NIS2: alt hvad du skal vide om cybersikkerhedsloven og softwareindkøb
NIS2 er den største europæiske cybersikkerhedslov i mange år. For organisationer i kritiske sektorer ændrer der sig meget, også inden for softwareindkøb og leverandørstyring. Dette er alt, hvad du skal vide.
- 15. januar 2025
- 5 min
- NIS2 – Cyber-sikkerhedsdirektiv
NIS2-direktivet er den største europæiske cybersikkerhedslov i mange år. Den har et bredt anvendelsesområde, streng håndhævelse og er direkte relevant for alle, der har ansvar for softwareindkøb i en organisation. Dette er, hvad du skal vide.
Hvad er NIS2?
NIS2 står for Network and Information Security Directive 2, efterfølgeren til det oprindelige NIS-direktiv fra 2016. Direktivet forpligter organisationer i kritiske sektorer til strukturelt at styrke deres digitale robusthed. NIS2 træder i kraft i hele Europa den 17. oktober 2024. Den danske implementering via Cybersikkerhedsloven forventes i 2. kvartal 2026.
For hvem gælder NIS2?
NIS2 gælder for organisationer i 18 kritiske sektorer, opdelt i essentielle og vigtige enheder. Tænk på: energi, transport, sundhedsvæsen, vand, digital infrastruktur, finansielle tjenester, offentlige myndigheder med mere. Men også leverandører til organisationer i disse sektorer kan indirekte være omfattet af loven via kædeansvaret.
Hvad ændrer sig i forhold til NIS1?
De vigtigste ændringer:
Bredere rækkevidde: Mange flere sektorer og organisationer er nu omfattet af direktivet
Personligt ansvar: Direktører er ansvarlige for overholdelse og kan holdes personligt ansvarlige
Højere bøder: Op til €10 millioner eller 2% af den globale årlige omsætning for essentielle enheder
Kædeansvar: Organisationer skal også kontrollere sikkerheden hos deres leverandører
Anmeldelsespligt: Hændelser skal meldes til CSIRT inden for 24 timer
Hvad betyder NIS2 for softwareindkøb?
Kædeansvaret er den mest direkte påvirkning på softwareindkøb. Organisationer er forpligtede til:
At føre et opdateret overblik over alle IT-leverandører og software
At indgå kontraktmæssige sikkerhedsaftaler med alle relevante leverandører
At vurdere leverandørers sikkerhed periodisk
At aftale eskaleringsprocedurer for hændelser med kritiske softwareleverandører
Uden et struktureret softwareoverblik er NIS2-compliance ikke muligt. SoftVaro hjælper organisationer med at skabe dette overblik som udgangspunkt for compliance.
Ofte stillede spørgsmål
De mest stillede spørgsmål om dette emne.
Hvad har NIS2 at gøre med softwareindkøb?
NIS2 forpligter organisationer til at føre et opdateret overblik over al software og IT-leverandører, inklusive kontraktmæssige sikkerhedsaftaler. Uden dette overblik er du ikke compliant.
Hvornår træder NIS2 i kraft i Danmark?
Cybersikkerhedsloven (den danske implementering af NIS2) forventes at træde i kraft i 2. kvartal 2026. Organisationer skal være compliant med det samme, loven træder i kraft.
Hvad er bøderne ved manglende overholdelse af NIS2?
Essentielle enheder risikerer bøder på op til €10 millioner eller 2% af den globale årlige omsætning. Vigtige enheder op til €7 millioner eller 1,4% af omsætningen. Direktører kan holdes personligt ansvarlige.
Klar til at spare på software?
SoftVaro forhandler den bedste pris på dine vegne hos 4.000+ leverandører. Uafhængigt, gennemsigtigt, inden for 24 timer.