I oktober 2024 trådte EU’s nye it-sikkerhedsdirektiv NIS 2 i kraft. Det har til formål at højne cybersikkerheden gennem krav til blandt andet ledelsesforankring og risikostyring, løbende uddannelse samt yderligere 10 minimumskrav herunder krav til leverandørstyring og krav til hændelsesrapportering. Den danske udmøntning af EU-lovgivningen træder i kraft 1. juli 2025.

Flere tusind samfundskritiske virksomheder inden for en lang række sektorer vil blive direkte omfattet. Derudover vil de omfattede virksomheder ifølge direktivet blive holdt ansvarlige for, at deres kritiske leverandører også lever op til kravene. På den måde vil mange underleverandører også blive berørt af NIS 2-loven.

Manglende efterlevelse kan give bøder på op til 2 procent af virksomhedens globale omsætning, ligesom man som direktør og bestyrelse kan få frataget sin ret til at udøve ledelse i virksomheden.

Styrelsen for Samfundssikkerhed har lavet et værktøj, som kan hjælpe dig med at vurdere, om din virksomhed er omfattet af NIS 2-loven. Prøv det her: NIS 2-tjek.

NIS 2 stiller krav til et højere og mere ensartet cybersikkerhedsniveau i Europa, hvilket er nødvendigt for at styrke dansk og europæisk erhvervslivs modstandskraft. Men samtidig udgør kravene en stor udfordring for mange virksomheder, og især de mindre virksomheder, der aldrig tidligere har stået over for krav af samme skala.

Der er ikke et quickfix til at leve op til NIS 2-loven. Derfor er det en fordel for virksomheder allerede nu at begynde arbejdet hen imod efterlevelse.

Virksomheder kan bruge D-mærkets gratis selvevaluering og tilvælge D-mærkets NIS 2-modul til at skabe overblik og strukturere arbejdet med at leve op til den danske NIS 2-lov, hvis de har behov for det.

D-mærket bygger på internationalt anerkendte standarder og rammeværker, og vi har mappet kriterierne i D-mærket op mod NIS 2. Mappingen viser, at virksomheder med D-mærket – og især virksomhedsgruppe III og IV – allerede har arbejdet med flere af de områder, som NIS 2 stiller krav til.

I mappingen mellem D-mærkets kriterier og minimumskravene i NIS 2-direktivet er der identificeret områder, hvor D-mærket allerede dækker kravene, samt områder, hvor der var behov for tilføjelser. Det er disse supplerende krav, der er dækket i D-mærkets NIS 2-modul.

Læs mere om D-mærkets mapping til NIS 2 her.

D-mærket er mere end en mærkningsordning, det er også et værktøj, der kan bruges til at arbejde struktureret med NIS 2-lovens krav og dokumentere indsatsen, hvis der er behov for det.

Med D-mærkets gratis selvevalueringsværktøj kan I danne jer et overblik over, hvor jeres virksomhed står i forhold til NIS 2 – og hvor der skal sættes ind. Alt, I skal gøre, er at registrere jeres virksomhed i selvevalueringsværktøjet og svare på en række spørgsmål. På baggrund af jeres svar tildeles I krav og kriterier, der passer til jeres virksomheds risikoprofil.

D-mærkets kriterier flugter med NIS 2-lovens minimumskrav. Det betyder, at I med D-mærket har et godt udgangspunkt for at leve op til de nye krav. Men for virksomheder, der er omfattet af NIS 2 eller har behov for at leve op til det, kan der i selvevalueringsværktøjet tilvælges et NIS 2-modul. Modulet tilføjer yderligere krav, som virksomheden skal leve op til ifølge NIS 2-loven.

Selvevalueringen er med til at foretage en såkaldt gap-analyse, der viser jer de områder, hvor jeres virksomhed allerede lever op til kravene, og hvor der er huller (gaps), der skal arbejdes på – både i forhold til D-mærkets kriterier og NIS 2, hvis modulet er slået til. Dette overblik er et vigtigt første skridt. For når I ved, hvor I står, bliver det langt nemmere at prioritere og planlægge, hvor I skal sætte ind.

D-mærkets selvevalueringsværktøj er gratis at bruge, og I betaler først, hvis I vælger at gå i tilsyn for at blive D-mærket. Hvis I vælger at gå i tilsyn, skal I kunne dokumentere jeres indsats.

Som en del af tilsynet modtager I en rapport, der viser, hvad der er ført tilsyn med og resultatet. I D-mærkets tilsynsrapport vil I – uanset om I har tilvalgt NIS 2-modulet eller ej – få indsigt i, i hvilken grad I som virksomhed lever op til minimumskravene i NIS 2. D-mærkets tilsynsrapport kan bruges som dokumentation i dialogen med jeres kunder, samarbejdspartnere og øvrige interessenter.

Men det er vigtigt at være opmærksom på, at D-mærket ikke kan garantere efterlevelse – det er alene myndighederne, der kan vurdere og garantere, om en virksomhed lever op til NIS 2-lovgivningen.

Kort sagt: D-mærket kan ikke give en garanti – men det giver jer et solidt grundlag og et værktøj til at arbejde med NIS 2-kravene i praksis samt muligheden for at gå i tilsyn og få dokumentation på jeres indsats, som kan bruges i dialogen med kunder, samarbejdspartnere og øvrige interessenter.

