Millionbøder, ufravigelige sikkerhedskrav og værdifulde kontrakter på spil – det er virkeligheden for de virksomheder, der leverer løsninger, systemer eller tjenester til staten, regionerne og kommunerne, når NIS2-direktivet træder i kraft i Danmark. Hvor NIS1 primært ramte et snævert felt af kritisk infrastruktur, udvider den nye lovpakke nu sine tentakler langt ind i leverandørkæden. Derfor er spørgsmålet ikke længere, om du bliver omfattet, men hvornår og hvordan.
I denne artikel stiller vi skarpt på, hvad NIS2 konkret betyder for offentlige leverandører – fra underleverandøren med få ansatte til den globale it-koncern. Vi dykker ned i:
- Hvem der kategoriseres som væsentlige og vigtige enheder – og hvorfor den forskel har stor betydning for tilsyn og bødestørrelser.
- Hvordan statslige og kommunale ordregivere allerede nu indarbejder NIS2-krav i udbud og kontrakter, som direkte forpligter leverandører.
- Hvilken dokumentation, governance-struktur og tekniske foranstaltninger du skal have på plads for at bestå kommende audits – uden at sprænge budgettet.
Uanset om du leverer cloud-tjenester, softwareudvikling, energistyring eller rådgivning, vil NIS2 påvirke din måde at drive forretning på. Læs med, og få et praktisk overblik samt en trin-for-trin køreplan, der klæder dig på til at møde de nye krav – før dine konkurrenter gør det.
Overblik: Hvem er omfattet af NIS2 – og hvad betyder det for offentlige leverandører?
NIS2-direktivet er EU’s nye fælles spilleregelsæt for cybersikkerhed. Hvor det første NIS-direktiv fra 2016 satte barren for kritiske samfundsfunktioner, udvider NIS2 både dybde og bredde: Flere sektorer bliver omfattet, kravene bliver tydeligere, og sanktionerne markant skrappere. Ambitionen er at hæve det samlede sikkerhedsniveau i EU, styrke det indre marked og sikre, at en hændelse hos én aktør ikke lammer hele forsyningskæden.
Hvilke sektorer og funktioner dækkes af nis2?
Direktivet opererer med to lister:
- Bilag I – “Væsentlige sektorer”: bl.a. energi, transport, sundhed, finansielle tjenester, drikkevand/spildevand, digital infrastruktur og offentlig administration.
- Bilag II – “Vigtige sektorer”: bl.a. post- og kuriertjenester, affaldshåndtering, fødevareproduktion, kemikalier, fremstillingsvirksomhed (fx medicinsk udstyr, biler, computer- og elektronikudstyr) samt digitale tjenesteydelser såsom online-markedspladser og cloud.
“væsentlige” vs. “vigtige” enheder
Begge kategorier er underlagt de samme sikkerheds- og rapporteringskrav, men tilsynet bliver strengere for “væsentlige” enheder:
- “Væsentlige enheder” (essential entities) får proaktivt tilsyn – myndighederne gennemfører regelmæssige kontroller.
- “Vigtige enheder” (important entities) er underlagt reaktivt tilsyn – myndighederne griber ind ved mistanke eller konkrete hændelser.
Størrelsestærsklen – Udgangspunkt i mellemstore og store virksomheder
Som tommelfingerregel er alle private og offentligt ejede organisationer i Bilag I og II, der beskæftiger minimum 50 ansatte eller har en årsomsætning og/eller balancesum på ≥ 10 mio. EUR, omfattet. Mikro- og små virksomheder (<50 ansatte/ <10 mio. EUR) er som udgangspunkt undtaget – medmindre de leverer en tjeneste af særlig kritisk betydning (fx en lille lokal vandforsyning, der er eneste kilde til drikkevand i et område).
