NIS2-compliance — en praktisk guide for databeskyttelsesrådgivere

NIS2-direktivet trådte i kraft i hele EU i 2025 og bragte titusinder af nye virksomheder inden for dets anvendelsesområde. Som DPO spørger dine klienter: "Gælder NIS2 for os?" Denne guide hjælper dig med at besvare det spørgsmål — og forberede dig på compliance.

Hvem er berørt af NIS2?

NIS2 gælder for væsentlige og vigtige enheder inden for 18 sektorer, herunder energi, transport, sundhed, digital infrastruktur, forvaltning af IKT-tjenester og offentlig administration. Virksomheder med 50+ medarbejdere eller EUR 10M+ i omsætning i disse sektorer er typisk omfattet.

Centrale NIS2-krav (art. 21)

Risikoanalyse og informationssikkerhedspolitikker, hændelseshåndtering, forretningskontinuitet og krisestyring, forsyningskædesikkerhed, netværkssikkerhed, sårbarhedshåndtering og -offentliggørelse, cybersikkerhedsuddannelse, kryptografi- og krypteringspolitikker.

NIS2 og GDPR — overlap og forskelle

Både NIS2 og GDPR kræver risikobaserede sikkerhedsforanstaltninger, hændelsesrapportering og dokumentation. Den centrale forskel: GDPR beskytter personoplysninger, NIS2 beskytter netværks- og informationssystemer. Mange tekniske foranstaltninger (TOM'er) overlapper — dokumentér dette for at undgå dobbeltarbejde.

Ledelsesansvar under NIS2

NIS2 indfører personligt ansvar for ledelsen. Direktører skal godkende cybersikkerhedsforanstaltninger, gennemgå uddannelse og kan holdes personligt ansvarlige for manglende overholdelse. Dette er nyt — og det ændrer samtalen med dine klienter.

Tip fra praksis

Brug Trustee.eu's NIS2-beredskabstjekliste til at kortlægge, om dine klienter er i scope. Dokumentér overlappet med eksisterende GDPR-foranstaltninger for at undgå dobbeltarbejde.

Tjek NIS2-beredskab med Trustee.eu

NIS2-compliance — integreret med dit GDPR-dashboard Sådan opretter du en GDPR-konform fortegnelse over behandlingsaktiviteter At arbejde som ekstern DPO — en praktisk guide