Licensly

Er din virksomhed omfattet af NIS2? Sådan finder du ud af det

Af Michal Lampe Sørensen · 6 min læsning · 17. maj 2026

Indhold

TL;DR

NIS2 gælder for organisationer i 18 sektorer (bilag I + II) med mindst 50 ansatte eller 10 mio. EUR omsætning. Væsentlige enheder (energi, sundhed, finans) har strengere krav end vigtige (digitale leverandører, fødevarer). Under tærsklen er I formelt fri, men supply chain-kontrakter trækker mange SMV'er ind alligevel.

AnsvarsfraskrivelseBemærk: Denne artikel er teknisk vejledning, ikke juridisk rådgivning. Konsulter altid jeres egen jurist og en certificeret Microsoft-partner inden I træffer compliance-beslutninger.

Det korte svar

I er omfattet hvis I matcher alle tre:

  • I opererer i en af de 18 sektorer i NIS2-direktivets bilag I eller bilag II
  • I har 50+ ansatte ELLER 10 mio. EUR i årlig omsætning eller balance
  • I leverer tjenester på EU-markedet (gælder også danske enheder af udenlandske koncerner)

Falder I uden for ét af punkterne, er I formelt ikke omfattet, men læs sektion 5 om supply chain-fælden, før I konkluderer noget.

I tvivl? Tag vores hurtige NIS2-tjek, 6 spørgsmål, 2 minutter, ingen email-krav.

Væsentlige enheder vs. vigtige enheder

NIS2 deler organisationer i to kategorier med forskellige forpligtelser. Klassifikationen er en kombination af sektor (bilag I/II) og virksomhedsstørrelse.

Væsentlige enheder (essential entities)

Store virksomheder med mere end 250 ansatte eller over 50 mio. EUR omsætning i bilag I-sektorer: energi, transport, sundhed, drikkevand, spildevand, digital infrastruktur, offentlig administration og rumfart.

  • Proaktivt tilsyn fra myndigheden
  • Bøder op til 10 mio. EUR eller 2% af global omsætning (det højeste tæller)
  • Hændelsesrapportering: tidlig advarsel inden 24 timer, formel notifikation inden 72 timer, endelig rapport inden 1 måned

Vigtige enheder (important entities)

Alle bilag II-entiteter over størrelses-tærsklen plus mellemstore virksomheder (50-249 ansatte) i bilag I. Bilag II dækker post og kurér, affaldshåndtering, kemikalier, fødevarer, fremstilling, digitale udbydere og forskning.

  • Reaktivt tilsyn, typisk først ved mistanke om brud
  • Bøder op til 7 mio. EUR eller 1,4% af global omsætning
  • Samme rapporteringsfrister som væsentlige enheder

En mellemstor SMV i en bilag I-sektor (fx en privatklinik) er typisk vigtig, ikke væsentlig, det har betydning for bødeloft og tilsynsintensitet. Kravene i Artikel 21 er de samme for begge kategorier.

De 18 sektorer, er I blandt dem?

Sektorerne er bredere end mange tror. Flere private klinikker, fødevareproducenter og digitale leverandører er omfattet uden at se sig selv som "kritisk infrastruktur".

Bilag I, kandidater til væsentlige eller vigtige enheder

  • Sundhed, også private klinikker og laboratorier (verificér mod NIS2's definition af sundhedsudbyder)
  • Bank og finans, finansielle enheder reguleres primært af DORA (forordning 2022/2554), ikke NIS2. DORA er lex specialis
  • Drikkevand og spildevand, kommunale forsyninger og private operatører
  • Digital infrastruktur. DNS, IXP, TLD-registry, cloud-udbydere over tærsklen, datacentre
  • Offentlig administration, kommuner, regioner, centrale myndigheder

Bilag II, vigtige enheder

  • Post og kurér, alle der leverer tracket transport
  • Fødevarer, produktion, forarbejdning, distribution
  • Fremstilling, medicinsk udstyr, elektronik, maskiner, motorkøretøjer
  • Digitale udbydere, online markedspladser, søgemaskiner, sociale netværk
  • Forskningsinstitutioner

Den fulde liste står i NIS2-direktivets bilag. Tommelfingerregel: er I i tvivl, så antag I er omfattet og lad det modsatte være jeres bevisbyrde.

Størrelseskriterier, og undtagelserne

Den primære tærskel er mellemstor virksomhed: enten 50+ ansatte eller 10 mio. EUR omsætning ELLER balance.

Undtagelser hvor mindre virksomheder ALLIGEVEL er omfattet:

  • Enesteleverandører, er I den eneste danske leverandør af en kritisk tjeneste, er I omfattet uanset størrelse
  • Udbydere af offentlig elektronisk kommunikation, alle størrelser
  • Tillidstjenester (eIDAS), alle størrelser
  • DNS, TLD-registries, registrators, alle størrelser
  • Offentlig administration, alle kommuner og regioner omfattet uanset interne størrelser

Hvis I er en lille virksomhed (under 50 ansatte) i en af bilag-sektorerne, men ikke er nogen af undtagelserne ovenfor, er I formelt ikke direkte omfattet. Men det betyder ikke at NIS2 er irrelevant for jer, supply chain-kravene rammer jer indirekte.

Leverandørkæde-fælden, hvorfor mange SMV'er rammes indirekte

Artikel 21, stk. 2, litra d) i NIS2 stiller krav til leverandørkæde-sikkerhed (supply chain security). Omfattede organisationer skal vurdere og styre sikkerheden hos deres leverandører.

Hvad det betyder hvis I leverer til omfattede kunder

  • Krav i kontrakter, store kunder vil kræve at I dokumenterer jeres egen sikkerhed på NIS2-lignende niveau
  • Spørgeskemaer, forvent 50-100 spørgsmål om jeres sikkerhedsforanstaltninger
  • Audit-ret, mange kontrakter giver kunden ret til at auditere jer
  • Underleverandør-godkendelse, jeres egne underleverandører skal også op på niveau

Et konkret eksempel

I leverer SaaS til en bank. Banken er væsentlig enhed under NIS2 og er forpligtet til at vurdere jeres sikkerhed. De vil kræve af jer:

  • Dokumenteret MFA og adgangsstyring
  • Hændelsesrapportering inden for 24 timer
  • Krypteret data i transit og i hvile
  • Backup og business continuity-plan

Kravene matcher Artikel 21 én-til-én. I er ikke direkte omfattet af loven, kun af kontrakten, men den praktiske byrde er den samme.

Hvad gør I nu?

Tre konkrete næste skridt afhængigt af hvor I står. NIS2-loven trådte i kraft 1. juli 2025 og tilsyn er aktivt fra primo 2026, der er ikke længere tid til at vente.

Hvis I sandsynligvis er direkte omfattet

  • Registrér jer på virk.dk hvis I ikke allerede har gjort det (fristen var 1. oktober 2025)
  • Kontakt jeres sektoransvarlige myndighed (Sundhedsdatastyrelsen, Energistyrelsen, Digitaliseringsstyrelsen eller SAMSIK)
  • Læs vores artikel om Artikel 21 og start dokumentationen
  • Vurdér jeres nuværende Microsoft 365-licens mod kravene

Hvis I leverer til omfattede kunder

  • Forvent leverandørkæde-krav i jeres næste kontraktforhandling
  • Forbered et standardiseret sikkerhedssvar I kan genbruge på tværs af kunder
  • Vurder om jeres licens-niveau er højt nok

Hvis I er i tvivl

  • Tag vores 2-minutters NIS2-tjek for en hurtig vurdering
  • Få en jurist til at lave en formel scope-vurdering, det er billigere end at antage forkert
  • Læs den fulde Artikel 21-mapping i vores whitepaper

Næste i serien: Hvilken Microsoft 365-licens lever op til NIS2?, vi sammenligner Business Premium, E3 og E5 mod Artikel 21-kravene konkret.

Spring teorien over, tag tjekket

Besvar 6 spørgsmål om jeres sektor, størrelse og leverandørkæde. Få en vurdering af om I er væsentlig, vigtig eller udenfor scope, plus hvilken Microsoft 365-licens der dækker.

Start NIS2-tjekket →

Ofte stillede spørgsmål

Hvornår trådte NIS2 i kraft i Danmark?+

NIS2-loven trådte i kraft 1. juli 2025, og registreringsfristen for omfattede organisationer var 1. oktober 2025. Tilsyn er aktivt fra primo 2026. Bødehjemler er aktiveret, og håndhævelsen er nu i drift på tværs af de sektoransvarlige myndigheder. Hvis I er omfattet og endnu ikke registreret, bør I gøre det på virk.dk hurtigst muligt.

Er små virksomheder (under 50 ansatte) helt fritaget for NIS2?+

Som hovedregel ja, direktivet retter sig mod mellemstore og store virksomheder. Men der er undtagelser: enesteleverandører af kritiske tjenester, udbydere af offentlig elektronisk kommunikation, tillidstjenester (eIDAS), DNS-operatører og offentlig administration er omfattet uanset størrelse. Plus alle der leverer til en omfattet kunde rammes indirekte via leverandørkæde-krav.

Hvad er forskellen på NIS2 og GDPR?+

GDPR handler om personoplysninger og privatliv. NIS2 handler om cyberresiliens og sikkerhed i netværks- og informationssystemer. De overlapper teknisk, begge kræver stærk adgangsstyring og hændelsesrapportering, men formålet og myndighederne er forskellige. GDPR håndhæves af Datatilsynet. NIS2 håndhæves sektor-opdelt af relevante danske myndigheder (Sundhedsdatastyrelsen, Energistyrelsen, Digitaliseringsstyrelsen m.fl.), med Styrelsen for Samfundssikkerhed (SAMSIK) som koordinerende myndighed og CFCS som national CSIRT og teknisk støtte. Hændelser med persondatabrud skal rapporteres både efter NIS2 (sektor-tilsyn) og efter GDPR art. 33 (Datatilsynet, 72 timer).

Skal vi registrere os under NIS2?+

Ja, omfattede organisationer skal registrere sig på virk.dk og hos den relevante sektoransvarlige myndighed. Registreringsfristen var 1. oktober 2025. Tilsynsstrukturen er sektoropdelt: Energistyrelsen (energi), Sundhedsdatastyrelsen (sundhed), Trafikstyrelsen (transport), Digitaliseringsstyrelsen (cloud, DNS, datacentre, tillidstjenester), Finanstilsynet (finans, primært dog reguleret af DORA), Miljøstyrelsen (drikkevand). SAMSIK koordinerer på tværs af sektorer og er kompetent myndighed for statslige enheder og kommuner. Find jeres specifikke tilsynsmyndighed via samsik.dk eller digst.dk.

Relaterede artikler

Hvilken Microsoft 365-licens lever op til NIS2? Decision matrix for SMVNIS2 Artikel 21 forklaret, de 10 krav til risikostyring for SMV