Bliv klar til NIS 2

Den danske NIS 2-lov træder i kraft den 1. juli 2025. Loven stiller nye og omfattende krav til cybersikkerhed, og flere tusind virksomheder vil blive omfattet – og endnu flere vil blive berørt. D-mærket kan bruges i arbejdet med at leve op til kravene i NIS 2-loven.

Brug D-mærket i arbejdet med NIS 2

NIS 2 er en nødvendig løftestang til styrkelse af dansk erhvervslivs modstandskraft over for en stigende cybertrussel. Samtidig udgør kravene en stor udfordring, og det haster at komme i gang med at efterleve dem.

D-mærket bygger på internationalt anerkendte standarder og rammeværker og flugter med kravene i NIS 2-loven. Virksomheder med D-mærket har derfor allerede arbejdet med flere af de områder, som NIS 2 kræver. Hvis jeres virksomhed er direkte omfattet eller på anden måde berørt af NIS 2-loven, så er D-mærkets NIS 2-modul et godt udgangspunkt for arbejdet med efterlevelse af NIS 2-kravene.

Læs mere om D-mærkets NIS 2-modul længere nede på siden.

Bliv klar til NIS 2 med D-mærket

Brug D-mærkets selvevaluering, og tilvælg NIS 2-modulet for at komme i gang og få et overblik over, hvor jeres virksomhed står i forhold til NIS 2 – samt hvor der bør sættes ind.

D-mærkets NIS 2-modul

Brug D-mærkets NIS 2-modul til at leve op til den danske NIS 2-lov, hvis din virksomhed har behov for det.

Hvis I er omfattet af NIS 2, kan I tilvælge D-mærkets NIS 2-modul og få overblik over, hvor jeres virksomhed står i forhold til kravene, og hvor I bør sætte ind.

På baggrund af en mapping mellem D-mærkets kriterier og kravene i NIS 2-direktivet er der identificeret områder, hvor D-mærket allerede dækkede kravene, samt områder, hvor der var behov for tilføjelser. Det er disse supplerende krav, der nu er dækket i D-mærkets NIS 2-modul.

NIS 2-modulet kan tilvælges i D-mærkets gratis selvevalueringsværktøj. Her får jeres virksomhed tildelt de relevante krav, der matcher minimumskravene i NIS 2-loven, og I kan dermed bruge D-mærket til at strukturere arbejdet og dokumentere jeres indsats.

Bliver min virksomhed omfattet af NIS 2?

NIS 2-direktivet omfatter direkte private og offentlige organisationer, der arbejder i sektorer af særlig kritisk betydning eller andre kritiske sektorer. En kortlægning fra Industriens Fond viser, at det vil omfatte cirka 1.000 danske virksomheder.

Derudover bliver de omfattede virksomheder holdt ansvarlige for, at sikkerheden i deres forsyningskæde, herunder leverandørstyring og leverandørsikkerhed, er på plads. På den måde bliver tusindvis af underleverandører indirekte omfattet af NIS 2. Se hvilke sektorer der er omfattet af NIS 2 herunder, eller brug Styrelsen for Samfundssikkerheds NIS 2-tjek til at vurdere, om din virksomhed er omfattet af NIS 2-loven.

  • NIS 2-omfattede sektorer

    NIS 2-omfattede sektorer af særlig kritisk betydning

    • Energi
    • Transport
    • Bankvirksomhed
    • Finansielle markedsinfrastrukturer
    • Sundhed
    • Drikkevand
    • Spildevand
    • Digital infrastruktur
    • Forvaltere af IKT-tjenester
    • Offentlig forvaltning
    • Rummet

    Andre NIS 2-omfattede kritiske sektorer

    • Post- og kurertjenester
    • Affaldshåndtering
    • Fremstilling, produktion og distribution af kemikalier
    • Fødevareproduktion og -distribution
    • Fremstilling af diverse maskiner og udstyr, herunder medicinsk udstyr og computere
    • Digitale udbydere
    • Forskningsorganisationer
Opnå konkurrencefordele med D-mærket logo
"Alle kan sige, at de arbejder med it-sikkerhed, men vi skal kunne bevise det. Det gør vi nu med D-mærket – også i forhold til NIS 2, som er en vigtig dagsorden på samtlige møder med nye kunder. Samtidig passer D-mærket godt til en lille virksomhed som vores, fordi kriterierne er tilpasset vores virkelighed og forretning."
Rasmus SteinicheDirektør i Neurospace

FAQ

Få svar på de oftest stillede spørgsmål om NIS 2.

  • Hvad er NIS 2, og hvem bliver omfattet?

    I oktober 2024 trådte EU’s nye it-sikkerhedsdirektiv NIS 2 i kraft. Det har til formål at højne cybersikkerheden gennem krav til blandt andet ledelsesforankring og risikostyring, løbende uddannelse samt yderligere 10 minimumskrav herunder krav til leverandørstyring og krav til hændelsesrapportering. Den danske udmøntning af EU-lovgivningen træder i kraft 1. juli 2025.

