PowerQuant

Spor B · NIS2 Article 21 Supplier Shield

Beskyt din bestyrelse mod personligt ansvar.

DK transponerede NIS2 1. juli 2025. Bestyrelser i NIS2-omfattede virksomheder bærer personligt ledelsesansvar (NIS2-loven §§ 7 og 23) for cybersikkerhed. Hvis du leverer til Novo, Lego, Mærsk eller ATP, skal du dokumentere dine egne Article 21-controls — vi skriver dem for dig.

Source: lov nr. 434 af 6. maj 2025; specialiseret IT-/AI-advokatfirma NIS2-guide 2025; NIS2-direktiv (EU) 2022/2555 art. 20-21.

Se prismodellenHvad er Article 21?

Sådan ser kravene ud i praksis

Når en NIS2-omfattet virksomhed udfører tilsyn med dig efter Article 21(d), beder de om dokumentation. Disse er typiske krav fra danske store-virksomheder per offentlige supplier-onboarding-PDF fra 2025:

Kunde-segment (DK)Typiske underleverandør-krav
Novo Nordisk (lægemidler)Quarterly supplier-attestation, ISO 27001-baseline, 24t hændelses-eskalation
LEGO (legetøj/produktion)Forsyningskæde-MFA-krav, secure-by-design klausul i alle nye kontrakter
A.P. Møller-Mærsk (transport)Annual third-party-audit, signed Article 21 attestation pr. underleverandør-projekt
ATP (finans/pension)DORA + NIS2 dual-baseline, OT/IT-segmentation-evidence, pen-test min. årligt

Eksempler bygger på danske store-virksomheders offentlige supplier-policy-dokumenter (2025). Vi navngiver ikke specifikke medarbejdere eller kontrakter. For din egen kunde-onboarding, tjek deres aktuelle supplier-portal.

Article 21 — de 10 controls vi dokumenterer

NIS2 art. 21(2) opregner 10 minimumsforanstaltninger. Vi dækker dem alle, med kilde til lov-teksten + dine egne system-data.

  1. Risikoanalyse + ISMS

    Politik for risikoanalyse og informationssikkerhed med ledelses-godkendelse.

  2. Hændelseshåndtering

    Detektion, klassifikation, eskalering, post-mortem. CFCS-rapporteringsfrister 24t/72t.

  3. Driftskontinuitet

    Backup, disaster recovery, krise-management. Testet mindst årligt.

  4. Forsyningskædesikkerhed

    Vurdering og tilsyn med leverandører + serviceudbydere. Kontraktklausuler.

  5. Sikkerhed i anskaffelser

    Krav til udvikling, anskaffelse, vedligehold af systemer — secure-by-design.

  6. Effektivitetsmål

    Politikker og procedurer der måler effektiviteten af cybersikkerhed-foranstaltninger.

  7. Cyberhygiejne + træning

    Grundlæggende cyberhygiejne-praksis. Træning af alle medarbejdere — også bestyrelsen.

  8. Kryptografi-politik

    Politik for krypto + bruge af kryptografi, hvor passende.

  9. Personalesikkerhed

    Adgangskontrol, asset management, awareness. Off-boarding rutiner.

  10. MFA + sikker kommunikation

    Multi-faktor-autentifikation, sikrede kommunikationskanaler, nødkommunikation.

Source: NIS2-direktiv (EU) 2022/2555 art. 21(2) litra a-j.

Spor B

NIS2 Article 21 Supplier Shield

For SMV'er der leverer til Novo, Lego, Mærsk, ATP. DK transponerede NIS2 1. juli 2025 — personligt ledelsesansvar (NIS2-loven §§ 7 og 23, inkl. midlertidigt ledelsesforbud) er det ikke-forhandlelige løftegreb for ledelsesorganer.Kilde: lov nr. 434 af 6. maj 2025

Tier 1 · Light

5.299 kr/md

SMV underleverandører

  • Article 21 controls baseline-dokumentation
  • Quarterly review
  • Email-support
Choose Tier 1 (NIS2, annual)

Tier 2 · Operational

14.999 kr/md

50–250 FTE NIS2-supplier exposure

  • Full Article 21 controls
  • Supplier-onboarding-pakke
  • Monthly review
  • CFCS-rapportering-prep
  • Slack-support
Choose Tier 2 (NIS2)

Tier 3 · Audit-Ready

44.999 kr/md

Pre-audit window with deadline pressure

  • Alt fra Operational
  • Årlig audit-prep
  • Manuel kvalitetscheck på alle dokumenter
  • Crisis-response support
Choose Tier 3 (NIS2)

Ofte stillede spørgsmål

Hvorfor skal min SMV bekymre sig om NIS2 hvis jeg ikke selv er omfattet?

Article 21(d) kræver at NIS2-omfattede virksomheder (essentielle eller vigtige enheder) udøver tilsyn med deres leverandørers cybersikkerhed. Hvis du leverer til Novo, Lego, Mærsk, ATP eller andre NIS2-omfattede entiteter, vil du blive bedt om at dokumentere dine egne Article 21-controls — ofte som onboarding-krav eller kontraktklausul.

Hvad betyder ledelsens personlige ansvar (ofte kaldt D&O) i NIS2-konteksten?

NIS2-loven (lov nr. 434 af 6. maj 2025) § 7 kræver, at ledelsesorganer (bestyrelse, direktion) i omfattede enheder godkender cybersikkerheds-foranstaltningerne og fører tilsyn med implementeringen. Den danske implementering indførte ikke et skærpet personligt erstatningsansvar ud over det almindelige selskabsretlige — personlige krav forudsætter grov uagtsomhed eller forsæt, og loven giver ikke adgang til personlige administrative bøder. Til gengæld kan ledelsen sanktioneres efter § 23, herunder midlertidigt forbud mod at varetage ledelsesfunktioner. Da Danmark ikke anvender administrative bøder, sker bøde generelt via politianmeldelse og efterfølgende tiltale. Vores dokumentation er beviset for, at ledelsen har ført det krævede tilsyn. Kilde: lov nr. 434 af 6. maj 2025, §§ 7 og 23.

Hvad er forskellen på NIS2-direktivet og den danske implementering?

Direktiv (EU) 2022/2555 (NIS2) blev transponeret til dansk ret via lov nr. 434 af 6. maj 2025 ('lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau'), der trådte i kraft 1. juli 2025. Lov nr. 434 af 6. maj 2025 indeholder de danske sanktionsbestemmelser. Den danske transposition adskiller sig fra direktivet ved, at Danmark ikke anvender administrative bøder; sanktioner sker i stedet via politianmeldelse og efterfølgende tiltale (gælder alle omfattede enheder, ikke kun offentlige).

Er min virksomhed selv en 'vigtig enhed' efter NIS2?

NIS2 omfatter middelstore + store virksomheder (≥50 ansatte ELLER ≥10M EUR omsætning) i 18 sektorer (Annex I + II) — fx digital infrastruktur, IT-tjenester, transport, energi, sundhed, fødevareproduktion. Hvis din SMV er underleverandør (<50 ansatte og <10M EUR), er du som hovedregel ikke direkte omfattet, men dine kunder kræver alligevel Article 21-evidens via deres egne tilsyn-pligter.

Hvad leverer I konkret?

ISMS-baseline-dokumentation der dækker alle 10 Article 21-controls (Light), supplier-onboarding-pakke + månedlig review (Operational), eller årlig audit-prep + crisis-response (Audit-Ready). Output er PDF + redigerbar Markdown. Hver påstand med kilde til Article 21 eller offentlige primary sources.

Giver I juridisk rådgivning?

Nej. Vi er teknisk dokumentationsleverandør, ikke advokatfirma. For juridisk rådgivning henviser vi til specialiseret IT-/AI-advokatfirma, Plesner eller Kromann Reumert — alle har dedikerede NIS2/cyber-teams.

PowerQuant er et AI-baseret produkt. Vi bruger AI-modeller til at producere dokumentationen, men hver påstand cross-checkes mod selve lov-teksten. EU AI Act Article 50 transparency-disclosure anerkendt fra dag 1, før 2. august 2026-deadline. Læs vores AI Act-tilgang →