Er vi klar til EU's nye cybersikkerhedsdirektiv?

Er vi klar til EU's nye cybersikkerhedsdirektiv?

IT-ret Offentlig ret EU-ret Persondata og cybersikkerhed
NIS2 skærper kravene til cyber- og informationssikkerhed fra 1. juli med ledelsesansvar, sektorspecifikt tilsyn og strengere indberetningspligter. Uklare bekendtgørelser øger usikkerheden, men pligterne gælder. Prioritér risikovurdering, governance og beredskab nu.
MN
Martin Hjørlund Nielsen
CS
Christian Wiese Svanberg

NIS2 skærper kravene og accelererer forberedelserne

EU’s NIS2-direktiv træder i kraft i Danmark den 1. juli 2025 og hæver kravene til cyber- og informationssikkerhed for både private og offentlige aktører i samfundsvigtige og kritiske sektorer. Kravene omfatter ikke alene tekniske foranstaltninger, men også tydelig organisatorisk forankring og eksplicit ledelsesansvar. Den danske implementering er dog præget af udeståender, fordi væsentlige bekendtgørelser og vejledninger endnu ikke foreligger. Virksomheder kan derfor forvente en praktisk “blød” implementering – uden at det ændrer ved, at pligterne gælder fra dag ét.

Det regulatoriske sigte er at løfte det generelle sikkerhedsniveau og reducere sårbarheder på tværs af sektorer. Forberedelser bør derfor prioriteres nu med fokus på at dokumentere beslutninger, risikovurderinger og beredskab samt at sikre, at ledelsen kan føre reelt tilsyn.

Sektorspecifikt tilsyn og behov for ensartet praksis

En nyskabelse under NIS2 er den sektoropdelte tilsynsmodel. I stedet for én central myndighed fordeles tilsynet på fagmyndigheder med branchespecifik indsigt. Modellen kan styrke relevans og proportionalitet i kravene, men rummer samtidig risiko for uensartet praksis og øget kompleksitet for leverandører, der leverer på tværs af sektorer.

Det bliver centralt, at koordinerende myndigheder sikrer sammenhæng i retningslinjer, kontrol og sanktioner. En tydelig, offentlig praksis og anvendelige vejledninger vil være afgørende for retssikkerhed og forudsigelighed – ikke mindst i grænsefladen til anden EU-regulering som GDPR.

Fra sikkerhed til resiliens: risikovurdering i centrum

NIS2 flytter fokus fra idealet om “fuld sikkerhed” til praktisk resiliens: evnen til at modstå, opdage, reagere på og komme sig efter hændelser. Kerneelementet er en løbende, dokumenteret risikovurdering, der identificerer systemer, processer og data med høj kritikalitet og styrer prioriteringen af sikkerhedsforanstaltninger og beredskab.

Et altomfattende, fladt kravniveau kan udvande indsatsen. Direktivets pligter bør operationaliseres risikobaseret, så organisationer styrker de mest kritiske funktioner først. Det indebærer klare roller, trænet hændelseshåndtering, testede backup- og genopretningsprocedurer samt opdaterede kontinuitetsplaner.

Ledelsesansvar, rapportering og praktiske skridt

Direktivet placerer et eksplicit ansvar hos øverste ledelse. Det kræver governance, styringsværktøjer og kvalitetssikret ledelsesinformation for at træffe oplyste beslutninger. Ledelsen bør sikre, at kompetencer, mandat og ressourcer matcher risikobilledet, og at kontroller følges op med regelmæssig rapportering og forbedringstiltag.

Indberetningspligten ved sikkerhedshændelser bliver mere detaljeret, hvilket kan udfordre de første døgn, hvor organisationen samtidig skal begrænse skaden. Forvent også større offentlighed og medieinteresse. Et forberedt kommunikationsberedskab og klare interne beslutningsgange kan reducere både regulatorisk og omdømmemæssig risiko.

Virksomheder kan med fordel fokusere på tre konkrete handlinger for at komme sikkert fra start:

  1. Etabler overblik og gennemfør en risikovurdering. Kortlæg systemer, afhængigheder og forretningskritikalitet.
  2. Forankr ansvar i ledelsen. Definér roller, mandat og rapporteringslinjer, så beslutninger kan træffes hurtigt og dokumenteret.
  3. Prioritér det væsentlige. Alloker ressourcer til de mest kritiske processer og systemer før mindre væsentlige.