    Flere tusind samfundskritiske virksomheder inden for en lang række sektorer vil blive direkte omfattet. Derudover vil de omfattede virksomheder ifølge direktivet blive holdt ansvarlige for, at deres kritiske leverandører også lever op til kravene. På den måde vil mange underleverandører også blive berørt af NIS 2-loven.

    Manglende efterlevelse kan give bøder på op til 2 procent af virksomhedens globale omsætning, ligesom man som direktør og bestyrelse kan få frataget sin ret til at udøve ledelse i virksomheden.

    Styrelsen for Samfundssikkerhed
    har lavet et værktøj, som kan hjælpe dig med at vurdere, om din virksomhed er omfattet af NIS 2-loven. Prøv det her: NIS 2-tjek.

  • Hvad betyder NIS 2 for danske virksomheder?

    NIS 2 stiller krav til et højere og mere ensartet cybersikkerhedsniveau i Europa, hvilket er nødvendigt for at styrke dansk og europæisk erhvervslivs modstandskraft. Men samtidig udgør kravene en stor udfordring for mange virksomheder, og især de mindre virksomheder, der aldrig tidligere har stået over for krav af samme skala.

    Der er ikke et quickfix til at leve op til NIS 2-loven. Derfor er det en fordel for virksomheder allerede nu at begynde arbejdet hen imod efterlevelse.

    Virksomheder kan bruge D-mærkets gratis selvevaluering og tilvælge D-mærkets NIS 2-modul til at skabe overblik og strukturere arbejdet med at leve op til den danske NIS 2-lov, hvis de har behov for det.

  • Hvordan flugter D-mærkets kriterier med minimumskravene i NIS 2?

    D-mærket bygger på internationalt anerkendte standarder og rammeværker, og vi har mappet kriterierne i D-mærket op mod NIS 2. Mappingen viser, at virksomheder med D-mærket – og især virksomhedsgruppe III og IV – allerede har arbejdet med flere af de områder, som NIS 2 stiller krav til.

    I mappingen mellem D-mærkets kriterier og minimumskravene i NIS 2-direktivet er der identificeret områder, hvor D-mærket allerede dækker kravene, samt områder, hvor der var behov for tilføjelser. Det er disse supplerende krav, der er dækket i D-mærkets NIS 2-modul.

    Læs mere om D-mærkets mapping til NIS 2 her.

  • Hvordan kan man bruge D-mærket til at leve op til NIS 2?

    D-mærket er mere end en mærkningsordning, det er også et værktøj, der kan bruges til at arbejde struktureret med NIS 2-lovens krav og dokumentere indsatsen, hvis der er behov for det.

    Med D-mærkets gratis selvevalueringsværktøj kan I danne jer et overblik over, hvor jeres virksomhed står i forhold til NIS 2 – og hvor der skal sættes ind. Alt, I skal gøre, er at registrere jeres virksomhed i selvevalueringsværktøjet og svare på en række spørgsmål. På baggrund af jeres svar tildeles I krav og kriterier, der passer til jeres virksomheds risikoprofil.

    D-mærkets kriterier flugter med NIS 2-lovens minimumskrav. Det betyder, at I med D-mærket har et godt udgangspunkt for at leve op til de nye krav. Men for virksomheder, der er omfattet af NIS 2 eller har behov for at leve op til det, kan der i selvevalueringsværktøjet tilvælges et NIS 2-modul. Modulet tilføjer yderligere krav, som virksomheden skal leve op til ifølge NIS 2-loven.

    Selvevalueringen er med til at foretage en såkaldt gap-analyse, der viser jer de områder, hvor jeres virksomhed allerede lever op til kravene, og hvor der er huller (gaps), der skal arbejdes på – både i forhold til D-mærkets kriterier og NIS 2, hvis modulet er slået til. Dette overblik er et vigtigt første skridt. For når I ved, hvor I står, bliver det langt nemmere at prioritere og planlægge, hvor I skal sætte ind.

    D-mærkets selvevalueringsværktøj er gratis at bruge, og I betaler først, hvis I vælger at gå i tilsyn for at blive D-mærket. Hvis I vælger at gå i tilsyn, skal I kunne dokumentere jeres indsats.

    Som en del af tilsynet modtager I en rapport, der viser, hvad der er ført tilsyn med og resultatet. I D-mærkets tilsynsrapport vil I – uanset om I har tilvalgt NIS 2-modulet eller ej – få indsigt i, i hvilken grad I som virksomhed lever op til minimumskravene i NIS 2. D-mærkets tilsynsrapport kan bruges som dokumentation i dialogen med jeres kunder, samarbejdspartnere og øvrige interessenter.

    Men det er vigtigt at være opmærksom på, at D-mærket ikke kan garantere efterlevelse – det er alene myndighederne, der kan vurdere og garantere, om en virksomhed lever op til NIS 2-lovgivningen.

    Kort sagt: D-mærket kan ikke give en garanti – men det giver jer et solidt grundlag og et værktøj til at arbejde med NIS 2-kravene i praksis samt muligheden for at gå i tilsyn og få dokumentation på jeres indsats, som kan bruges i dialogen med kunder, samarbejdspartnere og øvrige interessenter.

