by Decree
Compliance

NIS2 hvilke virksomheder er omfattet? Sektor-for-sektor overblik 2026

 · 7 min read

NIS2 hvilke virksomheder er omfattet: tærskler, sektorer, kritisk vs væsentlig, og 3-step check til at afklare jeres status før tilsynsstart.

Indholdsfortegnelse

Spørgsmålet NIS2 hvilke virksomheder er omfattet er det første en dansk direktion skal kunne besvare i 2026. Direktivet trådte i kraft i oktober 2024 i dansk ret, og Center for Cybersikkerhed begynder aktivt tilsyn i 1. halvår 2026. For omfattede enheder betyder det dokumentationskrav, leverandørstyring, hændelsesrapportering og personligt ledelsesansvar med bøder op til 10 mio EUR eller 2 procent af global omsætning.

Det største problem er ikke kravene i sig selv. Det er, at mange danske virksomheder fortsat er i tvivl om, hvorvidt de overhovedet er omfattet. Reglerne er bygget på en kombination af sektor og størrelse, og fortolkningen af “underleverandør til en kritisk enhed” gør grænsen blødere, end mange tror. Denne artikel gennemgår sektorerne, tærsklerne, forskellen på kritisk og væsentlig enhed, og giver en 3-step check til at afklare jeres status.

Skal I have styr på datasuverænitet og leverandørrisiko? Decree er dansk ejet, dansk hostet, og CLOUD Act-fri. Læs mere om vores sikkerhedstilgang eller se vores subprocessors.

NIS2 i kort form: hvad direktivet gør

NIS2-direktivet erstatter det oprindelige NIS-direktiv fra 2016 og udvider markant både scope og krav. Tre forhold definerer direktivet:

1. Bredere sektor-scope. NIS1 dækkede syv sektorer; NIS2 dækker femten plus en udvidet liste af “andre kritiske sektorer”. Sektorer som digital infrastruktur, offentlig forvaltning, fødevareproduktion, kemikalier og produktion af kritiske produkter er kommet til.

2. Risikobaseret leverandørstyring. Omfattede enheder skal dokumentere, hvordan de styrer cybersikkerhedsrisici i deres forsyningskæde. Det er den del, der sender bølger ned gennem dansk SMV-segment, fordi underleverandører reelt arbejder under samme krav, selv hvis de ikke er direkte omfattet.

3. Personligt ledelsesansvar. Bestyrelse og ledelse skal godkende risikohåndteringsforanstaltninger og kan holdes personligt ansvarlige ved overtrædelser. Det er ny kost i dansk compliance-praksis.

Hertil kommer hændelsesrapportering inden for 24 timer (foreløbig), 72 timer (foreløbig vurdering) og 1 måned (slutrapport).

Sektor-for-sektor: hvem er omfattet?

Direktivet skelner mellem sektorer med “højeste kritikalitet” (bilag I) og “andre kritiske sektorer” (bilag II). Skellet bestemmer, om enheden klassificeres som kritisk eller væsentlig (se næste afsnit).

Bilag I: sektorer med højeste kritikalitet

  • Energi: elektricitet, fjernvarme/-køling, olie, gas, brint
  • Transport: luftfart, jernbane, søfart, vejtransport
  • Bankvirksomhed
  • Finansielle markedsinfrastrukturer
  • Sundhedssektoren: hospitaler, læger, laboratorier, lægemiddelindustri, medicoindustri
  • Drikkevandsforsyning
  • Spildevandshåndtering
  • Digital infrastruktur: internetudvekslingspunkter, DNS, top-level domæneregistre, cloud-leverandører, datacentre, indholdsdistributionsnetværk, tillidstjenesteudbydere, elektroniske kommunikationsnetværk, telekomudbydere
  • IKT-tjenestestyring (B2B): managed service providers, managed security service providers
  • Offentlig forvaltning: statslige og regionale myndigheder
  • Rumfart

Bilag II: andre kritiske sektorer

  • Posttjenester og kurérvirksomhed
  • Affaldshåndtering
  • Fremstilling, produktion og distribution af kemikalier
  • Produktion, forarbejdning og distribution af fødevarer
  • Fremstilling: medicinsk udstyr, computer, elektroniske og optiske produkter, elektrisk udstyr, maskiner, motorkøretøjer, andet transportudstyr
  • Digitale tjenesteudbydere: online markedspladser, søgemaskiner, sociale netværk
  • Forskningsinstitutioner

Hvis jeres aktivitet hører under en af disse sektorer, og I når størrelsestærsklerne, er I omfattet.

Tærskler: 50+ ansatte og 10M EUR omsætning

Direktivet gælder som hovedregel for “mellemstore” og “store” virksomheder, defineret efter Kommissionens henstilling 2003/361/EF:

  • Stor virksomhed: over 250 ansatte ELLER over 50 mio EUR i årlig omsætning OG over 43 mio EUR i samlet balance.
  • Mellemstor virksomhed: 50-250 ansatte ELLER 10-50 mio EUR i årlig omsætning ELLER 10-43 mio EUR i samlet balance.

