konsekvenser 

SAMSIK understreger, at manglende ledelsesforankring kan føre til sanktioner mod både organisationen og individet i ledelsen. Dette er en klar markering af, at NIS 2-direktivet ikke kun er “vejledende” – det er forpligtende. 

6. Leverandører og forsyningskæde 

Ledelsen skal sikre, at cybersikkerhed også gælder leverandører og kritiske partnere. Pas på ikke at undervurdere omfanget af dette – det er ikke nok at fokusere på interne systemer. 

7. Fokus på kultur og bevidsthed 

Vejledningen understreger, at ledelsen skal skabe en sikkerhedskultur og sikre, at alle medarbejdere forstår deres rolle i cybersikkerhed. 

Det er ikke bare tekniske kontroller – adfærd og træning er en del af ledelsesansvaret. 

Kilde: SAMSIK – Vejledning om ledelsens rolle og opgaver, maj 2025 

NIS 2-tjekliste:

  • Tag ansvar på topniveau: Godkend politikker, budgetter og risikoprofil.
  • Kortlæg risici på tværs af organisationen.
  • Dokumentér beslutninger.
  • Integrér med øvrig risikostyring.
  • Etabler faste rapporteringsrutiner.
  • Inkludér leverandører og partnere.
  • Træn medarbejdere og gør alle ansvarlige for cybersikkerhed.
  • Etabler procedurer for hændelser.

Hvad skal du gøre lige nu? 

Som det fremgår af ovenstående, kræver NIS2 konkret handling. Her er de vigtigste områder, du som leder bør have fokus på med det samme: 

  • Ansvar på ledelsesniveau: Fastlæg politikker, budgetter og sørg for, at organisationens risikoprofil er kendt og håndteret. 
     
  • Dokumenteret risikostyring: Identificer, vurder og afhjælp risici systematisk. Dokumentér forebyggelse, overvågning og håndtering. 
     
  • Rapportering: Etabler procedurer for identifikation, klassificering og eskalering af hændelser, så alvorlige cyberhændelser rapporteres korrekt og rettidigt (24–72 timer). 
     
  • Udvidet rækkevidde: NIS2 gælder flere sektorer end tidligere – også organisationer uden tidligere formelle krav. 
     
  • Økonomiske sanktioner: Manglende overholdelse kan koste millioner i bøder og skade omdømme. 

Kursus

NIS2 – kom godt fra start

Hvordan efterlever din organisation NIS2-kravene og sikrer compliance? På dette kursus opnår du forståelse for NIS2-direktivets krav, overblik over omfanget, og du lærer, hvordan I kommer i gang i din organisation.

Kursus

NIS2 – kom godt fra start

Hvordan efterlever din organisation NIS2-kravene og sikrer compliance? På dette kursus opnår du forståelse for NIS2-direktivets krav, overblik over omfanget, og du lærer, hvordan I kommer i gang i din organisation.

Læs mere:

Tema

Læring og kompetencer

Her kan du se fagligt indhold om IDAs mange tilbud til dig.

Tema

Kursusoversigt

Få adgang til et bredt udvalg af kurser hos IDA, skræddersyet til STEM-uddannede. Sikr din markedsværdi og udvikl dine kompetencer hele karrieren

Kontakt

Få hjælp nu

Find relevante, kvalitetssikrede kurser og efteruddannelse.

Book en kompetencerådgivning her