09. juli 2025

Sådan hjælper standarder med at opfylde kravene i NIS 2-direktivet

Den 1. juli 2025 trådte NIS 2-direktivet i kraft i Danmark. Det betyder nye og skærpede krav til cybersikkerhed for både offentlige myndigheder og private virksomheder i samfundskritiske og vigtige sektorer. Heldigvis kan internationalt anerkendte standarder hjælpe med at opfylde kravene – og gøre vejen til compliance mere overskuelig.

I dag er cyberangreb en reel trussel for alle – ikke kun for IT-afdelinger. Uanset om man driver en lille lokal virksomhed eller en global koncern, er man afhængig af digitale systemer, og dermed også sårbar over for angreb. Netop derfor har EU vedtaget NIS 2-direktivet: for at styrke modstandskraften mod cybertrusler i hele Europa gennem ensartede krav. 

Danske vejledninger viser vejen – og peger på fire nøglestandarder 

I Danmark er Ministeriet for Samfundssikkerhed og Beredskab den koordinerende myndighed for implementeringen af NIS 2. Derudover er det de sektoransvarlige myndigheder, der er ansvarlige for selve implementeringen. For at understøtte virksomheder og myndigheders arbejde med NIS 2-kravene har Styrelsen for Samfundssikkerhed (SAMSIK) udgivet fire vejledninger, der beskriver de centrale og tværgående begreber og krav i lovgivningen. Dansk Standard er en af de organisationer, der har været med til at give input til vejledningerne

En af vejledningerne handler om Implementering af cybersikkerhedsforanstaltninger. Her forklares det konkret, hvordan man kan arbejde med kravene i direktivet – og ikke mindst hvilke standarder der kan bruges som ramme. Ifølge vejledningen og selve direktivteksten tilskyndes medlemslandene i Europa til at basere sig på europæiske og internationale standarder og tekniske specifikationer, der er relevante for sikkerheden i net- og informationssystemer. Det er nemlig med til at sikre en samordnet gennemførelse af NIS 2-direktivet, hvilket i sidste ende gør det lettere for danske såvel som andre europæiske virksomheder at leve op til lovgivning. 

• DS/EN ISO/IEC 27001:2023 Informationssikkerhed, cybersikkerhed og privatlivsbeskyttelse – Ledelsessystemer for informationssikkerhed – Krav  
• DS/IEC 62443-2-1:2011 Industrielle kommunikationsnetværk – Netværks- og systemsikkerhed – Del 2-1: Etablering af et sikkerhedsprogram til industrielle automations- og styringssystemer 
• DS/EN IEC 62443-3-3:2019 Industrielle kommunikationsnetværk – Netværks- og systemsikkerhed – Del 3-3: Systemsikkerhedskrav og sikkerhedsniveauer  
• ETSI EN 319 401 Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers V2.3.1, May 2021 

På Dansk Standards webinar om implementering af NIS 2-kravene den 13. juni 2025 fortalte Morten Rosted Vang, kontorchef i SAMSIK, blandt andet, at man er kommet et godt stykke ift. lovgivning, hvis man følger standarderne. 

Disse standarder dækker centrale områder i NIS 2 som risikostyring, hændelseshåndtering, leverandørstyring og cyberhygiejne.  

“I arbejdet med vejledningen om foranstaltninger har vi taget udgangspunkt i ENISA’s mapping, som referer til relevante internationale standarder virksomheder og organisationer kan bruge i deres arbejde med cyber- og informationssikkerhed for at leve op til NIS 2-kravene. Det har vi bl.a. gjort på baggrund af vores interesseinddragelsen og et ønske fra Europa-Kommissionen om at sikre ens retningslinjer på tværs af EU,” uddybede Morten Rosted Vang. 

Et centralt princip i NIS 2 er, at sikkerhedsindsatsen skal tage udgangspunkt i en risikobaseret tilgang. Organisationer skal selv foretage en vurdering af deres systemers kritiske betydning og de samfundsmæssige og økonomiske skader, som en eventuel hændelse vil kunne medføre.  

Hvis man vurderer, at man er omfattet af direktivet, skal man registrere sig på virk.dk senest den 1. oktober 2025. 

NIS 2 gælder for: 

• Offentlige og private aktører i udvalgte sektorer 
• Virksomheder med over 50 ansatte eller en omsætning over 10 mio. euro 
• Organisationer med særlig samfundsmæssig betydning 

Derudover er der nogle helt særlige sektorer, der er omfattet.  

Et fælles sprog for cybersikkerhed i Europa 

Med NIS 2 får Europa en fælles retning for cybersikkerhed. Det gør det lettere at samarbejde på tværs af sektorer og lande – og nemmere for den enkelte organisation at vide, hvad der forventes. 

De europæiske og internationale standarder for cyber- og informationssikkerhed kan støtte organisationer i deres arbejde med NIS 2, da de hjælper med at omsætte krav til konkret handling. 

Dansk Standard er Danmarks officielle standardiseringsorganisation, som repræsenterer den danske stemme i det europæiske og internationale standardiseringsarbejde – også når det handler om udviklingen af standarder for cyber- og informationssikkerhed.  

Hos Dansk Standard arbejder vi for, at organisationer får det bedste udgangspunkt for at styrke deres cybersikkerhed. Vi hjælper gerne i gang med både viden og rådgivning om de relevante standarder. 

Dansk Standard tilbyder forskellige kurser inden for cyber- og informationssikkerhed og herunder også koblingen til NIS 2-kravene.

Dansk Standard har udgivet flere guides, du kan orientere dig i ift. at komme i gang med arbejdet med cyber- og informationssikkerhed 

• Guide til smv’er om EU’s cybersikkerhedskrav
• Guide til risikostyring ift. Cyber- og informationssikkerhed for smv’er

Du kan også være med til at udvikle standarderne for cyber- og informationssikkerhed i Dansk Standards udvalg: https://www.ds.dk/da/udvalg/kategorier/it/informationssikkerhed  

Dansk Standard afholdt 13. juni 2025 et webinar om implementeringen af NIS 2-kravene med vejledninger og ISO/IEC 27001.