Bliv klar til NIS 2
Den danske NIS 2-lov træder i kraft den 1. juli 2025. Loven stiller nye og omfattende krav til cybersikkerhed, og flere tusinde virksomheder vil blive omfattet – og berøre endnu flere. D-mærket kan bruges i arbejdet med at leve op til kravene i NIS 2-loven.
Brug D-mærket i arbejdet med NIS 2
NIS 2 er en nødvendig løftestang til styrkelse af dansk erhvervslivs modstandskraft over for en stigende cybertrussel. Samtidig udgør kravene en stor udfordring, og det haster at komme i gang med at efterleve dem.
D-mærket bygger på internationalt anerkendte standarder og rammeværker og flugter med kravene i NIS 2-loven. Virksomheder med D-mærket, har derfor allerede arbejdet med flere af de områder, som NIS 2 kræver. Derfor er D-mærket et godt udgangspunkt for virksomheder, der skal opfylde NIS 2-kravene. Men hvis jeres virksomhed er omfattet af NIS 2-loven, kan I tilvælge D-mærkets NIS 2-modul.
Læs mere om D-mærkets NIS 2-modul længere nede på siden.
Bliv klar til NIS 2 med D-mærket
Brug D-mærkets selvevaluering, og tilvælg NIS 2-modulet for at komme i gang og få et overblik over, hvor jeres virksomhed står i forhold til NIS 2 – samt hvor der bør sættes ind.
D-mærkets NIS 2-modul
Brug D-mærkets NIS 2-modul til at leve op til den danske NIS 2-lov, hvis din virksomhed har behov for det.
Men hvis I er omfattet af NIS 2, kan I tilvælge D-mærkets NIS 2-modul og få overblik over, hvor jeres virksomhed står i forhold til kravene, og hvor I bør sætte ind.
På baggrund af en mapping mellem D-mærkets kriterier og kravene i NIS 2-direktivet er der identificeret områder, hvor D-mærket allerede dækker kravene, samt områder, hvor der var behov for tilføjelser. Det er disse supplerende krav, der nu er dækket i D-mærkets NIS 2-modul.
NIS 2-modulet kan tilvælges i D-mærkets gratis selvevalueringsværktøj. Her får jeres virksomhed tildelt de relevante krav, der matcher minimumskravene i NIS 2-loven, og I kan dermed bruge D-mærket til at strukturere arbejdet og dokumentere jeres indsats.
Webinar: Bliv klar til NIS 2 med D-mærket
Hør hvordan D-mærket kan hjælpe jeres virksomhed med at arbejde med kravene i NIS 2 på dette webinar.
Bliver min virksomhed omfattet af NIS2?
NIS 2-direktivet omfatter direkte private og offentlige organisationer, der arbejder i sektorer af særlig kritisk betydning eller andre kritiske sektorer. En kortlægning fra Industriens Fond viser, at det vil omfatte cirka 1.000 danske virksomheder.
Derudover bliver de omfattede virksomheder holdt ansvarlige for, at deres forsyningskædesikkerhed, herunder leverandørstyring og leverandørsikkerhed er på plads. På den måde bliver tusindvis af underleverandører indirekte omfattet af NIS 2. Se hvilke sektorer der er omfattet af NIS 2 herunder, eller brug Styrelsen for Samfundssikkerheds NIS 2-tjek, til at vurdere, om din virksomhed er omfattet af NIS 2-loven.
NIS2 omfattede sektorer
NIS2-omfattede sektorer af særlig kritisk betydning
- Energi
- Transport
- Bankvirksomhed
- Finansielle markedsinfrastrukturer
- Sundhed
- Drikkevand
- Spildevand
- Digital Infrastruktur
- Forvaltere af IKT-tjenester
- Offentlig forvaltning
- Rummet
Andre NIS2-omfattede kritiske sektorer
- Post- og kurertjenester
- Affaldshåndtering
- Fremstilling, produktion og distribution af kemikalier
- Fødevareproduktion og -distribution
- Fremstilling af diverse maskiner og udstyr, herunder medicinsk udstyr og computere
- Digitale udbydere
- Forskningsorganisationer
"Alle kan sige, at de arbejder med it-sikkerhed, men vi skal kunne bevise det. Det gør vi nu med D-mærket – også i forhold til NIS 2, som er en vigtig dagsorden på samtlige møder med nye kunder. Samtidig passer D-mærket godt til en lille virksomhed som vores, fordi kriterierne er tilpasset vores virkelighed og forretning."

FAQ
Få svar på de oftest stillede spørgsmål om NIS 2.
Hvad er NIS 2, og hvem bliver omfattet?
I oktober 2024 trådte EU’s nye it-sikkerhedsdirektiv NIS 2 i kraft. Det har til formål at højne cybersikkerheden gennem krav til blandt andet ledelsesforankring og risikostyring, løbende uddannelse samt yderligere 10 minimumskrav herunder krav til leverandørstyring og krav til hændelsesrapportering. Den danske udmøntning af EU-lovgivningen træder ii kraft 1. juli 2025.
En kortlægning fra Industriens Fond viser, at cirka 1.000 danske samfundskritiske virksomheder inden for en lang række sektorer vil blive direkte omfattet. Derudover vil de omfattede virksomheder ifølge direktivet blive holdt ansvarlige for, at deres kritiske leverandører også lever op til kravene. På den måde vil mange underleverandører også blive berørt af NIS 2-loven.
Brug Styrelsen for Samfundssikkerheds værktøj: NIS 2-tjek, til at vurdere, om din virksomhed er omfattet af NIS 2-loven.Manglende efterlevelse kan give bøder på op til 2 procent af virksomhedens globale omsætning, ligesom man som direktør og bestyrelse kan få frataget sin ret til at udøve ledelse i virksomheden.
Hvad betyder NIS 2 for danske virksomheder?
NIS 2 stiller krav til et højere og mere ensartet cybersikkerhedsniveau i Europa, hvilket er nødvendigt for at styrke dansk og europæisk erhvervslivs modstandskraft. Men samtidig udgør kravene en stor udfordring for mange virksomheder, og især de mindre virksomheder har brug for hjælp til at strukturere og få styr på arbejdet med NIS 2.
Nogle af de omfattede virksomheder har flere tusinde medarbejdere og erfaring med at leve op til lignende lovgivning. Andre har 50 medarbejdere eller færre og har aldrig tidligere stået over for krav af samme skala.
Det er ikke et quick-fix at leve op til NIS 2-loven. Derfor er det en fordel for virksomheder allerede nu at begynde arbejdet hen imod efterlevelse.
Virksomheder kan bruge D-mærkets NIS 2-modul til at leve op til den danske NIS 2-lov, hvis de har behov for det.
Vil alle D-mærkede virksomheder leve op til minimumskravene i NIS 2-loven?
Nej, ikke nødvendigvis – men det er heller ikke alle virksomheder der skal leve op til NIS 2-loven.
D-mærket kategoriserer virksomheder i fire grupper alt efter risikoprofil og anvendelsesområde. Det er denne indplacering som definerer de kriterier og krav, virksomheden skal leve op til for at blive D-mærket.
D-mærkets kriterier flugter med NIS 2-kravene, og jo højere en virksomhed er indplaceret i D-mærkets virksomhedsgrupper, desto flere af NIS 2’s krav vil virksomheden allerede arbejde med som en del af D-mærket.Virksomheder, der forventes at være omfattet af NIS 2, vil typisk blive indplaceret i D-mærkets gruppe III eller IV, hvor kriterierne i forvejen dækker flere af de områder, NIS 2 stiller krav til. Virksomheder der er D-mærket i gruppe III og IV vil derfor allerede have arbejdet med flere af de områder, som NIS 2-loven stiller krav til.
Men hvis virksomheden er omfattet af NIS 2, vil der være behov for at tilvælge D-mærkets NIS 2-modul i selvevalueringsværktøjet. Ved at tilvælge modulet får virksomheden tildelt de kriterier og krav, der stemmer med minimumskravene i NIS 2-loven. Dermed kan virksomheder bruge D-mærket i arbejdet med NIS 2 og til at dokumentere efterlevelse.Hvordan kan man bruge D-mærket til at leve op til NIS 2?
D-mærket er et brugbart værktøj til at arbejde struktureret med de krav, NIS 2-loven stiller.
D-mærket bygger allerede på internationalt anerkendte standarder og rammeværker og flugter med kravene i NIS 2-loven. Det betyder, at I som virksomhed med D-mærket – og især for virksomhedsgruppe III og IV – allerede har arbejdet med flere af de områder, som NIS 2 stiller krav til.
Virksomheder, der ønsker at arbejde målrettet med NIS 2, kan tilvælge et NIS 2-modul i D-mærkets selvevalueringsværktøj. Modulet bygger oven på D-mærkets eksisterende krav.
På baggrund af en mapping mellem D-mærkets kriterier og kravene i NIS 2-direktivet er der identificeret områder, hvor D-mærket allerede dækker kravene i NIS 2 samt områder, hvor der var behov for tilføjelser. Det er disse supplerende krav, der nu er samlet i det nye NIS 2-modul. Læs mere om D-mærkets mapping til NIS 2 her.
Men det er vigtigt at være opmærksom på, at D-mærket ikke kan garantere efterlevelse – det er alene myndighederne, der kan vurdere og garantere, om en virksomhed lever op til NIS 2-lovgivningen.
Kort sagt: D-mærket kan ikke give en garanti – men det giver jer et solidt grundlag og et værktøj til at arbejde med NIS 2-kravene i praksis samt muligheden for at gå i tilsyn og få dokumentation på jeres indsats, som kan bruges i dialogen med kunder, samarbejdspartnere og øvrige interessenter.
Hvordan er D-mærket mappet op mod NIS 2?
D-mærket har – så vidt vides som den første mærkningsordning – mappet sine kriterier og krav op mod NIS 2 og der er overensstemmelse. Derfor kan virksomheder bruge D-mærkets NIS 2-modul som et struktureret værktøj til at arbejde med og dokumentere deres indsats ift. NIS 2-loven – i tråd med både EU’s og de danske myndigheders vejledning.
I forbindelse med udarbejdelsen af D-mærkets NIS 2-modul er der foretaget en grundig mapping af D-mærkets kriterier og krav til bl.a. ISO/IEC 2700X, CIS og ENISA’s ”Implementation guidance on NIS2 security measures - Draft for Consultation”.
Resultatet af dette arbejde er, at D-mærkets NIS 2-modul tilfører krav til 7 ud af NIS 2’s 10 minimumskrav i form af krav til bl.a.: Hændelseshåndtering (1.5.2), Brug af kryptografi (3.1.3), Segmentering af netværk (3.8.1), Fysisk sikkerhed (3.9.1) og Test af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici (3.10.1).
Derudover er D-mærkets NIS 2-modul blevet sammenlignet med Styrelsen for Samfundssikkerheds (SAMSIK) vejledning til implementering af cybersikkerhedsforanstaltninger i henhold til NIS 2-loven. På baggrund af denne sammenligning er det D-mærkets konklusion, at D-mærkets krav til NIS 2-efterlevelse i det nye NIS 2-modul generelt er i overensstemmelse med de foranstaltninger, som SAMSIK præsenterer i deres vejledning under kategorien ”skal”, dvs. de dele af foranstaltningerne, som skal implementeres.Læs mere i D-mærkets mapping her: D-mærkets mapping af kriterier til NIS 2-direktivet (PDF)
Hvordan flugter D-mærkets kriterier med minimumskravene i NIS 2?
D-mærket har – så vidt vidende som den første mærkningsordning – mappet kriterierne i D-mærket op mod NIS 2, og der er overensstemmelse. Virksomheder med D-mærket lever altså op til kravene til styring og forankring i ledelsen og minimumskravene i NIS 2-direktivet (hvis de er indplaceret i D-mærkets virksomhedsgruppe III og gruppe IV).
Mappingen sammenligner NIS 2-direktivets krav til styring og forankring i ledelsen og 10 minimumskrav direkte med relevante kriterier og krav i D-mærket.
Mappingen eksisterer også som et digitalt værktøj, hvor virksomheder kan holde D-mærket op imod NIS2, ISO/IEC 2700X og lignende standarder. Det bliver løbende opdateret i takt med viden om den danske udmøntning af NIS 2.
Hvem kan garantere efterlevelse ved NIS 2-tilsyn?
Det er kun myndighederne, der kan vurdere og garantere, om en virksomhed lever op til NIS 2-lovgivningen.
D-mærket er altså en hjælp til arbejdet med efterlevelse, men er ikke i sig selv en sikkerhed for, at man opfylder kravene. Den kan kun myndighederne give.
Til gengæld er der en høj grad af overensstemmelse mellem D-mærkets kriterier og de krav, som NIS 2-direktivet stiller – herunder minimumskravene til blandt andet risikostyring, ledelsesforankring og leverandørstyring. Det betyder, at hvis din virksomhed er D-mærket, vil I allerede have arbejdet med flere af de centrale områder, der også indgår i NIS 2.
Virksomheder, der har behov for det, kan fra 1. juni tilvælge et NIS 2-modul i D-mærkets selvevalueringsværktøj. Modulet bygger oven på D-mærkets eksisterende krav og adresserer yderligere krav fra NIS 2-direktivet. På den måde fungerer D-mærket som et godt udgangspunkt og praktisk værktøj i arbejdet med at forstå, strukturere og dokumentere jeres NIS 2-indsats.
Men – D-mærket er ikke en garanti for efterlevelse. Det gælder for NIS 2 og for alle andre myndighedstilsyn.
Lever de virksomheder, som allerede er D-mærket, op til NIS 2 og den danske udmøntning?
Ikke nødvendigvis. NIS 2 stiller nye og i nogle tilfælde sektorspecifikke krav, og det er kun myndighederne, der kan vurdere, om en virksomhed lever op til dem.
D-mærket vil derfor proaktivt orientere D-mærkede virksomheder, som kan blive omfattet af NIS 2-lovgivningen, om eventuelt behov for yderligere handling. Det sker i forbindelse med virksomhedernes årlige gentildeling af D-mærket.
Her vurderer vi, om der er behov for at tilføje D-mærkets NIS 2-modul, som indeholder krav, der er i overenstemmelse med minimumskravene i NIS 2-direktivet og den kommende danske udmøntning – også hvis den bliver sektorspecifik.
På den måde understøtter D-mærket, at virksomheder kan være forberedte og godt rustet til at arbejde med NIS 2-kravene – hvis de har behov for det.
Hvor kan jeg ellers læse om NIS 2?
- Medlemmer af Dansk Industri har adgang til et væld af viden, vejledninger og anden hjælp til at finde ud af, om de er omfattet af NIS 2, og hvordan de kan rent praktisk lever op til kravene, fx er der oversigt over rådgivere, der kan hjælpe din virksomhed:
“NIS2 Vejledningsunivers” (kræver DI-medlemskab) - IT-Branchen har taget temperaturen på NIS 2 i Danmark. På den baggrund giver de 13 anbefalinger til, hvad virksomheder bør gøre for at leve op til direktivet, og hvordan danske myndigheder kan sikre den gode implementering:
“13 skarpe anbefalinger skal sikre en succesfuld NIS 2-implementering” - Bliv klogere på NIS 2 og alt fra direktivets minimumskrav til at komme i gang og få hjælp. IT-Branchens NIS 2-univers giver et hurtigt og godt overblik over direktivet, og det kan hjælpe dig et skridt nærmere efterlevelse. Besøg universet her.
- Medlemmer af Dansk Industri har adgang til et væld af viden, vejledninger og anden hjælp til at finde ud af, om de er omfattet af NIS 2, og hvordan de kan rent praktisk lever op til kravene, fx er der oversigt over rådgivere, der kan hjælpe din virksomhed: