FØRSTE KVARTAL MED NIS2: TRE TILTAG SKABER DET BEDSTE FUNDAMENT

FØRSTE KVARTAL MED NIS2: TRE TILTAG SKABER DET BEDSTE FUNDAMENT

Compliance IT-ret Kontraktret EU-ret Persondata og cybersikkerhed
Efter den danske NIS2-lov trådte i kraft, er mange først lige startet. Usikkerhed om omfang og selvregistrering ændrer ikke, at kravene gælder nu. Juridisk–teknisk samarbejde, ledelsesforankring og kontraktdisciplin går igen—med tre hurtige skridt som fundament: uddan, dokumentér, styr leverandører.
EB
Emil Bisgaard

Status efter første kvartal med NIS2

Den danske implementeringslov trådte i kraft i juli 2025, og mange virksomheder er fortsat i opstartsfasen. Vejledninger kom sent, og flere har først iværksat arbejdet i sensommeren. Usikkerhed om, hvem der er omfattet, har præget perioden, men reglerne gælder allerede, og manglende handling kan udløse kritik og senere sanktioner.

Fristen for selvregistrering har forstærket behovet for afklaring. Myndighederne forventes at følge op over for virksomheder, der burde være registreret. NIS2 stiller risikobaserede krav til styring, kontroller og hændelsesrapportering. Selve retsgrundlaget kan tilgås via EU’s officielle publikation af direktiv (EU) 2022/2555 på EUR-Lex.

Hvad kendetegner dem, der lykkes

De mest fremdriftsdygtige organisationer arbejder tværfagligt. Jurister og sikkerhedsspecialister oversætter kravene til konkrete procedurer, så fortolkning og implementering hænger sammen og flaskehalse undgås. Denne integration er afgørende for at skabe et proportionelt og dokumenterbart kontrolmiljø.

Ledelsesforankring er lige så central. Projekter prioriteres på direktions- og bestyrelsesniveau med tydelige ressourcer, milepæle og ansvar. Samtidig udviser de succesfulde virksomheder kontraktdisciplin: De kortlægger leverandørkæden, stiller klare sikkerhedskrav og etablerer systematisk opfølgning i aftalerne.

Tre prioriterede tiltag lige nu

For at skabe et solidt fundament bør virksomheder starte med enkle, men effektfulde skridt, der kan køre parallelt. Det reducerer tid til værdi og giver et klart udgangspunkt for resten af compliance-arbejdet.

Arbejdet skal være risikobaseret og dokumenteret. Det gør det lettere at forklare proportionalitet over for tilsyn og at styre leverandørrisici, som i praksis udgør en væsentlig sårbarhed.

Følgende tiltag bør prioriteres først:

  1. Uddan ledelsen: Giv bestyrelse og direktion et fælles risikobillede og kendskab til pligter og ansvar.
  2. Dokumentér eksisterende sikkerhed og gennemfør risikovurderinger: Kortlæg politikker, processer og kontroller, og vurder system- og infrastruktur-risici.
  3. Få styr på leverandørerne: Identificér kritiske leverandører, opdater kontraktkrav og fastlæg løbende opfølgning og audit.

Perspektiv og næste skridt

NIS2 forventes ikke at blive lempet. Kravene kan blive mere detaljerede og potentielt udvides i omfang. Et varigt governance-setup med faste rytmer for rapportering, test, forbedringer og ledelsesopfølgning er derfor nødvendigt.

Virksomheder bør integrere NIS2 i eksisterende styringsrammer som ISMS og ISO 27001, samordne hændelses- og beredskabsprocesser og indarbejde sikkerhedskrav i indkøb og kontrakter. At komme i gang nu mindsker både regulatorisk og driftmæssig risiko og står stærkt ved myndighedstilsyn.

Læs hele artiklen hos Poul Schmith / Kammeradvokaten →
Søgeord
Databehandleraftale, Dokumentationskrav, Sanktioner, Risikovurdering, NIS2-direktivet, Informationssikkerhed, Hændelsesrapportering, Risikostyring, Leverandørstyring, Bestyrelsesansvar, Ledelsesansvar, Beredskabsplan, Kontinuitetsplan, ISO 27001, ISMS, Kritisk infrastruktur, Governance, Kontraktstyring, Kontraktændringer, SLA, Kontraktopfølgning, Cybersikkerhed, Leverandørkrav, Center for Cybersikkerhed, Erhvervsstyrelsen, Væsentlige enheder, Vigtige enheder, EU-lovgivning, Myndighedstilsyn, Intern kontrol, Tredjepartsrisiko, Audit, Compliance, Forsyningskædesikkerhed, It-sikkerhed, NIS2-loven, Udbudskrav, Selvregistrering, Forretningskritiske systemer, Træning af ledelse

Relaterede artikler

Hvordan skal vi tælle?
Norrbom Vinding

Hvordan skal vi tælle?

EU-Domstolen fastslår, at opsigelser efter afslag på forflyttelse skal tælles med efter direktivet om kollektive afskedigelser, når årsagen er arbejdsgiverens forhold. Konsultationspligten udløses allerede ved beslutninger, der forventes at føre til afslag og efterfølgende afskedigelser.
EU's nye retningslinjer for medicinsk udstyr: Klarhed om distributørers ansvar
Bech-Bruun

EU's nye retningslinjer for medicinsk udstyr: Klarhed om distributørers ansvar

Generaladvokaten ved EU-Domstolen præciserer distributørers kontrolpligt under MDR: Fokus på formelle kontroller, reaktion på åbenlyse uoverensstemmelser og ingen pligt til at revurdere fabrikantens tekniske klassifikation. Klarere ansvar i forsyningskæden.
Datatilsynet har gennemført tilsyn med onlinekasinoer
Datatilsynet

Datatilsynet har gennemført tilsyn med onlinekasinoer

Datatilsynet har afsluttet koordinerede tilsyn med onlinekasinoer. Konklusionen er, at retten til sletning generelt håndteres korrekt, og fristerne overholdes. Enkelte virksomheder blev mindet om krav til samtykke og behandlingsgrundlag, hvor hvidvaskregler ofte begrænser sletning.
Designrettighed ikke krænket
Sø- og Handelsretten

Designrettighed ikke krænket

Sø- og Handelsretten afgjorde, at en registreret EF-designrettighed til en klods til vindmølletransport er gyldig, men ikke krænket. Retten lagde vægt på helhedsindtryk, den informerede bruger og teknisk betingede træk. Ingen forbud eller erstatning blev tilkendt; dommen offentliggøres anonymt.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Koda
Bliv juridisk chefkonsulent i Koda og vær med til at skabe et stærkere musikliv
Koda
Forsvaret
Databeskyttelsesspecialist
Forsvaret
Erhvervsministeriet
To juridiske studenter til Konkurrence- og Forbrugerstyrelsens Center for Tech
Erhvervsministeriet
Forsvarets Koncernfælles Informatiktjeneste (FKIT)
Erfarne jurister til at bistå med gennemførelsen af IT-anskaffelser til Forsvaret
Forsvarets Koncernfælles Informatiktjeneste (FKIT)
Erhvervsministeriet
Studerende med interesse for forbrugerspørgsmål
Erhvervsministeriet
Forsvaret
Chefkonsulent med ansvar for databeskyttelse (DPO)
Forsvaret
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →