NIS2-direktivet:
hvad skal din transportvirksomhed gøre?

NIS2 er EU's opdaterede krav til cybersikkerhed. For de fleste vognmænd er det ikke et direkte lovkrav — men du vil mærke det alligevel. Her er hvad du skal vide.

Hvad er NIS2-direktivet?

NIS2 — Network and Information Security Directive 2 — trådte i kraft i Danmark 1. november 2024. Det stiller skarpere krav til IT-sikkerhed, risikovurdering og håndtering af sikkerhedshændelser i virksomheder inden for kritiske sektorer — herunder transport.

De tre vigtigste ændringer fra det tidligere direktiv:

• Bredere scope: Langt flere virksomheder og sektorer er nu direkte omfattet, herunder vejgodstransport.
• Skarpere krav: Krav til risikostyring, hændelsesrespons og leverandørsikkerhed.
• Hårdere bøder: Op til 10 millioner euro eller 2% af global omsætning for de direkte omfattede.

Hvem er direkte omfattet af NIS2?

Sandsynligvis ikke din virksomhed — hvis du er en typisk dansk vognmand. NIS2 gælder direkte for:

• Væsentlige enheder: Over 250 ansatte ELLER over 50 mio. euro i omsætning.
• Vigtige enheder: Over 50 ansatte ELLER over 10 mio. euro i omsætning.

De fleste vognmænd med under 50 ansatte og under 75 mio. kr. i omsætning falder ikke direkte ind under NIS2.

Men — og det er vigtigt: NIS2 kræver, at de store direkte-omfattede virksomheder stiller sikkerhedskrav til deres leverandører. Kører du for store producenter, detailkæder eller logistikvirksomheder, vil de sandsynligvis stille krav til din IT-sikkerhed. Det er indirekte, men det er reelt.

Hvad kræver NIS2 konkret?

For de direkte omfattede virksomheder er kravene klare:

• Dokumenterede sikkerhedspolitikker og risikovurderinger — ledelsen er personligt ansvarlig.
• Hændelsesrapportering inden for 24 timer (tidlig varsling) og 72 timer (fuld rapport).
• Adgangskontrol og kryptering af data og systemer.
• Leverandørsikkerhed: Du skal vurdere dine IT-leverandørers sikkerhed — det er dette krav, der siver ned til vognmænd som underleverandører.
• Backup og beredskabsplaner ved sikkerhedshændelser.

Hvad skal du som vognmand gøre nu?

1. Tjek om du er direkte omfattet. Over 50 ansatte eller 10 mio. euro i omsætning? Ja → du er vigtig enhed. Nej → du er sandsynligvis ikke direkte underlagt, men kan mærke det indirekte.
2. Forvent krav fra dine kunder. Spørg proaktivt om dine store kunder vil stille krav til din IT-sikkerhed.
3. Tjek dine systemer. Er de opdaterede? Bruger du stærke adgangskoder og to-faktor-godkendelse? Er data sikkerhedskopieret?
4. Vælg sikre leverandører. Dit TMS skal opfylde moderne sikkerhedsstandarder. DORA kører på moderne cloudinfrastruktur med kryptering og adgangskontrol.
5. Tal med dine medarbejdere. En kort introduktion til phishing og sikre adgangskoder er det nemmeste og mest effektive, du kan gøre.

Sanktioner ved manglende overholdelse

For direkte omfattede virksomheder er bøderne skarpe: op til 10 mio. euro eller 2% af global omsætning. Ledelsen kan i yderste konsekvens forbys at udøve sine funktioner midlertidigt.

For de fleste vognmænd er den reelle risiko ikke bøder fra myndighederne — men tab af kontrakter med kunder, der ikke kan bruge leverandører der ikke lever op til deres sikkerhedskrav.

Ofte stillede spørgsmål om NIS2 og transport

Er min vognmandsforretning direkte underlagt NIS2?

Sandsynligvis ikke, hvis du har under 50 ansatte og under 10 mio. euro (ca. 75 mio. kr.) i omsætning. Men du kan mærke det indirekte, hvis dine kunder er direkte underlagt og stiller krav ned igennem forsyningskæden.

Hvad er fristen for hændelsesrapportering?

For direkte omfattede: tidlig varsling inden for 24 timer, fuld rapport inden for 72 timer. Rapportering sker til Center for Cybersikkerhed (CFCS) i Danmark.

Hvad sker der, hvis jeg ikke overholder NIS2?

For direkte omfattede virksomheder: bøder op til 10 mio. euro eller 2% af global omsætning, påbud om at rette op — og potentielt midlertidigt forbud mod at ledelsen udøver sine funktioner. For de fleste vognmænd er den større risiko tab af kundekontrakter.