Sådan ser kravene ud i praksis
Når en NIS2-omfattet virksomhed udfører tilsyn med dig efter Article 21(d), beder de om dokumentation. Disse er typiske krav fra danske store-virksomheder per offentlige supplier-onboarding-PDF fra 2025:
| Kunde-segment (DK) | Typiske underleverandør-krav |
|---|---|
| Novo Nordisk (lægemidler) | Quarterly supplier-attestation, ISO 27001-baseline, 24t hændelses-eskalation |
| LEGO (legetøj/produktion) | Forsyningskæde-MFA-krav, secure-by-design klausul i alle nye kontrakter |
| A.P. Møller-Mærsk (transport) | Annual third-party-audit, signed Article 21 attestation pr. underleverandør-projekt |
| ATP (finans/pension) | DORA + NIS2 dual-baseline, OT/IT-segmentation-evidence, pen-test min. årligt |
Eksempler bygger på danske store-virksomheders offentlige supplier-policy-dokumenter (2025). Vi navngiver ikke specifikke medarbejdere eller kontrakter. For din egen kunde-onboarding, tjek deres aktuelle supplier-portal.
Article 21 — de 10 controls vi dokumenterer
NIS2 art. 21(2) opregner 10 minimumsforanstaltninger. Vi dækker dem alle, med kilde til lov-teksten + dine egne system-data.
Risikoanalyse + ISMS
Politik for risikoanalyse og informationssikkerhed med ledelses-godkendelse.
Hændelseshåndtering
Detektion, klassifikation, eskalering, post-mortem. CFCS-rapporteringsfrister 24t/72t.
Driftskontinuitet
Backup, disaster recovery, krise-management. Testet mindst årligt.
Forsyningskædesikkerhed
Vurdering og tilsyn med leverandører + serviceudbydere. Kontraktklausuler.
Sikkerhed i anskaffelser
Krav til udvikling, anskaffelse, vedligehold af systemer — secure-by-design.
Effektivitetsmål
Politikker og procedurer der måler effektiviteten af cybersikkerhed-foranstaltninger.
Cyberhygiejne + træning
Grundlæggende cyberhygiejne-praksis. Træning af alle medarbejdere — også bestyrelsen.
Kryptografi-politik
Politik for krypto + bruge af kryptografi, hvor passende.
Personalesikkerhed
Adgangskontrol, asset management, awareness. Off-boarding rutiner.
MFA + sikker kommunikation
Multi-faktor-autentifikation, sikrede kommunikationskanaler, nødkommunikation.
Source: NIS2-direktiv (EU) 2022/2555 art. 21(2) litra a-j.
Spor B
NIS2 Article 21 Supplier Shield
For SMV'er der leverer til Novo, Lego, Mærsk, ATP. DK transponerede NIS2 1. juli 2025 — D&O personligt bestyrelsesansvar er det ikke-forhandlelige løftegreb for ledelsesorganer.Kilde: lov nr. 730/2025 § 21
Tier 1 · Light
SMV underleverandører
- Article 21 controls baseline-dokumentation
- Quarterly review
- Email-support
Tier 2 · Operational
50–250 FTE NIS2-supplier exposure
- Full Article 21 controls
- Supplier-onboarding-pakke
- Monthly review
- CFCS-rapportering-prep
- Slack-support
Tier 3 · Audit-Ready
Pre-audit window with deadline pressure
- Alt fra Operational
- Årlig audit-prep
- Manuel kvalitetscheck på alle dokumenter
- Crisis-response support
Ofte stillede spørgsmål
Hvorfor skal min SMV bekymre sig om NIS2 hvis jeg ikke selv er omfattet?
Article 21(d) kræver at NIS2-omfattede virksomheder (essentielle eller vigtige enheder) udøver tilsyn med deres leverandørers cybersikkerhed. Hvis du leverer til Novo, Lego, Mærsk, ATP eller andre NIS2-omfattede entiteter, vil du blive bedt om at dokumentere dine egne Article 21-controls — ofte som onboarding-krav eller kontraktklausul.
Hvad er D&O personligt ansvar i NIS2-konteksten?
Article 20 + 32(6) kræver at ledelsesorganer (bestyrelse, direktion) i NIS2-omfattede entiteter godkender cybersikkerheds-foranstaltninger og overvåger implementeringen. Manglende tilsyn kan medføre personligt erstatningsansvar (D&O — Directors & Officers liability). I Danmark er sanktionen for ledelsesorganer i offentlige myndigheder politianmeldelse, ikke en administrativ økonomisk sanktion. Source: lov nr. 730/2025 § 21 + specialiseret IT-/AI-advokatfirma NIS2-guide 2025.
Hvad er forskellen på NIS2-direktivet og den danske implementering?
Direktiv (EU) 2022/2555 (NIS2) blev transponeret til dansk ret via lov nr. 730/2025 ('lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau'), der trådte i kraft 1. juli 2025. Lov nr. 730/2025 § 21 indeholder de danske sanktionsbestemmelser. Den danske transposition adskiller sig fra direktivet ved at lægge politianmeldelse-sporet for offentlige enheder.
Er min virksomhed selv en 'vigtig enhed' efter NIS2?
NIS2 omfatter middelstore + store virksomheder (≥50 ansatte ELLER ≥10M EUR omsætning) i 18 sektorer (Annex I + II) — fx digital infrastruktur, IT-tjenester, transport, energi, sundhed, fødevareproduktion. Hvis din SMV er underleverandør (<50 ansatte og <10M EUR), er du som hovedregel ikke direkte omfattet, men dine kunder kræver alligevel Article 21-evidens via deres egne tilsyn-pligter.
Hvad leverer I konkret?
ISMS-baseline-dokumentation der dækker alle 10 Article 21-controls (Light), supplier-onboarding-pakke + månedlig review (Operational), eller årlig audit-prep + crisis-response (Audit-Ready). Output er PDF + redigerbar Markdown. Hver påstand med kilde til Article 21 eller offentlige primary sources.
Giver I juridisk rådgivning?
Nej. Vi er teknisk dokumentationsleverandør, ikke advokatfirma. For juridisk rådgivning henviser vi til specialiseret IT-/AI-advokatfirma, Plesner eller Kromann Reumert — alle har dedikerede NIS2/cyber-teams.
PowerQuant er et AI-baseret produkt. Vi bruger AI-modeller til at producere dokumentationen, men hver påstand cross-checkes mod selve lov-teksten. EU AI Act Article 50 transparency-disclosure anerkendt fra dag 1, før 2. august 2026-deadline. Læs vores AI Act-tilgang →