Nej, ikke nødvendigvis – men det er heller ikke alle virksomheder der skal leve op til NIS 2-loven.

D-mærket kategoriserer virksomheder i fire grupper alt efter risikoprofil og anvendelsesområde. Det er denne indplacering, som definerer de kriterier og krav, virksomheden skal leve op til for at blive D-mærket.

D-mærkets kriterier flugter med NIS 2-kravene, og jo højere en virksomhed er indplaceret i D-mærkets virksomhedsgrupper, desto flere af NIS 2’s krav vil virksomheden allerede arbejde med som en del af D-mærket.

Virksomheder, der forventes at være omfattet af NIS 2, vil typisk blive indplaceret i D-mærkets gruppe III eller IV, hvor kriterierne i forvejen dækker flere af de områder, NIS 2 stiller krav til. Virksomheder, der er D-mærket i gruppe III og IV, vil derfor allerede have arbejdet med flere af de områder, som NIS 2-loven stiller krav til.

Men hvis virksomheden er omfattet af NIS 2, vil der være behov for at tilvælge D-mærkets NIS 2-modul i selvevalueringsværktøjet. Ved at tilvælge modulet får virksomheden tildelt de kriterier og krav, der stemmer med minimumskravene i NIS 2-loven. Dermed kan virksomheder bruge D-mærket i arbejdet med NIS 2 og til at dokumentere efterlevelse.

I forbindelse med udarbejdelsen af D-mærkets NIS 2-modul er der foretaget en grundig mapping af D-mærkets kriterier og krav til bl.a. ISO/IEC 2700X, CIS og ENISA’s ”Implementation guidance on NIS2 security measures - Draft for Consultation”.

Resultatet af dette arbejde er, at D-mærkets NIS 2-modul tilfører krav til 7 ud af de10 NIS 2-minimumskrav, bl.a.: Hændelseshåndtering (1.5.2), Brug af kryptografi (3.1.3), Segmentering af netværk (3.8.1), Fysisk sikkerhed (3.9.1) og Test af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici (3.10.1).

Derudover er D-mærkets NIS 2-modul blevet sammenlignet med Styrelsen for Samfundssikkerheds (SAMSIK) vejledning til implementering af cybersikkerhedsforanstaltninger i henhold til NIS 2-loven. På baggrund af denne sammenligning er det D-mærkets konklusion, at kravene i det nye NIS 2-modul generelt er i overensstemmelse med de foranstaltninger, som SAMSIK præsenterer i deres vejledning under kategorien ”skal”, dvs. de dele af foranstaltningerne, som skal implementeres.

Læs mere i D-mærkets mapping her: D-mærkets mapping af kriterier til NIS 2-direktivet (PDF)

Du kan tilvælge NIS 2-modulet i D-mærkets gratis selvevalueringsværktøj under "Virksomhedsklassifikation", som du finder i topmenuen "Organisation". Når du vælger NIS 2-modulet til, bliver de relevante ekstra krav tilføjet, så de krav, din virksomhed bliver stillet i D-mærket, matcher kravene i NIS 2.

Registrer dig i selvevalueringen her eller log ind her.

Det er kun myndighederne, der kan vurdere og garantere, om en virksomhed lever op til NIS 2-lovgivningen. Det gælder også for alle andre myndighedstilsyn.

D-mærket er en hjælp til arbejdet med at leve op til NIS 2, men er ikke i sig selv en sikkerhed for, at man opfylder kravene. Den kan kun myndighederne give.

Ikke nødvendigvis. NIS 2 stiller nye og i nogle tilfælde sektorspecifikke krav, og det er kun myndighederne, der kan vurdere, om en virksomhed lever op til dem.

D-mærket flugter med kravene i NIS 2-loven. Det betyder, at virksomheder med D-mærket – og især for virksomhedsgruppe III og IV – allerede har arbejdet med flere af de områder, som NIS 2 stiller krav til.

Hos D-mærket har vi mappet D-mærkets kriterier og kravene i NIS 2-direktivet og identificeret områder, hvor D-mærket allerede dækker kravene, samt områder, hvor der var behov for tilføjelser. De supplerende krav er dækket i et valgfrit NIS 2-modul i D-mærkets selvevaluering. Når NIS 2-modulet tilvælges, tilføjes de relevante ekstra krav, som matcher kravene i NIS 2.

D-mærket er en hjælp til virksomheder som skal leve op til NIS 2-kravene, både til at arbejde struktureret med kravene og til at dokumentere indsatsen – hvis de har behov for det.

• Hos Styrelsen for Samfundssikkerhed kan du læse mere om NIS 2 og de krav loven stiller på tværs af sektorerne og finde vejledninger:
  Styrelsen for Samfundssikkerheds side om NIS 2
  Styrelsen for Samfundssikkerheds vejledninger til NIS 2
  
• Medlemmer af Dansk Industri har adgang til et væld af viden, vejledninger og anden hjælp til at finde ud af, om de er omfattet af NIS 2, og hvordan de kan rent praktisk lever op til kravene. Gå til DIs NIS 2-guide her:
  Dansk Industris NIS 2 Guide (kræver medlemskab)
  
• Medlemmer af Dansk Erhverv kan også få hjælp gennem deres vejledning om NIS 2, som findes her:
  Dansk Erhvervs vejledning til NIS 2 (kræver medlemskab)