NIS2 guide til danske virksomheder: Teknisk roadmap med M365
·
Kategori: Compliance
Ca. 6.000 danske virksomheder er omfattet af NIS2 — seks gange flere end under den gamle NIS1-lov (Copla, 2025). Myndighedstilsynet er i gang, og bøder kan ramme op til 10 mio. EUR for væsentlige enheder (Lov nr. 434, Retsinformation). Denne NIS2 guide til danske virksomheder giver jer de konkrete M365-indstillinger og tjeklister, der gør jer audit-klar — uden juridisk snak.
Det vigtigste I skal vide nu
- Tilsyn er aktivt: CFCS og Digitaliseringsstyrelsen fører tilsyn i 2026. Selvregistrering via Virk.dk lukkede 1. oktober 2025 (PwC Legal, 2025).
- Ledelsen hæfter personligt: Bestyrelsen skal godkende risikovurderinger og kan gøres ansvarlig ved manglende cybersikkerhed.
- M365 Business Premium dækker størstedelen: Defender for Business, Intune og Entra ID Conditional Access matcher direkte NIS2 Artikel 21-krav.
- 24-timers rapportering: Ved en væsentlig hændelse skal I sende tidlig varsling til CFCS inden 24 timer, detaljeret rapport inden 72 timer og endelig rapport inden 30 dage.
- Dokumentation er bevis: Uden skriftlige politikker, logfiler og risikovurderinger har I intet forsvar ved tilsyn.

Hvorfor NIS2 rammer SMV’er hårdere end forventet
Under NIS1 var kun ca. 1.000 virksomheder omfattet. NIS2-loven (Lov nr. 434 af 28. april 2025) udvidede scope markant: Har I over 50 ansatte eller en omsætning over 10 mio. EUR i en omfattet sektor, er I med. Produktion, digitale tjenester, fødevarer og transport er blot nogle af de sektorer, der nu er inkluderet.
Mange SMV’er opdager først problemet, når en kunde eller leverandør kræver en NIS2-erklæring. Eller når tilsynsmyndigheden banker på.
Før: IT-chefen vedligeholder et Excel-ark med adgangskontroller og håber, det er nok ved en audit.
Efter: Entra ID Conditional Access håndhæver automatisk MFA, blokerer risikable logins og logger alt — klar til at eksportere som evidens inden for minutter.
Sådan mapper I NIS2 Artikel 21 til Microsoft 365
NIS2 Artikel 21 definerer de tekniske og organisatoriske foranstaltninger, I skal implementere. Microsofts Zero Trust-rammeværk dækker størstedelen af kravene. Her er den konkrete mapping:
| NIS2-krav (Artikel 21) | M365 Business Premium-funktion | Handling |
|---|---|---|
| Adgangskontrol og MFA | Entra ID Conditional Access | Aktivér MFA for alle brugere. Opret lokations- og risikobaserede politikker. Blokér legacy-protokoller. |
| Hændelseshåndtering | Defender for Business + Defender XDR | Konfigurér automatiske alerts. Definér eskaleringsproces til CFCS inden 24 timer. |
| Sårbarhedsstyring og patching | Intune + Defender Vulnerability Management | Opsæt Windows Update-ringe. Gennemgå Defender-anbefalinger ugentligt. |
| Kryptering (data at-rest og in-transit) | BitLocker via Intune + TLS i Exchange/SharePoint | Håndhæv BitLocker-kryptering på alle enheder. Aktivér sensitivity labels. |
| Forsyningskædesikkerhed | Defender for Cloud Apps | Kortlæg Shadow IT. Auditér SaaS-leverandørers sikkerhedsniveau. |
| Driftskontinuitet og backup | OneDrive/SharePoint versionering + ekstern backup | Dokumentér RPO/RTO. Supplér med tredjeparts-backup af M365-data. |
| Dokumentation og audit | Purview Compliance Manager | Aktivér NIS2-skabelonen. Tildel kontrol-ejere. Gennemgå score kvartalsvist. |
Kilde: Microsoft Trust Center – NIS2 Compliance og Digitaliseringsstyrelsens vejledning til den digitale sektor.

Tjekliste: 10 skridt til NIS2-compliance med M365
Brug denne tjekliste som udgangspunkt for jeres interne gap-analyse. Hvert punkt knytter sig direkte til et NIS2-krav.
- Verificér scope: Tjek om I er omfattet via sikkerdigital.dk/nis2tjek. Bekræft registrering på Virk.dk.
- Aktivér Conditional Access: Kræv MFA for alle brugere. Blokér logins fra ukendte lokationer. Kræv compliant device for adgang til virksomhedsdata.
- Udrul Intune device management: Håndhæv BitLocker, Windows-opdateringer og sikkerhedsbaselines på alle endpoints.
- Konfigurér Defender for Business: Aktivér EDR (Endpoint Detection and Response). Opsæt automatisk investigation og alerting.
- Dokumentér jeres sikkerhedspolitikker: Skriv adgangskontrolpolitik, incident response-plan og acceptable use-policy. Ledelsen skal godkende og underskrive.
- Opsæt Purview Compliance Manager: Aktivér NIS2-assessment-skabelonen. Tildel kontrol-ejere til hvert krav.
- Kortlæg leverandørkæden: List alle SaaS-leverandører. Brug Defender for Cloud Apps til at opdage Shadow IT. Kræv NIS2-erklæringer fra kritiske leverandører.
- Test incident response: Simulér en hændelse. Mål om I kan sende tidlig varsling til CFCS inden 24 timer. Justér processen.
- Etablér backup-strategi: Supplér M365-versionering med tredjeparts-backup. Dokumentér RPO og RTO. Test restore kvartalsvist.
- Rapportér til ledelsen: Præsentér Microsoft Secure Score, Compliance Score og patch-status for bestyrelsen minimum kvartalsvist.
Mangler I overblik over jeres NIS2-huller? Book en 30-minutters NIS2 gap-analyse af jeres Microsoft 365-miljø. Vi gennemgår Secure Score, Conditional Access-opsætning og dokumentationsstatus — og leverer en konkret handlingsplan. Kontakt A-one Solutions her.
Sådan håndterer I de kritiske første 24 timer ved en hændelse
NIS2 kræver tre rapporteringer ved en væsentlig hændelse (CFCS):
- Tidlig varsling (inden 24 timer): Hvad er sket? Hvad er den umiddelbare påvirkning? Hvilke tiltag er iværksat?
- Detaljeret rapport (inden 72 timer): Root cause (hvis kendt), berørte systemer, indicators of compromise, status på afhjælpning.
- Endelig rapport (inden 30 dage): Fuld tidslinje, årsagsanalyse, konsekvenser og forebyggende tiltag.
Underretning sker via Virk.dk. Manglende rettidig rapportering kan i sig selv udløse sanktioner.
Før: IT-afdelingen opdager et ransomware-angreb fredag aften. Ingen ved, hvem der skal kontaktes, og rapporten lander først tirsdag.
Efter: Defender XDR trigger automatisk en alert. Incident response-planen aktiveres. Tidlig varsling sendes til CFCS inden lørdag morgen — inden for 24 timer.