  • Vil alle D-mærkede virksomheder leve op til minimumskravene i NIS 2-loven?

    Nej, ikke nødvendigvis – men det er heller ikke alle virksomheder der skal leve op til NIS 2-loven.

    D-mærket kategoriserer virksomheder i fire grupper alt efter risikoprofil og anvendelsesområde. Det er denne indplacering, som definerer de kriterier og krav, virksomheden skal leve op til for at blive D-mærket.

    D-mærkets kriterier flugter med NIS 2-kravene, og jo højere en virksomhed er indplaceret i D-mærkets virksomhedsgrupper, desto flere af NIS 2’s krav vil virksomheden allerede arbejde med som en del af D-mærket.

    Virksomheder, der forventes at være omfattet af NIS 2, vil typisk blive indplaceret i D-mærkets gruppe III eller IV, hvor kriterierne i forvejen dækker flere af de områder, NIS 2 stiller krav til. Virksomheder, der er D-mærket i gruppe III og IV, vil derfor allerede have arbejdet med flere af de områder, som NIS 2-loven stiller krav til.

    Men hvis virksomheden er omfattet af NIS 2, vil der være behov for at tilvælge D-mærkets NIS 2-modul i selvevalueringsværktøjet. Ved at tilvælge modulet får virksomheden tildelt de kriterier og krav, der stemmer med minimumskravene i NIS 2-loven. Dermed kan virksomheder bruge D-mærket i arbejdet med NIS 2 og til at dokumentere efterlevelse.

  • Hvordan er D-mærket mappet op mod NIS 2?

    I forbindelse med udarbejdelsen af D-mærkets NIS 2-modul er der foretaget en grundig mapping af D-mærkets kriterier og krav til bl.a. ISO/IEC 2700X, CIS og ENISA’s ”Implementation guidance on NIS2 security measures - Draft for Consultation”.

    Resultatet af dette arbejde er, at D-mærkets NIS 2-modul tilfører krav til 7 ud af de10 NIS 2-minimumskrav, bl.a.: Hændelseshåndtering (1.5.2), Brug af kryptografi (3.1.3), Segmentering af netværk (3.8.1), Fysisk sikkerhed (3.9.1) og Test af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici (3.10.1).

    Derudover er D-mærkets NIS 2-modul blevet sammenlignet med Styrelsen for Samfundssikkerheds (SAMSIK) vejledning til implementering af cybersikkerhedsforanstaltninger i henhold til NIS 2-loven. På baggrund af denne sammenligning er det D-mærkets konklusion, at kravene i det nye NIS 2-modul generelt er i overensstemmelse med de foranstaltninger, som SAMSIK præsenterer i deres vejledning under kategorien ”skal”, dvs. de dele af foranstaltningerne, som skal implementeres.

    Læs mere i D-mærkets mapping her: D-mærkets mapping af kriterier til NIS 2-direktivet (PDF)

  • Hvordan tilføjer jeg D-mærkets NIS 2-modul

    Du kan tilvælge NIS 2-modulet i D-mærkets gratis selvevalueringsværktøj under "Virksomhedsklassifikation", som du finder i topmenuen "Organisation". Når du vælger NIS 2-modulet til, bliver de relevante ekstra krav tilføjet, så de krav, din virksomhed bliver stillet i D-mærket, matcher kravene i NIS 2.

    Registrer dig i selvevalueringen her eller log ind her.

  • Hvem kan garantere efterlevelse ved NIS 2-tilsyn?

    Det er kun myndighederne, der kan vurdere og garantere, om en virksomhed lever op til NIS 2-lovgivningen. Det gælder også for alle andre myndighedstilsyn.

    D-mærket er en hjælp til arbejdet med at leve op til NIS 2, men er ikke i sig selv en sikkerhed for, at man opfylder kravene. Den kan kun myndighederne give.

  • Lever de virksomheder, som allerede er D-mærket, op til NIS 2 og den danske udmøntning?

    Ikke nødvendigvis. NIS 2 stiller nye og i nogle tilfælde sektorspecifikke krav, og det er kun myndighederne, der kan vurdere, om en virksomhed lever op til dem.

    D-mærket flugter med kravene i NIS 2-loven. Det betyder, at virksomheder med D-mærket – og især for virksomhedsgruppe III og IV – allerede har arbejdet med flere af de områder, som NIS 2 stiller krav til.

    Hos D-mærket har vi mappet D-mærkets kriterier og kravene i NIS 2-direktivet og identificeret områder, hvor D-mærket allerede dækker kravene, samt områder, hvor der var behov for tilføjelser. De supplerende krav er dækket i et valgfrit NIS 2-modul i D-mærkets selvevaluering. Når NIS 2-modulet tilvælges, tilføjes de relevante ekstra krav, som matcher kravene i NIS 2.

    D-mærket er en hjælp til virksomheder som skal leve op til NIS 2-kravene, både til at arbejde struktureret med kravene og til at dokumentere indsatsen – hvis de har behov for det.

  • Hvor kan jeg ellers læse om NIS 2?