Det er en stor frustration at NIS2-fristen er blevet overskredet: Vi har brug for konkret lovgivning

Klumme: Fristen er overskredet. Det nye NIS2-direktiv fra EU, der skal få os til at samarbejde med andre lande og etablere en fælles modstand, nåede ikke at blive implementeret inden deadline. Men hvordan spiller man så efter reglerne – hvis der ikke er enighed om dem?

Artikel top billede

(Foto: Unsplash)

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Ligesom resten af Europa oplever vi herhjemme en stigning i cyberangreb. Antallet af ransomware-angreb og angreb på forsyningskæden er naturligvis blevet bemærket af politikerne i Europa-Parlamentet.

For at styrke den fælles modstand mod disse trusler vedtog EU i 2018 ”Network and Information Systems Directive.”

Direktivet har til formål at forbedre cybersikkerheden i EU ved at øge modstandsdygtigheden af kritisk digital infrastruktur og netværk mod cyberangreb og andre sikkerhedstrusler.

Men her seks år senere, hvor den digitale evolution i takt med cybersikkerhedslandskabet har udviklet sig drastisk, er det nu det nyere NIS2-direktiv, der er i spil.

Ved at etablere fælles sikkerhedsstandarder på tværs af lande og stille krav om beskyttelse af kritiske net- og informationssystemer, er hensigten blandt andet at udvide sikkerhedsreglerne til flere sektorer og virksomheder end i det oprindelige direktiv.

Men EU's deadline for implementering 18. oktober 2024 blev overskredet, og – som det ser ud nu – skal vi langt ind i 2025, før vi kender det endelige resultat.

Og det er til stor frustration og usikkerhed for alle dem, der har brug for at kende den konkrete lovgivning for at være compliant.

Alle kan komme i klemme

Overholdelse af de kommende NIS2-direktiver medfører flere udfordringer for svenske virksomheder, da direktivet ikke længere kun omfatter store virksomheder.

Fremover vil også mellemstore virksomheder være underlagt de nye regler, hvilket markant udvider kravenes omfang.

Detaljerede krav til implementering af cybersikkerhedsteknologi, personaleuddannelse og overholdelse af lovgivningsstandarder vil medføre øgede driftsmæssige krav og omkostninger.

Herhjemme har vi, ligesom mange andre lande, oplevet en stigning i angreb på forsyningskæden.

Dette udgør en særlig risiko for udbydere af administrerede tjenester (MSP'er) og konsulentfirmaer, der ofte fungerer som bindeled med adgang til flere kunders netværk.

Som lille eller mellemstor virksomhed kan det virke uoverskueligt at skulle sætte sig ind i, om – og hvor meget – man er omfattet af NIS2. For hvornår er virksomheden en del af ”en kritisk digital infrastruktur”?

Er din virksomhed i hackernes kikkert?

Først er det vigtigt at definere, hvad der menes med ’kritisk’.

NIS2 omfatter nemlig ikke kun virksomheder inden for energi-, sundhed- eller transportsektoren, men også it-tjenesteudbydere, herunder MSP'er, cloud-leverandører og andre, der håndterer eller opbevarer kundedata.

Der findes med andre ord ingen tommelfingerregel, der kan afgøre, om ens virksomhed er omfattet af den kommende lovgivning.

Men hvis jeg skal nævne en række virksomheder, der skal være ekstra vågne den kommende tid er det for eksempel udbydere af internet, cloud-tjenester, datacentertjenester, onlinemarkedspladser, onlinesøgemaskiner og platforme for sociale netværkstjenester samt fremstilling af computere og andet elektronisk udstyr.

Man kan eventuelt spørge sig selv: ”Hvis vores virksomhed bliver ramt af et hacker- eller ransomwareangreb – hvem vil det så også gå ud over?”.

Måske samarbejdspartnere og andre virksomheder i virkeligheden er bedre til at vurdere, hvor ’kritisk’ din virksomhed er for andre?

Lang vej til sikkerhed

Angreb på forsyningskæder rammer bredt og rammer ofte underleverandører, som flere virksomheder er afhængige af.

NIS2 understreger nødvendigheden af at sikre forsyningskæden, og Norden kan lede vejen i at udvikle en best practice for samarbejde mellem virksomheder og deres leverandører.

Som en af verdens mest digitaliserede lande lever vi med konstant risiko for at blive ramt af cyberangreb.

Og med NIS 2-direktivet skal virksomheder uddanne personale og optimere interne procedurer, da den offentlige og private sektor er tæt integreret og deler mange digitale systemer.

Selv om NIS 2-direktivet er en udfordring for både store og små virksomheder og institutioner, bør det være et vigtigt incitament til at påbegynde eller styrke it-sikkerhedsniveauet, hvilket er afgørende for den digitale, økonomiske og sociale udvikling i vores land.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Læses lige nu

    Event: Årets CISO 2026

    Sikkerhed | Kongens Lyngby

    Årets CISO 2026 hylder de sikkerhedsledere, der skaber robusthed i et sikkerhedslandskab under pres – og som formår at løfte cyber- og informationssikkerhed fra teknisk disciplin til strategisk ledelsesopgave.

    22 oktober 2026 | Gratis deltagelse

    Navnenyt fra it-Danmark

    netIP har pr. 1. juni 2026 ansat Heidi Winther som Supportkonsulent ved netIP's kontor i Herning. Hun kommer fra en stilling som IT-Supporter hos Holstebro Kommune. Nyt job
    Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

    Kari Lehtimäki

    Den danske eID-virksomhed Idura

    Immeo har pr. 1. maj 2026 ansat Sofie Amalie Buur som Consultant. Hun kommer fra en stilling som Frontend Engineer & UI/UX Designer hos Valyrion. Hun er uddannet Cand.it. Softwaredesign ved ITU. Nyt job
    Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

    Jakob Dirksen

    GlobalConnect