Fejl der koster: De 3 mest oversete NIS2-krav
1. Ledelsens godkendelse mangler
NIS2 kræver, at bestyrelsen aktivt godkender risikovurderinger og cybersikkerhedspolitikker. Et referat fra et bestyrelsesmøde, hvor IT-sikkerhed blev behandlet, er konkret evidens ved tilsyn. Uden det har ledelsen intet forsvar mod personligt ansvar.
2. Leverandørstyring ignoreres
I hæfter for jeres leverandørers sikkerhedsniveau. Kortlæg alle IT-leverandører, stil konkrete spørgsmål om deres sikkerhedsforanstaltninger, og kræv skriftlige NIS2-erklæringer. Azure Policy og Defender for Cloud kan hjælpe med at dokumentere supply chain-risici.
3. Logs gemmes ikke længe nok
Uden tilstrækkelig log-retention kan I ikke levere den evidens, CFCS kræver i 72-timers rapporten. Konfigurér audit-logning i M365 og overvej udvidet retention — standardlogning i Business Premium dækker 180 dage, men vurdér om jeres risikoprofil kræver mere.
FAQ: NIS2 for danske virksomheder
Er vi omfattet af NIS2?
Har I over 50 ansatte eller en omsætning over 10 mio. EUR og opererer i en omfattet sektor (fx produktion, digitale tjenester, energi, transport), er I sandsynligvis omfattet. Brug Digitaliseringsstyrelsens NIS2-tjek til en hurtig vurdering.
Hvad er bøden for NIS2-overtrædelser?
Op til 10 mio. EUR for væsentlige enheder og 7 mio. EUR for vigtige enheder. Ledelsen kan desuden gøres personligt ansvarlig (Lov nr. 434).
Er Microsoft 365 Business Premium nok til NIS2?
Business Premium dækker ca. 80 % af de tekniske krav: MFA, Conditional Access, Defender for Business (EDR), Intune (endpoint management) og BitLocker. I mangler dog avanceret log-søgning (kræver E5) og fuld Purview-funktionalitet. Supplér med tredjeparts-backup og skriftlige politikker.
Hvordan rapporterer man en hændelse til CFCS?
Via hændelsesunderretningsformularen på Virk.dk. Tidlig varsling inden 24 timer, detaljeret rapport inden 72 timer, endelig rapport inden 30 dage.
Hvem fører tilsyn med NIS2 i Danmark?
Tilsynet er fordelt på sektoransvarlige myndigheder. For den digitale sektor er det Digitaliseringsstyrelsen. For øvrige sektorer koordinerer Styrelsen for Samfundssikkerhed (tidligere CFCS). Se den fulde liste på cfcs.dk/nis2.
Hvordan laver man en NIS2-risikovurdering?
Kortlæg jeres kritiske aktiver (systemer, data, leverandører). Vurdér sandsynlighed og konsekvens for hvert trusselsscenarie. Prioritér tiltag efter risiko. Dokumentér alt skriftligt og få ledelsens godkendelse. Digitaliseringsstyrelsen tilbyder et selvevalueringsskema som udgangspunkt.
Kan man bruge ISO 27001 som grundlag for NIS2?
Ja. Digitaliseringsstyrelsens vejledningsskema mapper direkte til ISO 27001-kontroller. Har I allerede et ISMS, er jeres NIS2-arbejde markant lettere — I skal primært lukke hullerne i hændelsesrapportering og leverandørstyring.
Næste skridt: Sådan kommer I i gang i denne uge
- Mandag: Tjek jeres scope på sikkerdigital.dk. Bekræft registrering på Virk.dk.
- Tirsdag: Log ind på security.microsoft.com. Notér jeres Secure Score. Identificér de tre anbefalinger med højest impact.
- Onsdag: Aktivér Conditional Access-politikker: MFA for alle, blokér legacy auth, kræv compliant device.
- Torsdag: Skriv en incident response-plan med navne, telefonnumre og eskaleringstrin. Print den ud — den skal virke, selv når systemerne er nede.
- Fredag: Book et møde med ledelsen. Præsentér Secure Score, de tre største huller og en tidsplan for at lukke dem. Få godkendelse på referat.
NIS2-compliance er ikke et engangsprojekt. Det er en løbende proces. Men den starter med ét konkret skridt — og de værktøjer, I allerede betaler for i Microsoft 365.