Den vigtigste fejl er passivitet. Selv med manglende detailregler er det muligt – og nødvendigt – at arbejde risikobaseret, styrke beredskabet og sikre ledelsesmæssig forankring, så organisationen står robust ved ikrafttrædelsen.

Læs hele artiklen hos DLA Piper →
Søgeord
GDPR, Dokumentationskrav, Risikovurdering, NIS2-direktivet, Informationssikkerhed, Risikostyring, Leverandørstyring, Ledelsesansvar, Forvaltningsret, Bekendtgørelser, Kritisk infrastruktur, Vejledninger, Governance, NIS2, Cybersikkerhed, Incident response, Tilsynspraksis, Tilsynsmyndigheder, Sektorregulering, Intern kontrol, Hændelseshåndtering, Dansk implementering, Tekniske og organisatoriske foranstaltninger, Varsling, Indberetningspligt, Compliance, Bestyrelsestilsyn, Driftskontinuitet, Samfundsvigtige tjenester, It-sikkerhed, Persondataforordningen, Beredskabsplanlægning, Cyberresiliens, Backupstrategi, Tværsektoriel koordinering, Organisatorisk forankring, Kommunikationsberedskab, Kritikalitetsvurdering, Konsekvensstyring, Ansvarsplacering

Relaterede artikler

Datatilsynet har ført tilsyn med ejendomsadministratorer
Datatilsynet

Datatilsynet har ført tilsyn med ejendomsadministratorer

Datatilsynet afslutter planlagte tilsyn hos fem ejendomsadministratorer om håndtering af registreredes rettigheder. Gennemgang af interne processer og konkrete sager om indsigt og sletning viser overordnet tilfredsstillende efterlevelse. Et notat samler generelle observationer og bemærkninger.
Danske Advokater: Behov for styrket retssikkerhed og præciseringer
Danske Advokater

Danske Advokater: Behov for styrket retssikkerhed og præciseringer

Danske Advokater opfordrer til skærpede retssikkerhedsgarantier i udkastet til ændring af gasforsyningsloven. Organisationen efterlyser klar retlig status for planlægningsinstrumenter, krav om begrundede afgørelser, partshøring, administrativ prøvelse og tydeligere bemyndigelser.
Tv-overvågning af medarbejdere hos DSB Service & Retail A/S
Datatilsynet

Tv-overvågning af medarbejdere hos DSB Service & Retail A/S

Datatilsynet fastslår, at DSB Service & Retail A/S’ tv-overvågning til forebyggelse og opklaring af kriminalitet kan ske med hjemmel i GDPR art. 6, stk. 1, litra f. Adgang til optagelser kræver dog begrundet mistanke om grovere overtrædelser og fravær af mindre indgribende alternativer.
EP vedtager omnibuspakke 1 – Færre virksomheder omfattes og kravene forenkles
Erhvervsstyrelsen

EP vedtager omnibuspakke 1 – Færre virksomheder omfattes og kravene forenkles

Europa-Parlamentet har vedtaget en omnibuspakke, der forenkler CSRD og koordinerer med CSDDD. Betydeligt færre danske virksomheder bliver omfattet, og kravene bliver mere talbaserede. Reglerne gælder fra 2027, men regeringen vil fritage tidligere. Erhvervsstyrelsen opdaterer vejledningen.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Statens Serum Institut
Jurist til Afdelingen for Databeskyttelse og Informationssikkerhed på Statens Serum Institut
Statens Serum Institut
Erhvervsministeriet
Kollega søges til Erhvervsministeriets kontor for finansielle juridiske forhold
Erhvervsministeriet
Finanstilsynet
Har du erhvervserfaring, og vil du bidrage til at sikre en robust finansiel sektor?
Finanstilsynet
Politiets Efterretningstjeneste
Sektionsleder til Personalesikkerhed i PET
Politiets Efterretningstjeneste
Finanstilsynet
Har du erhvervserfaring, og vil du bidrage til at sikre en robust finansiel sektor?
Finanstilsynet
Domstolsstyrelsen
Sekretariats- og funktionschef ved Retten i Odense
Domstolsstyrelsen
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →