NIS2 for SMV’er: krav, tjekliste og de 7 områder du skal have styr på i 2026

byshooz.dk

NIS2 er EU’s opdaterede cybersikkerhedsdirektiv, og det er (desværre) ikke bare endnu et compliance-buzzword, du kan ignorere i håbet om, at det går væk. Direktivet udvider både omfanget og forventningerne til cybersikkerhed, og i Danmark er NIS2-reglerne blevet til national lovgivning, som trækker flere organisationer ind under kravene. Digital Strategy+1

Selv hvis din virksomhed ikke er “direkte omfattet”, kan du stadig blive ramt via kunder, leverandørkrav og kontrakter. 2026 bliver derfor året, hvor mange SMV’er opdager, at de skal kunne dokumentere grundlæggende cybersikkerhed på et niveau, der tidligere var “nice to have”.

I denne guide får du:

  • Hvem der typisk er omfattet af NIS2 (og hvorfor SMV’er stadig skal tage det seriøst)
  • Hvad der forventes af ledelsen
  • En praktisk tjekliste
  • De 7 områder, du skal have styr på i 2026 (med konkrete “sådan gør du”-punkter)

(Kort note: Dette er en praktisk guide, ikke juridisk rådgivning. Brug den til at komme i gang og få strukturen på plads.)

Hvem er typisk omfattet af NIS2?

NIS2 rammer især organisationer i kritiske sektorer (Annex I og II), og klassificerer dem typisk som Essential eller Important entities. EUR-Lex+1

Der er to hovedmekanismer, der afgør om du er “inde”:

  1. Sektor (fx energi, transport, sundhed, digital infrastruktur, visse digitale tjenester, offentlig administration m.m.)
  2. Størrelse (ofte medium og store virksomheder, med visse undtagelser)

“Vi er jo bare en SMV…”

Det kan stadig være, at du:

  • er leverandør til en omfattet virksomhed og derfor får krav om sikkerhed, rapportering, revisionsspor, MFA, backup osv.
  • driver kritiske digitale services for kunder (hosting, drift, managed services, SaaS, databehandling)
  • håndterer følsomme data, som gør dig til en risiko i kæden

Pointen: NIS2 er ikke kun “for de store”. Det bliver i praksis et sæt minimumsforventninger til moden cybersikkerhed.

Danmark og NIS2: hvorfor 2026 er ekstra relevant

EU havde frist for national implementering, og NIS2 erstattede den tidligere NIS1. Digital Strategy+1
I Danmark er NIS2-lovgivningen trådt i kraft (og supplerende regler er trådt i kraft pr. 1. januar 2026 for dele af området). Punktum+1

For mange organisationer betyder det, at 2026 bliver året, hvor:

  • registrering, tilsyn, audits og dokumentationskrav bliver mere konkrete
  • kunder og partnere begynder at kræve “bevis” fremfor løfter
  • incident-krav og leverandørkrav bliver standard i kontrakter

Ledelsens ansvar: ikke noget IT “bare fikser”

NIS2 lægger et tydeligt ansvar hos ledelsen. Ledelsen skal godkende sikkerhedsforanstaltninger, overvåge implementeringen, og kan i visse tilfælde holdes ansvarlig ved overtrædelser. nis-2-directive.com

For en SMV betyder det i praksis:

  • I skal have et formelt ejerskab (hvem har ansvaret?)
  • I skal kunne dokumentere beslutninger og risikovurderinger
  • I skal kunne vise, at sikkerhed er en løbende proces, ikke et engangsprojekt

De 7 områder du skal have styr på i 2026

NIS2 kan virke stort, men du kan bryde det ned i syv håndterbare områder. Målet er ikke at bygge “Fort Knox”. Målet er at få styr på basics, lukke de farlige huller og kunne dokumentere det.

1) Scope og risikobillede: hvad beskytter I, og hvorfor?

Målet: Du kan forklare “hvad der er kritisk”, og hvilke risici der er mest relevante.

Gør det her:

  • Lav en enkel oversigt over jeres vigtigste systemer (email, ERP, website, kundedata, drift, cloud, endpoints)
  • Kortlæg “crown jewels”: Hvad vil stoppe forretningen, hvis det går ned i 48 timer?
  • Lav en risikovurdering i 1-2 sider:
    • Top 5 trusler (phishing, ransomware, leverandørbrud, insider, fejlkonfiguration)
    • Konsekvens + sandsynlighed
    • Hvilke kontroller I har (og mangler)

Praktisk tip: Hvis I ikke kan beskrive jeres kritiske afhængigheder, kan I heller ikke prioritere investeringer. Så ender alt som “vigtigt”, og intet bliver gjort.

2) Governance og politikker: beslutninger, ansvar, minimumsregler

Målet: Der er styr på “hvem bestemmer hvad”, og I har minimumspolitikker, der kan efterleves.

Gør det her:

  • Udpeg en ansvarlig (CISO/IT-ansvarlig/sikkerhedsansvarlig) og en ledelsessponsor
  • Lav korte politikker (maks 1-2 sider hver):
    • Adgangsstyring (MFA, admin-rettigheder, offboarding)
    • Patch og opdatering (hvor hurtigt opdaterer vi kritiske ting?)
    • Backup og gendannelse (RPO/RTO-light)
    • Leverandørkrav (minimumskrav til nye leverandører)
  • Etabler en kvartalsvis sikkerhedsstatus til ledelsen: “hvad er forbedret, hvad er risiko, hvad gør vi næste kvartal?”

3) Identitet og adgang: stop de nemme angreb

Målet: I lukker den mest almindelige dør ind: stjålne login.

Gør det her (i prioriteret rækkefølge):

  • Slå MFA til overalt (mail, cloud, admin, VPN, regnskab, CRM)
  • Fjern lokale admin-rettigheder som standard
  • Brug separate admin-konti (admin-konto må ikke bruges til daglig mail)
  • Indfør “joiners/movers/leavers”-proces:
    • Ny medarbejder: hvad får de adgang til?
    • Rolleændring: hvad skal fjernes?
    • Exit: adgang fjernes samme dag

Minimumsbevis: En liste over systemer + MFA-status + proces for offboarding.

4) Driftshygiejne: patching, hardening og overvågning

Målet: I reducerer sårbarheder og opdager problemer hurtigt.

Gør det her:

  • Patch-management:
    • Kritiske patches inden for fx 7-14 dage (tilpas til jeres drift)
    • OS og software holdes supporteret (ingen “vi kører stadig Windows fra fortiden”)
  • Endpoint-beskyttelse (EDR/AV) på alle devices
  • Basal logning og alarmer:
    • Mistænkelige login-forsøg
    • Nye admin-oprettelser
    • Uventede ændringer i MFA/forwarding i mail
  • Sårbarhedsscanning (enkelt og periodisk) eller leverandørkontrol på cloud-konfiguration

5) Hændelseshåndtering og rapportering: når noget går galt

Målet: I kan reagere hurtigt, minimere skade og rapportere korrekt.

NIS2 stiller krav til incident-rapportering inden for korte tidsfrister (tidlig varsling og efterfølgende rapporter). EUR-Lex

Gør det her:

  • Lav en 1-sides “Incident Playbook”:
    • Hvem ringer vi til?
    • Hvem tager beslutninger?
    • Hvad isolerer vi først? (mail, endpoints, servere, netværk)
    • Hvad dokumenterer vi undervejs?
  • Øv et scenarie 1 gang i kvartalet (30 min tabletop):
    • Phishing med kompromitteret mail
    • Ransomware på filserver
    • Leverandørbrud (fx adgang via ekstern IT-partner)
  • Etabler en “kommunikationsskabelon”:
    • Internt
    • Kunder
    • Myndighed/tilsyn (hvis relevant)

Minimumsbevis: Incident-plan + kontaktliste + øvelsesnotat.

6) Leverandørstyring: din sikkerhed er også dine leverandørers sikkerhed

Målet: I har styr på de leverandører, der kan påvirke jeres drift og data.

Gør det her:

  • Lav en leverandørliste med risikoklassificering:
    • Kritiske (cloud, drift, IT-partner, betalingsleverandør)
    • Vigtige (CRM, marketing, e-signatur)
  • Minimumskrav i kontrakter:
    • MFA, logning, patching, backup
    • Incident-notifikation (hvor hurtigt skal de informere jer?)
    • Underleverandører (hvem har de med i kæden?)
  • Tjek beviser, ikke løfter:
    • ISO 27001/SOC2 (hvis muligt)
    • Sikkerhedserklæringer
    • DPA og dataflows (hvor ligger data?)

7) Træning og dokumentation: bevis at det virker i praksis

Målet: Medarbejdere ved, hvad de skal gøre, og I kan dokumentere det.

Gør det her:

  • Lav en kort sikkerhedstræning for alle (30-45 min):
    • Phishing og betalingssvindel
    • Password/MFA
    • Håndtering af kundedata
    • Hvad gør man ved mistanke?
  • Indfør en simpel “phishing-rapportér” proces (fx i mail)
  • Dokumentér det, så I kan bevise det:
    • Dato for træning, deltagere, indhold
    • Politikker og ændringslog (hvad er opdateret hvornår?)
    • Backup-tests (har I testet gendannelse?)

NIS2 tjekliste til SMV’er (praktisk og realistisk)

Hvis du vil have en “kom i gang”-rækkefølge, så brug denne:

  1. Afklar scope: er vi direkte omfattet, leverandør-ramt eller “best practice”-ramt?
  2. Lav asset-overblik (systemer, data, afhængigheder)
  3. MFA på alt + fjern standard admin
  4. Patch-/update-proces + endpoint-beskyttelse
  5. Backup med offline/immutable komponent + test gendannelse
  6. Incident-plan + kontaktliste + 1 tabletop-øvelse
  7. Leverandøroversigt + minimumskrav i kontrakter
  8. 30-45 min træning for alle + enkel rapporteringskanal
  9. Ledelsesrapportering kvartalsvis (status + top-risici + plan)
  10. Saml dokumentation i én mappe (så I kan “vise det” på 10 minutter)

Hvis du vil have en struktureret måde at få det her kørt igennem som et projekt, kan du tage udgangspunkt i et NIS2 compliance-forløb.

Konklusion: 2026 handler om at være “audit-klar” i praksis

NIS2 handler ikke om at have de flotteste PDF’er. Det handler om:

  • at kende dine vigtigste risici
  • at have styr på adgang, patching og backup
  • at kunne reagere på hændelser
  • at kunne dokumentere, at det er implementeret

SMV’er vinder i 2026 ved at gøre det enkelt, konsekvent og dokumentérbart. Ikke perfekt. Bare solidt.

Related Posts

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *