Sådan ser kravene ud i praksis
Når en NIS2-omfattet virksomhed udfører tilsyn med dig efter Article 21(d), beder de om dokumentation. Disse er typiske krav fra danske store-virksomheder per offentlige supplier-onboarding-PDF fra 2025:
| Kunde-segment (DK) | Typiske underleverandør-krav |
|---|---|
| Novo Nordisk (lægemidler) | Quarterly supplier-attestation, ISO 27001-baseline, 24t hændelses-eskalation |
| LEGO (legetøj/produktion) | Forsyningskæde-MFA-krav, secure-by-design klausul i alle nye kontrakter |
| A.P. Møller-Mærsk (transport) | Annual third-party-audit, signed Article 21 attestation pr. underleverandør-projekt |
| ATP (finans/pension) | DORA + NIS2 dual-baseline, OT/IT-segmentation-evidence, pen-test min. årligt |
Eksempler bygger på danske store-virksomheders offentlige supplier-policy-dokumenter (2025). Vi navngiver ikke specifikke medarbejdere eller kontrakter. For din egen kunde-onboarding, tjek deres aktuelle supplier-portal.
Article 21 — de 10 controls vi dokumenterer
NIS2 art. 21(2) opregner 10 minimumsforanstaltninger. Vi dækker dem alle, med kilde til lov-teksten + dine egne system-data.
Risikoanalyse + ISMS
Politik for risikoanalyse og informationssikkerhed med ledelses-godkendelse.
Hændelseshåndtering
Detektion, klassifikation, eskalering, post-mortem. CFCS-rapporteringsfrister 24t/72t.
Driftskontinuitet
Backup, disaster recovery, krise-management. Testet mindst årligt.
Forsyningskædesikkerhed
Vurdering og tilsyn med leverandører + serviceudbydere. Kontraktklausuler.
Sikkerhed i anskaffelser
Krav til udvikling, anskaffelse, vedligehold af systemer — secure-by-design.
Effektivitetsmål
Politikker og procedurer der måler effektiviteten af cybersikkerhed-foranstaltninger.
Cyberhygiejne + træning
Grundlæggende cyberhygiejne-praksis. Træning af alle medarbejdere — også bestyrelsen.
Kryptografi-politik
Politik for krypto + bruge af kryptografi, hvor passende.
Personalesikkerhed
Adgangskontrol, asset management, awareness. Off-boarding rutiner.
MFA + sikker kommunikation
Multi-faktor-autentifikation, sikrede kommunikationskanaler, nødkommunikation.
Source: NIS2-direktiv (EU) 2022/2555 art. 21(2) litra a-j.
Spor B
NIS2 Article 21 Supplier Shield
For SMV'er der leverer til Novo, Lego, Mærsk, ATP. DK transponerede NIS2 1. juli 2025 — personligt ledelsesansvar (NIS2-loven §§ 7 og 23, inkl. midlertidigt ledelsesforbud) er det ikke-forhandlelige løftegreb for ledelsesorganer.Kilde: lov nr. 434 af 6. maj 2025
Tier 1 · Light
SMV underleverandører
- Article 21 controls baseline-dokumentation
- Quarterly review
- Email-support
Tier 2 · Operational
50–250 FTE NIS2-supplier exposure
- Full Article 21 controls
- Supplier-onboarding-pakke
- Monthly review
- CFCS-rapportering-prep
- Slack-support
Tier 3 · Audit-Ready
Pre-audit window with deadline pressure
- Alt fra Operational
- Årlig audit-prep
- Manuel kvalitetscheck på alle dokumenter
- Crisis-response support
Ofte stillede spørgsmål
Hvorfor skal min SMV bekymre sig om NIS2 hvis jeg ikke selv er omfattet?
Article 21(d) kræver at NIS2-omfattede virksomheder (essentielle eller vigtige enheder) udøver tilsyn med deres leverandørers cybersikkerhed. Hvis du leverer til Novo, Lego, Mærsk, ATP eller andre NIS2-omfattede entiteter, vil du blive bedt om at dokumentere dine egne Article 21-controls — ofte som onboarding-krav eller kontraktklausul.
Hvad betyder ledelsens personlige ansvar (ofte kaldt D&O) i NIS2-konteksten?
NIS2-loven (lov nr. 434 af 6. maj 2025) § 7 kræver, at ledelsesorganer (bestyrelse, direktion) i omfattede enheder godkender cybersikkerheds-foranstaltningerne og fører tilsyn med implementeringen. Den danske implementering indførte ikke et skærpet personligt erstatningsansvar ud over det almindelige selskabsretlige — personlige krav forudsætter grov uagtsomhed eller forsæt, og loven giver ikke adgang til personlige administrative bøder. Til gengæld kan ledelsen sanktioneres efter § 23, herunder midlertidigt forbud mod at varetage ledelsesfunktioner. Da Danmark ikke anvender administrative bøder, sker bøde generelt via politianmeldelse og efterfølgende tiltale. Vores dokumentation er beviset for, at ledelsen har ført det krævede tilsyn. Kilde: lov nr. 434 af 6. maj 2025, §§ 7 og 23.
Hvad er forskellen på NIS2-direktivet og den danske implementering?
Direktiv (EU) 2022/2555 (NIS2) blev transponeret til dansk ret via lov nr. 434 af 6. maj 2025 ('lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau'), der trådte i kraft 1. juli 2025. Lov nr. 434 af 6. maj 2025 indeholder de danske sanktionsbestemmelser. Den danske transposition adskiller sig fra direktivet ved, at Danmark ikke anvender administrative bøder; sanktioner sker i stedet via politianmeldelse og efterfølgende tiltale (gælder alle omfattede enheder, ikke kun offentlige).
Er min virksomhed selv en 'vigtig enhed' efter NIS2?
NIS2 omfatter middelstore + store virksomheder (≥50 ansatte ELLER ≥10M EUR omsætning) i 18 sektorer (Annex I + II) — fx digital infrastruktur, IT-tjenester, transport, energi, sundhed, fødevareproduktion. Hvis din SMV er underleverandør (<50 ansatte og <10M EUR), er du som hovedregel ikke direkte omfattet, men dine kunder kræver alligevel Article 21-evidens via deres egne tilsyn-pligter.
Hvad leverer I konkret?
ISMS-baseline-dokumentation der dækker alle 10 Article 21-controls (Light), supplier-onboarding-pakke + månedlig review (Operational), eller årlig audit-prep + crisis-response (Audit-Ready). Output er PDF + redigerbar Markdown. Hver påstand med kilde til Article 21 eller offentlige primary sources.
Giver I juridisk rådgivning?
Nej. Vi er teknisk dokumentationsleverandør, ikke advokatfirma. For juridisk rådgivning henviser vi til specialiseret IT-/AI-advokatfirma, Plesner eller Kromann Reumert — alle har dedikerede NIS2/cyber-teams.
PowerQuant er et AI-baseret produkt. Vi bruger AI-modeller til at producere dokumentationen, men hver påstand cross-checkes mod selve lov-teksten. EU AI Act Article 50 transparency-disclosure anerkendt fra dag 1, før 2. august 2026-deadline. Læs vores AI Act-tilgang →