NIS2 Compliance tysk – Overblik & løsninger

Hvad er NIS2, og hvem er omfattet?

NIS2 er et EU-direktiv, der fra oktober 2024 stiller højere krav til cybersikkerhed. Virksomheder i sektorer som energi, sundhed, transport, finans og digitale tjenester er særligt berørt.

Meldepligter i DACH-landene

Executive Summary:
Tyskland (DE) og Østrig (AT) er gennem NIS2-direktivet bundet af EU’s fælles indberetningskrav, som bl.a. indebærer en førstmelding inden for 24 timer. Schweiz (CH) implementerer uafhængigt, men med tilsvarende strenge krav via informationssikkerhedsloven (ISG) og NCSC’s indberetningspligt. Forskellene ligger primært i myndighedernes ansvar og de nationale detailkrav.

Land	Myndighed	Kernekrav	Frist(er)
🇩🇪 Tyskland	BSI	24h førstmelding, 72h detaljer, 1 mdr. slutrapport	24h / 72h / 30 dage
🇦🇹 Østrig	BMI + CERT.at	Indberetning via nis.cert.at	24h / 72h
🇨🇭 Schweiz	NCSC	Kun 24h førstmelding + løbende updates	24h

👉 Praksis: Et samlet 24h-melde-setup + efterfølgende opdateringer dækker alle tre markeder.

Hovedpointer:

Alle tre lande kræver en førstmelding inden for 24 timer ved alvorlige hændelser.
DE & AT følger EU’s krav (Art. 23 NIS2), mens CH har etableret et selvstændigt system (ISG/NCSC), der er lige så strengt i indhold.
For virksomheder i DACH-regionen er det hensigtsmæssigt at indføre en ensartet intern indberetningsproces (24t + 72t + slutrapport), som dækker både EU’s og Schweiz’ krav.

Kilder:

BSI-vejledning / NIS2-UmsuCG (DE), status 03/2025
Østrigs NIS2-implementering (AT), BMI/CERT.at, status 05/2025
EU-direktiv 2022/2555 (NIS2), artikel 23 – indberetningspligt
NCSC Schweiz, indberetningspligt efter ISG, status 04/2025

Governance & Dokumentation (Policy-afsnit)

Executive Summary
Governance og dokumentation er centrale elementer i NIS2-compliance. Virksomheder i Danmark, der er omfattet af NIS2, skal etablere klare ansvarsområder, dokumentere beslutningsprocesser og til enhver tid kunne bevise, at risikostyringsforanstaltninger er effektivt implementeret. Dette afsnit sikrer, at governance-strukturer er forankret og at dokumentation føres systematisk.

Governance

Ansvarsområder:
- Direktionen har det overordnede ansvar for NIS2-compliance.
- CISO (Chief Information Security Officer) står for den operative implementering, risikovurdering og styring af tiltag.
- Compliance Officer overvåger overholdelse af lovkrav, udarbejder rapporter og koordinerer audits.
- Alle afdelinger er forpligtet til straks at indberette sikkerhedsrelevante hændelser.
Beslutningsstrukturer:
- Oprettelse af et Cyber Security Steering Committee med repræsentanter fra IT, jura, compliance og forretning.
- Kvartalsvise møder med rapportering til direktionen.
- Definerede eskalationsveje i en dokumenteret indberetningsplan.

Dokumentation

Dokumentationskrav:
- Alle risikovurderinger, handlingsplaner og hændelser dokumenteres revisionssikkert i et centralt system.
- Ændringer i processer skal versioneres og kunne spores.
- Forberedelse og understøttelse af interne og eksterne audits.
Rapportering:
- Årlig governance-rapport til direktionen med status på risici, tiltag og hændelser.
- Dokumentation for overholdelse af 24h-rapportering.
- Brug af KRIs (Key Risk Indicators) og KPIs (Key Performance Indicators) til at måle effektivitet.
Audit & Compliance-kontrol:
- Forberedelse til eksterne audits (fx ISO 27001, BSI-standarder).
- Integration af “test once, comply to many”-principper for at genbruge dokumentation på tværs af standarder.
- Bevaring af dokumentation i minimum 5 år, hvor loven kræver det.

Kilder

EU NIS2-direktiv (2022/2555), art. 21–23 – krav til governance, risikostyring og rapportering
BSI-vejledning om NIS2-implementering, DE, 03/2025 – kap. 5 Governance & dokumentation
KPMG Whitepaper om NIS2-readiness, 05/2023 – Governance, ansvar & dokumentation

Næste skridt: Opret et centralt dokumentationssystem (fx ISMS-tool), hvor governance-rapporter, risikovurderinger og hændelsesrapporter systematisk registreres og er klar til audits.

Ofte stillede spørgsmål (FAQ) om NIS2

Introduktion
NIS2-direktivet (EU 2022/2555) forpligter virksomheder i kritiske og vigtige sektorer til at hæve standarderne for cybersikkerhed. Fra oktober 2024 omfatter reglerne flere virksomheder i hele EU – inkl. Danmark – samt samarbejdspartnere i værdikæden. Kunder ønsker derfor at vide, hvordan deres leverandører håndterer disse forpligtelser.

1. Hvad er NIS2-direktivet?
Et EU-krav, der fastlægger minimumsstandarder for cybersikkerhed og indberetning af IT-sikkerhedshændelser. Målet er at beskytte kritisk infrastruktur og digitale tjenester mod cyberangreb.

2. Gælder NIS2 også for vores virksomhed?
Ja, hvis I er aktive i en af de nævnte sektorer (energi, transport, sundhed, finans, digitale tjenester) og opfylder bestemte størrelseskriterier. Leverandører i værdikæden kan også være omfattet.

3. Hvilke pligter følger med?

Indførelse af risikostyring
Løbende sikkerheds- og sårbarhedsanalyser
Indberetning af væsentlige hændelser inden for 24 timer
Dokumentation til myndigheder
Ledelsesansvar og træning

4. Hvordan påvirker det vores samarbejde?
Vi implementerer alle relevante NIS2-krav:

Sikring af service-kontinuitet
Transparent kommunikation ved hændelser
Kontrol af vores underleverandører

5. Hvilke frister gælder?

Førstmelding: 24 timer
Opfølgende rapport: 72 timer
Slutrapport: senest 1 måned

6. Hvilke sanktioner gælder ved manglende overholdelse?
Bøder på op til 10 mio. EUR eller 2 % af global omsætning.

7. Hvilken rolle spiller ledelsen?
Direktionen bærer det direkte ansvar. Manglende overholdelse kan medføre personligt ansvar for ledelsen.

8. Hvilke myndigheder er ansvarlige?

🇩🇪 Tyskland: BSI
🇦🇹 Østrig: Bundeskanzleramt & Indenrigsministeriet (via CERT.at)
🇨🇭 Schweiz: NCSC (nationalt system, ikke EU)
🇩🇰 Danmark: Center for Cybersikkerhed (CFCS)

9. Skal små virksomheder også overholde NIS2?
Ja, hvis de er leverandører til kritiske sektorer eller vurderes at have særlig betydning. Ellers gælder lempeligere regler.

10. Hvordan forbereder vi os sammen?

Vurdering af klassificering (væsentlig / vigtig / udenfor anvendelsesområde)
Etablering af interne melde- og eskalationsprocesser
Regelmæssige sikkerhedsaudits
Dialog med os om snitflader i værdikæden

Kilder:

EU-direktiv 2022/2555 (NIS2), 14.12.2022
EPRS Briefing NIS2, 02/2023
BSI: NIS2-implementering i DE, 05/2025
Bundeskanzleramt AT: NIS2, 05/2025
NCSC Quick Guide NIS2, 2024
KPMG Whitepaper NIS2, 05/2023

Det anbefales at vurdere jeres klassificering efter NIS2 og udpege klare interne ansvarlige. Jeg understøtter jer gerne med yderligere information.

Få din Security & Compliance NIS2 på professionelt tysk

Kommunikér jeres NIS2-compliance klart og troværdigt på tysk til DACH-markedet – med governance, dokumentation og meldeveje formuleret i et sprog, som myndigheder, kunder og partnere forstår.

Hvordan jeg arbejder:

Der er to typiske scenarier:

I har allerede udarbejdet jeres interne NIS2-compliance
– jeg sikrer, at teksten kommunikeres professionelt på tysk, så den er klar til kunder, partnere og myndigheder i Tyskland, Østrig og Schweiz.
I har endnu ikke en færdig compliance-tekst
– jeg udarbejder en fuld tysk Security & Compliance-side fra bunden, tilpasset jeres branche og ansvar.

Næste skridt

Kontakt mig direkte via e-mail:
[email protected]

Beskriv kort jeres situation (scenarie 1 eller 2), så vender jeg tilbage med et forslag til proces og pris.

Hvad i får:

Professionelle tyske compliance-tekster med dokumenterede kilder
Branchetilpasset (SaaS, industri, MedTech m.fl.)
Klar struktur: Governance → Dokumentation → Meldepligt → Leverandørkrav → FAQ
Optioner: NDA, SEO-optimering, diagrammer (meldespor DACH), CMS-opsætning
Priser varierer afhængigt af branche, omfang og antal enheder.

"Løsningen giver jer ikke kun dokumentation til internt brug (compliance & audits),
men kan også anvendes eksternt som en Trustpage overfor kunder og partnere."

Security & Compliance NIS2 på ekspert-tysk –
Er din virksomhed klar?

Security & Compliance NIS2 på ekspert-tysk – Er din virksomhed klar?