Høj kritikalitet kan trumfe størrelse
Staterne kan udpege mikro- og små virksomheder som NIS2-enheder, når deres tjeneste er så kritisk, at selv en lille hændelse kan få alvorlige konsekvenser for samfundet eller økonomien. Dermed kan også IT-integratorer, nicheproducenter eller SaaS-leverandører blive omfattet, hvis deres ydelse er central for fx hospitaler eller energinet.
Hvordan rammer nis2 offentlige leverandører?
Selv leverandører, som ikke er direkte klassificeret som NIS2-enheder, vil møde kravene via kontrakt- og udbudsbetingelser. Offentlige myndigheder bliver selv omfattet – typisk som “væsentlige enheder” – og skal derfor:
- indbygge NIS2-krav i udbudsmateriale, kontrakter og SLA’er
- gøre leverandørens efterlevelse målbar (fx via KPI’er for patch-hastighed, log-retention og beredskabstest)
- forbeholde sig audit- og rapporteringsret samt mulighed for at kræve underleverandørkæden afdækket
Dermed bliver NIS2 hurtigt en minimumsstandard for alle, der vil handle med det offentlige (B2G).
Nationale tilsyns- og sektormyndigheder
I Danmark forventes følgende fordeling (baseret på NIS1 og politiske udmeldinger):
- Center for Cybersikkerhed (CFCS) – koordinerende myndighed, tilsyn med digital infrastruktur og offentlig administration.
- Forsyningssektorernes tilsyn – fx Forsyningstilsynet (energi), Trafikstyrelsen (transport), Sundhedsstyrelsen (sundhed), Finanstilsynet (finans) m.fl.
- Erhvervsstyrelsen håndterer registre, anmeldelse og informationskampagner.
Tidslinje og overgang
- NIS2 trådte i kraft på EU-plan 16. januar 2023.
- Medlemsstaterne skal implementere reglerne nationalt senest 17. oktober 2024.
- NIS1-registrerede virksomheder overgår automatisk til NIS2, men skal dokumentere, at de lever op til de strengere krav.
I praksis betyder det, at danske B2G-leverandører har mindre end ét år til at sikre policy-opdateringer, tekniske kontroller og ledelsesforankring, hvis de vil vinde, beholde eller fortsætte offentlige kontrakter efter 2024.
Konkrete krav: Hvad skal leverandører til det offentlige kunne dokumentere og efterleve?
Under NIS2 skal topledelsen kunne dokumentere ejerskab af informationssikkerheden. Det betyder bl.a.:
- Etablering af en formel governance-struktur med bestyrelses- eller direktionens godkendelse af sikkerhedspolitikker.
- Tydelig rolle- og ansvarsplacering (CISO, DPO, systemejere, leverandøransvarlige).
- Ledelsens periodiske review af risikorapporter, KPI’er og efterlevelse.
- Mulighed for personlige sanktioner ved grov forsømmelse – et nyt element, som offentlige ordregivere vil spørge ind til.
Risikostyring
Leverandøren skal kunne fremvise en kontinuerlig risikostyringsproces:
- Årlige (eller hyppigere) risikovurderinger af aktiver, trusler og sårbarheder.
- Definerede risk treatment plans med prioriterede kontroller og residualrisici, der accepteres af ledelsen.
- Metode til vurdering af tredjeparts- og leverandørrisici, inkl. kritikalitetsklassificering.
- Opdatering ved ændringer i trusselsbilledet, nye releases eller større organisatoriske ændringer.
Tekniske og organisatoriske sikkerhedsforanstaltninger
Direktivet opstiller minimumskrav, som i praksis læner sig op ad ISO 27002-kontroller:
- Adgangskontrol & MFA: Princip om mindst mulige rettigheder og tvungen multifaktor på alle privilegerede konti.
- Sårbarheds- og patchhåndtering: Registrering, CVSS-prioritering og dokumenteret patch-cadence.
- Netværkssegmentering: Adskillelse af drifts-, test- og udviklingsmiljøer; zero-trust-principper.
- Kryptering: TLS 1.2+ in transit, AES-256 at rest, nøglehåndtering efter NIST SP 800-57.
- Sikker udvikling / DevSecOps: Code review, SAST/DAST, SBOM og automatiserede pipelines.
- Logning & monitorering: Central SIEM, 12 mdr. logopbevaring, brug af UEBA/IDS.
- Backup, BCP & DR: 3-2-1-strategi, offline-kopier, regelmæssig gendannelsestest og ransomware-playbooks.
- Test & audit: Årlige penetrationstests, uafhængige audits og remediering inden for fastsatte frister.
Hændelseshåndtering og indberetning
Offentlige kontrakter vil afspejle de nye NIS2-tidsfrister:
- Tidlig varsling: Senest 24 timer efter opdagelse til relevant CSIRT/tilsynsmyndighed og kunden.
- Detajleret rapport: Senest 72 timer med årsag, påvirkede systemer og afhjælpende tiltag.
- Slutrapport: Senest 1 måned med fuld RCA og lessons learned.
Derudover stilles krav om kundekommunikation, hvis hændelsen kan påvirke slutbrugere eller kritiske tjenester.
Forsyningskædekrav
- Due diligence: Risikobaseret screening, fx spørgeskemaer eller onsite audits.
- Kontraktklausuler: Specificerede sikkerhedskrav, SLA’er, understøttende certificeringer, ret til audits og øjeblikkelig adgang til hændelsesdata.
- Underleverandører: Flow-down-krav, så samme sikkerhedsniveau gælder i hele kæden.
Dokumentation og modenhed
Leverandøren skal kunne præsentere et Statement of Applicability (SoA), ajourførte politikker, procedurer, awareness-programmer samt øvelser (tabletop & tekniske). Niveauet vurderes ofte via NIST CSF eller ISO 27001-maturity skalaen.
Understøttende standarder og beviser
Følgende certificeringer og erklæringer ses hyppigt som bevis for NIS2-compliance:
- ISO/IEC 27001 (ledelsessystem)
- ISO/IEC 27002, 27017 (cloud) og 27018 (persondata i cloud)
- SOC 2 Type II (med Security & Availability-principper)
- IEC 62443 (OT/ICS-miljøer)
Offentlige udbud og kontrakter
Ordregivere vil indarbejde kravene i sikkerhedsbilag med målbare SLA’er/KPI’er, f.eks.:
- Maks. 15 min. MTTA/MTTR på kritiske hændelser.
- Kryptering af alle personoplysninger (GDPR overlap).
- Databehandleraftale (hvis relevant) + NIS2-bestemmelser om hændelsesrapportering.
- Årlige compliance-rapporter og ledelseserklæring.
Tilsyn og sanktioner
Manglende efterlevelse kan udløse administrative bøder på op til 10 mio. EUR eller 2 % af global omsætning (for væsentlige enheder). Derudover:
- Påbud om afhjælpende foranstaltninger.
- Suspendering fra udbud eller kontraktophævelse.
- Personligt ansvar for ledelsen i særlige tilfælde.
Praktisk køreplan for leverandører
- Gap-analyse: Sammenlign nuværende kontroller med NIS2-krav og relevante standarder.
- Roadmap & prioritering: Fokusér på højrisiko-områder først (adgang, patch, hændelser).
- Budget & ressourcer: Allokér dedikeret CISO‐funktion, SOC-kapacitet og uddannelse.
- Implementering: Udrul policies, tekniske kontroller og kontraktuelle flow-downs.
- Test & øvelser: Pen-tests, tabletop-øvelser, BCP-tests og leverandør-audits.
- Løbende forbedring: KPI-opfølgning, ledelsesreviews og opdatering af risikovurderinger.
Ved at følge denne strukturerede tilgang kan offentlige leverandører demonstrere proaktiv compliance og differentiere sig positivt i kommende udbud under NIS2-regimet.
