BLOG — NIS2

NIS2 for HR-systemer forklaret (uden cybersikkerheds-jargon)

NIS2 ses ofte som 'noget for kritisk infrastruktur'. Det er en delvis sandhed. For HR-tech-virksomheder er det vigtigt at forstå tre ting: hvornår I selv er i scope, hvornår NIS2 rammer jer via jeres kunder, og hvad jeres HR-systemer skal kunne dokumentere.

Status i Danmark: Den centrale NIS2-lov ("Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau") trådte i kraft 1. juli 2025. Selvregistrering med frist 1. oktober 2025. Tilsyn og audits er igangsat i 2026.

Hvad er NIS2 — kort

NIS2-direktivet (EU 2022/2555) udvider og strammer den tidligere NIS-regulering. Det stiller krav til risikohåndtering, hændelsesrapportering og ledelsesansvar for cybersikkerhed i bredt definerede sektorer. I Danmark blev hovedloven forsinket — EU-Kommissionen rejste en formel sag mod Danmark i maj 2025 for manglende rettidig implementering — men den centrale lov er nu i kraft (1. juli 2025), og sektorspecifikke love for energi og tele har været i kraft siden hhv. 7. marts 2025 og 1. juli 2025.

Hvornår er en HR-tech-virksomhed selv i scope?

NIS2 deler enheder i to klasser: væsentlige enheder (essential entities — Annex I) og vigtige enheder (important entities — Annex II). Tærskler er typisk:

  • Mindst 50 ansatte ELLER over 10 mio. EUR omsætning, OG
  • Operer i en omfattet sektor.

For ren HR-tech (SaaS til rekruttering, performance, payroll-data) er det almindeligvis IKKE en omfattet sektor i sig selv. Men:

  • Digitale tjenester (Annex II): Hvis I udbyder online-markedspladser, online-søgemaskiner eller sociale netværk, er I i scope. Et job-board kan i grænsetilfælde diskuteres.
  • Managed Service Providers / Managed Security Service Providers: Hvis I administrerer IT eller sikkerhed for kunder, er I sandsynligvis i scope.
  • Public administration: Hvis I er en offentlig myndighed (eller leverer kerneIT til en), kan I selv være i scope.

Når NIS2 rammer jer indirekte — via jeres kunder

Dette er den scenarie HR-tech-deployers oftest undervurderer. En NIS2-regulert kunde (bank, hospital, energiselskab, kommune) skal under Art. 21 i direktivet have risikohåndtering der dækker forsyningskædesikkerhed. I praksis betyder det at jeres SLA, sikkerhedsprocesser, hændelsesrapportering og incident-respons bliver vurderet som del af kundens NIS2-compliance. I kan blive bedt om dokumentation, sikkerhedserklæringer og audit-adgang — uanset om I selv er i scope direkte.

De ti minimum-foranstaltninger (Art. 21(2))

Uanset om I er direkte eller indirekte i scope, er det her listen jeres HR-tech-organisation bør kunne dokumentere:

  1. Politikker for risikoanalyse og informationssystemsikkerhed
  2. Hændelseshåndtering
  3. Forretningskontinuitet og krisestyring (backup, disaster recovery)
  4. Forsyningskædesikkerhed (jeres egne leverandører)
  5. Sikkerhed i indkøb, udvikling og vedligeholdelse
  6. Politikker og procedurer for vurdering af cybersikkerhedseffektivitet
  7. Grundlæggende cyber-hygiejne og træning
  8. Kryptografi-politik
  9. HR-sikkerhed (adgangskontrol, asset management)
  10. Multifaktor-autentificering og sikret kommunikation

Hændelsesrapportering — de tre vinduer

NIS2 kræver tidlig hændelsesrapportering ved væsentlige hændelser:

  • Tidlig advarsel: Senest 24 timer efter kendskab.
  • Hændelsesrapport: Senest 72 timer.
  • Endelig rapport: Senest 1 måned efter den foreløbige rapport.

For HR-systemer er typiske væsentlige hændelser: ransomware der låser ATS-data, stort persondata-brud, eller integration-misbrug der lækker kandidatdata.

Hvor møder NIS2 og EU AI Act hinanden?

Article 15 i EU AI Act stiller cybersikkerhedskrav til high-risk AI-systemer. For HR-tech-systemer der både er high-risk under AI Act og bruges i en NIS2-regulert kunde-kontekst, er det praktisk at adressere kravene i samme ramme: risikoanalyse, incident response, log-retention og forsyningskæde-due-diligence overlapper substantielt.

Praktiske første skridt

  1. Afklar scope: er I direkte i scope, eller leverer I til virksomheder der er?
  2. Gennemfør en gap-analyse mod de ti minimum-foranstaltninger.
  3. Etablér incident-response-runbook med 24/72-timers rapporteringsflow.
  4. Dokumentér forsyningskæde-sikkerhed — også for jeres LLM-leverandører.
  5. Træning af ledelse og medarbejdere — ledelsesansvar er personligt under NIS2.

Kilder: Direktiv (EU) 2022/2555 (NIS2), Art. 21 + Art. 23. Dansk lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (i kraft 1. juli 2025). Lov nr. 258 af 6. marts 2025 (energi) og lov nr. 435 af 6. maj 2025 (tele).

EU AI Act + NIS2 i samme leverance

PowerQuant kobler AI-inventar med NIS2-relevant forsyningskæde-dokumentation. Fast pris.

Start M1 — 10.999 kr