Tommelfingerregel for dansk SMV-segment: hvis I har 50+ ansatte eller 10+ mio EUR i omsætning og opererer i en bilag I- eller bilag II-sektor, er I sandsynligvis omfattet.

Undtagelser fra størrelseskravet

Visse enhedstyper er omfattet uanset størrelse, fordi deres rolle i forsyningskæden er kritisk:

  • Tillidstjenesteudbydere (qualified trust service providers under eIDAS)
  • Top-level domæneregistre og DNS-tjenesteudbydere
  • Telekomudbydere
  • Offentlig forvaltning på statsligt niveau
  • Enheder udpeget som kritiske af en medlemsstat (uanset sektor)

Den sidste kategori er bredest. En medlemsstat kan udpege en enhed som kritisk, hvis et brud ville få en betydelig forstyrrende effekt. I Danmark vurderes udpegningen typisk af Center for Cybersikkerhed sammen med sektor-myndigheden.

Forskellen på kritisk og væsentlig enhed

NIS2 opdeler omfattede enheder i to klasser. Forskellen handler om tilsynsintensitet og bødeniveau, ikke om grundkravene.

KlasseSektorStørrelseTilsynMaksimal bøde
Kritisk (essential)Bilag I, store virksomheder250+ ansatte eller 50M+ EUR omsætningProaktivt tilsyn10M EUR eller 2 pct af global omsætning
Væsentlig (important)Bilag I (mellemstore) eller bilag II (mellemstore + store)50+ ansatte eller 10M+ EUR omsætningReaktivt tilsyn (ved brud, klage, mistanke)7M EUR eller 1,4 pct af global omsætning

Begge klasser har samme grundkrav til risikostyring, leverandørstyring, hændelsesrapportering og dokumentation. Forskellen er, at kritiske enheder underlægges aktive tilsynsbesøg, mens væsentlige enheder typisk først ses, når der er en konkret anledning.

For en SMV i bilag II med 60 ansatte betyder det, at I formelt er væsentlig enhed. Tilsynet kommer ikke uanmeldt, men I skal kunne fremvise dokumentation, hvis det udløses af en hændelse, en kunde-klage eller et tip.

3-step check: er I omfattet?

Brug følgende sekvens til at afklare status. Det tager typisk under en time at gennemføre med direktion og DPO sammen.

Step 1: Sektor-mapping

Tag jeres primære og sekundære aktiviteter (NACE-koder eller intern beskrivelse) og hold dem op mod bilag I og bilag II ovenfor. Vær særlig opmærksom på:

  • “Fremstilling” er bredt defineret. Hvis I producerer fysiske produkter inden for de nævnte kategorier, er I i bilag II.
  • “Digital infrastruktur” inkluderer cloud-leverandører og datacentre, også som biaktivitet.
  • “IKT-tjenestestyring (B2B)” rammer alle MSP’er og MSSP’er, uanset hvilken sektor deres kunder er i.

Hvis I ikke kan finde sektor-match, gå til step 2.

Step 2: Underleverandør-test

Selv hvis I ikke direkte er omfattet, kan I være indirekte omfattet som underleverandør til en kritisk eller væsentlig enhed. NIS2 kræver, at omfattede enheder gennemfører leverandørrisikostyring. I praksis betyder det, at jeres kunder vil pålægge jer kontraktuelle krav, der svarer til NIS2-niveauet.

Hvis I leverer cloud-services, IT-drift, sikkerhed, telekom eller anden kritisk teknologi til omfattede kunder, vil I i praksis blive bedt om at dokumentere på samme niveau. Læs vores guide til NIS2-leverandørstyring for det konkrete tjek.

Step 3: Tærskel-tjek

Hvis sektor passer (step 1) eller underleverandør-rolle gælder (step 2), tjek tærsklerne:

  • Antal ansatte: Inkluder fuldtidsækvivalenter, deltidsansatte med faktor, og midlertidigt ansatte. Konsulenter på timepris tæller ikke.
  • Omsætning: Den seneste afsluttede regnskabsperiode.
  • Balance: Samlet balance ved seneste regnskabsafslutning.

Når I har resultatet, dokumenter det. Selv hvis konklusionen er “ikke omfattet”, skal I kunne dokumentere ræsonnementet, hvis det skulle blive bestridt senere.

Tilsynsstart i 1. halvår 2026: hvad det betyder

Center for Cybersikkerhed begynder aktivt tilsyn i 1. halvår 2026. For omfattede enheder betyder det, at I bør have følgende på plads inden:

  • Risikohåndteringspolitik godkendt af bestyrelse eller direktion.
  • Leverandørregister med risikoklassifikation af hver leverandør og dokumenteret due diligence for kritiske leverandører.
  • Hændelseshåndteringsplan med eksplicit reference til 24/72-timers/1-måneds-fristerne.
  • Adgangskontrol og password-politik med MFA på alle privilegerede konti og en erhvervs-grade password manager til at håndhæve unik, stærk autentificering.
  • Behandlingsfortegnelse, DPA’er og subprocessor-overblik der dokumenterer datastrømme. Læs om hvad en god DPA skal indeholde.
  • Træning af medarbejdere med dokumenteret deltagelse, mindst årligt.

Det er ikke en tom-formel-øvelse. Tilsynet vil bede om at se dokumentationen og kan udstede påbud, bøder eller endda midlertidigt suspendere ledelsens beføjelser ved alvorlige overtrædelser.

Ofte stillede spørgsmål om NIS2 hvilke virksomheder

Er kommuner og regioner omfattet?

Ja, som offentlig forvaltning er regioner og statslige myndigheder direkte omfattet i bilag I. Kommuner er ikke nævnt direkte, men kan udpeges af staten som kritiske, og de er i praksis ofte underleverandører til omfattede enheder.

Vores virksomhed har 30 ansatte og 8 mio EUR omsætning. Er vi omfattet?

Ikke direkte under størrelseskravene. Men I kan være omfattet, hvis I leverer kritiske ydelser til en omfattet enhed (underleverandør-test), eller hvis I er udpeget af staten på grund af jeres rolle i en forsyningskæde.

Hvad er forskellen på NIS2 og GDPR?

GDPR regulerer behandling af persondata. NIS2 regulerer cybersikkerhed for kritiske og væsentlige enheder, uanset om der er persondata involveret. De overlapper, men dækker forskellige aspekter af samme leverandørbeslutninger.

Hvor finder vi den danske implementering?

Den danske gennemførelseslov er vedtaget i 2024 og forvaltes af Center for Cybersikkerhed. Sektor-specifikke krav forvaltes af de respektive ressort-myndigheder (Energistyrelsen, Trafikstyrelsen, Sundhedsstyrelsen osv.).

Hvad sker der hvis vi ikke registrerer os?

Manglende registrering er i sig selv en overtrædelse, der kan udløse bøder. Der er typisk en frist på 21 dage efter at I bliver omfattet (for eksempel ved at vokse over en tærskel) til at registrere jer hos den kompetente myndighed.

Læs også

Vil du samle din virksomheds digitale rygrad hos én dansk leverandør? Decree bygger og driver hele stakken (mail, signering, telefoni, CRM, dokumenter, eLearning) plus skræddersyede SaaS-platforme og mobilapps. Alt hostet i EU, CLOUD Act-fri, samlet i én DPA. Se platformen eller kontakt os for en samtale.

  • nis2
  • compliance
  • kritiske enheder
  • væsentlige enheder
  • tilsyn
Share:
Back to News

Related articles

See all articles »

Why Decree

Built for Danish businesses that can't afford doubt about data sovereignty

The market is starting to ask the questions we already answered.

1
data center
0
US transfers
1
data processing agreement
1
vendor
01

One data center, zero international data transfers

All your data sits with Scaleway in Paris. No replication to the US, no subprocessor spaghetti, zero Schrems II exposure.

02

CLOUD Act-free infrastructure

Decree is Danish-owned and EU-hosted. We don't fall under US jurisdiction. Microsoft's sovereign cloud doesn't solve it — we do.

03

NIS2-ready vendor in your supply chain

NIS2 took effect in Denmark on 1 July 2025. We have the documentation ready when your auditor asks about your vendor risk assessment.

04

Battle-tested in critical infrastructure

Mit Beredskab runs alarms on schools. Foreningen Neptun sails offline-first on the other side of the world. We don't build to usually-work.

05

One vendor to call

When something goes wrong it's our job to find it, close it and explain it. You don't chase information between fifteen vendors.

06

Custom-built without enterprise bureaucracy

You talk to the people building the solution. Custom modules in days, not in a six-month discovery phase.

Solutions

All solutions

The whole digital backbone. Pick the modules you use, pay for the rest when you grow.

Custom SaaS

Custom SaaS

Web platforms built on Decree's infrastructure.

Read more →
Mobile apps

Mobile apps

Native and cross-platform apps.

Read more →
Email

Email

Your own mail server, run by Decree, EU-hosted.

Read more →
E-signature

E-signature

EU-hosted, legally binding, integrated with CRM.

Read more →
Telephony

Telephony

Danish telephony, integrated into the platform.

Read more →
eLearning

eLearning

Course flows, tests and certificates.

Read more →
Documents and files

Documents and files

EU-hosted document storage.

Read more →
CRM

CRM

Leads, customers and pipeline management.

Read more →
Password manager

Password manager

Shared credentials, EU-hosted.

Read more →
Web forms

Web forms

Form builder for lead capture and e-signature.

Read more →
Websites

Websites

Design, hosting and maintenance.

Read more →
Social media manager

Social media manager

Plan and publish across LinkedIn, Facebook, Instagram and X.

Read more →

Hosted in the EU. Built for Denmark.

Start a conversation