Cybersikkerhedsloven (den danska cybersäkerhetslagen) är Danmarks nationella lag som implementerar EU:s NIS2-direktiv. Lagen, som officiellt antogs som Lov nr. 434 af 6. maj 2025 och trädde i kraft den 1 juli 2025, fastställer bindande cybersäkerhetsskyldigheter för offentliga myndigheter och privata företag i väsentliga och viktiga sektorer.
Syftet är att säkerställa en hög och konsekvent nivå av cybersäkerhet i hela Danmark. Lagen syftar till att skydda kritiska tjänster som energi, hälso- och sjukvård, transport, vattenförsörjning och digital infrastruktur från cyberhot, stärka motståndskraften och främja snabbare incidenthantering och samordning mellan olika sektorer. Det är ett stort steg mot att göra cybersäkerhet till en ledarskaps- och styrningsfråga - inte bara en IT-fråga.
Hur förhåller sig Cybersikkerhedsloven till NIS2?
Cybersikkerhedsloven är Danmarks direkta genomförande av EU:s NIS2-direktiv, som officiellt heter direktivet om åtgärder för en hög gemensam nivå av cybersäkerhet i hela unionen (EU 2022/2555).
Det innebär att de EU-omfattande NIS2-kraven införlivas i dansk lag utan att nationella tillägg görs, en så kallad minimiimplementering. Detta säkerställer att danska företag och offentliga organisationer följer samma grundläggande standarder som sina europeiska motsvarigheter.
Lagen ersätter Danmarks tidigare NIS1-implementering, som endast gällde för ett fåtal kritiska sektorer. Under Cybersikkerhedsloven omfattas nu många fler organisationer, bland annat vårdgivare, tillverkningsföretag, onlineplattformar och leverantörer av managed services.
I korthet definierar NIS2 EU:s cybersäkerhetsmål, och Cybersikkerhedsloven är den mekanism som gör dem rättsligt verkställbara i Danmark, med samma förväntningar, verkställighetsbefogenheter och påföljder.
Läs mer om detta: Ramverk för cybersäkerhet i Danmark
Vad kräver Cybersikkerhedsloven?
Organisationer som omfattas måste följa omfattande skyldigheter för cybersäkerhet och riskhantering. Viktiga krav inkluderar:
- Riskhantering: Upprätta och upprätthålla dokumenterade cybersäkerhetspolicyer, genomföra regelbundna riskbedömningar och säkerställa korrekt styrning av nätverks- och informationssystem.
- Rapportering av incidenter: Meddela myndigheterna om betydande incidenter inom strikta tidsfrister - en första varning inom 24 timmar, en detaljerad rapport inom 72 timmar och en slutlig rapport inom en månad
- Kontinuitet i verksamheten: Upprätthålla planer för krishantering och återhämtning för att säkerställa driftskontinuitet efter cyberincidenter.
- Säkerhet i leveranskedjan: Identifiera och hantera cybersäkerhetsrisker hos leverantörer och tredjepartsleverantörer av IT.
- Åtkomstkontroll och kryptografi: Tillämpa åtkomst med lägsta möjliga behörighet, kryptering och multifaktorautentisering.
- Utbildning och styrning: Kräv att den högsta ledningen godkänner cybersäkerhetsåtgärder och genomgår relevant utbildning i hantering av cyberrisker.
- Testning och kontinuerlig förbättring: Utför regelbundna revisioner, säkerhetstester och sårbarhetshantering.
- Registrering: Vissa leverantörer av digitala tjänster (t.ex. DNS, molntjänster, sociala medier, leverantörer av managed services) måste registrera sig hos myndigheterna via virk.dk inom tre månader från det att de omfattas - för de flesta var detta senast den 1 oktober 2025.
Hur tillhandahåller Cybersikkerhedsloven säkerhet?
Lagen innebär att cybersäkerhet går från att vara en teknisk angelägenhet till att bli ett strategiskt ansvar på ledningsnivå. Genom att genomdriva riskbaserade säkerhetsåtgärder, strikta rapporteringsregler och ansvarsutkrävande på ledningsnivå säkerställer lagen snabbare upptäckt, respons och återhämtning från cyberincidenter.
Det stärker också den nationella samordningen genom Danmarks Styrelsen for Samfundssikkerhed (Styrelsen för samhällssäkerhet ) och Center for Cyber Security (CFCS), vilket förbättrar incidentdelning och respons i realtid mellan sektorer.
Detta skapar en enhetlig, proaktiv cybersäkerhetsmiljö i hela det danska samhället.
Hämta guiden: Ramverk för cybersäkerhet i Danmark
Vilka är fördelarna med Cybersikkerhedsloven?
Att följa lagen ger tydliga praktiska fördelar:
- Bättre säkerhetsställning: organisationerna inför strukturerade kontroller och styrning av cybersäkerheten.
- Snabbare incidenthantering: med tydliga rapporteringsregler och eskalering kan organisationer agera snabbt och undvika större skador.
- Förbättrad motståndskraft hos leverantörer: säkerhet i leveranskedjan gör tjänsteleveransen mer tillförlitlig.
- Regulatoriskt förtroende: att uppfylla kraven bidrar till att skapa förtroende hos kunder, partners och myndigheter.
- Konkurrensfördel: I sektorer där cybersäkerhet nu är ett grundläggande krav kan efterlevnad vara en differentierande faktor.
Vanliga frågor
Är Cybersikkerhedsloven obligatorisk?
Ja, det är en rättsligt bindande rättsakt. Sedan den 1 juli 2025 måste alla enheter som omfattas av lagen följa den. Bristande efterlevnad kan leda till böter på upp till 10 miljoner euro eller 2% av den globala omsättningen, beroende på hur allvarlig överträdelsen är.
Varför är Cybersikkerhedsloven viktig?
Den stärker Danmarks försvar mot cyberhot och anpassar landet till EU-omfattande cybersäkerhetsstandarder. Lagen säkerställer att samhällsviktiga tjänster, från sjukhus till elnät, är motståndskraftiga mot attacker och kan återhämta sig snabbt.
Vem måste följa Cybersikkerhedsloven?
Det gäller medelstora och stora organisationer (50+ anställda eller 10 miljoner euro eller mer i omsättning) inom kritiska sektorer, t.ex:
- Energi, transport, vatten, sjukvård och livsmedel
- Digital infrastruktur och managed IT-tjänster
- Offentlig förvaltning (statlig och regional)
- Vissa tillverknings-, post- och avfallshanteringsföretag
Mindre företag är i allmänhet undantagna om de inte tillhandahåller viktiga tjänster till andra företag som omfattas.
När träder Cybersikkerhedsloven i kraft?
Lagen trädde i kraft den 1 juli 2025 och krävde registrering av leverantörer av digitala tjänster senast den 1 oktober 2025, och därefter gäller kontinuerlig efterlevnad.
Har Cybersikkerhedsloven stöd i Cyberday?
Ja, det gör Cyberday. Cyberday stöder fullt ut efterlevnad av Cybersikkerhedsloven (NIS2) med färdiga uppgifter, policyer, rapporteringsarbetsflöden och bevisspårning.
Starta din kostnadsfria 14-dagars testversion av Cyberday och se hur enkelt det är att strukturera din efterlevnad av Cybersikkerhedsloven med förbyggda kontroller och smart automatisering av uppgifter.
