Cybersecurity

Din cybersikkerhedspligt er nu personlig

Tysklands NIS2-lov gor ledelsen personligt ansvarlig for cybersikkerhed, fastsaetter en hard registreringsfrist og giver BSI beføjelser til revision og bøder. Hvad ejere skal gøre nu.

Af Leon Soliman · 2026-06-30 · 3 min læsning

Hvorfor denne lov rammer bredere end du tror

NIS2-gennemførelsesloven har vaeret gaeldende i Tyskland siden december 2025, og den berører ikke kun kraftvaerker og banker. Den omfatter omkring 29.500 virksomheder pa tvaers af 18 sektorer, fra logistik og fødevareproduktion til maskinbyggeri, affaldshåndtering og digitale tjenester. Taersklen er lav. En virksomhed med 50 eller flere ansatte, eller 10 millioner euro i omsaetning, i en af disse sektorer er som udgangspunkt omfattet.

De fleste ejere i Mittelstand har aldrig taenkt pa deres forretning som kritisk infrastruktur. Loven beder ikke om det selvbillede. Den ser pa sektoren og størrelsen, klassificerer dig som en vigtig eller en saerligt vigtig enhed og tilknytter bindende sikkerhedsforpligtelser, der ikke fandtes for et ar siden.

Pligten der lander pa ejeren personligt

Den skarpeste aendring er, hvem der baerer pligten. Under den nye tyske lov skal ledelsesorganet godkende foranstaltningerne til cybersikkerhedsrisiko og overvage, at de rent faktisk er pa plads. Dette er ikke en opgave, du kan overdrage til en it-leverandør og glemme. Hvor ledelsen handler med grov uagtsomhed eller forsaet, tillader loven bøder mod de enkelte personer og, i alvorlige tilfaelde, et midlertidigt forbud mod at bestride en ledelsesrolle.

For en ejerledet virksomhed er det dette, der betyder noget. Den person, der underskriver for firmaet, underskriver nu for dets cyberberedskab. En ren outsourcingkontrakt flytter ikke ansvaret vaek fra bestyrelsen. Den aendrer kun, hvem du ringer til, nar noget gar galt, og pa det tidspunkt er pligten allerede blevet afprøvet.

Registreringslisten som ingen fortalte dig om

Det er ikke nok i sig selv at vaere godt forsvaret. Berørte virksomheder skal registrere sig hos Forbundskontoret for Informationssikkerhed, BSI, og identificere sig selv. Den lovbestemte frist var marts 2026, og pa den dato havde kun omkring 11.500 af de cirka 29.500 firmaer gjort det. Mere end halvdelen manglede pa listen.

BSI har fastsat en endelig forlaengelse til den 31. juli 2026 og har signaleret, at det vil undersøge de første sanktioner efter denne sommer. Manglende registrering er i sig selv en bødebelagt overtraedelse, op til 500.000 euro, adskilt fra ethvert brud. Den stille risiko er ikke et cyberangreb. Det er at vaere en virksomhed, som tilsynsmyndigheden ikke kan finde pa en liste, den nu aktivt kontrollerer.

Hvad du skal saette i gang dette kvartal

Tre skridt baerer det meste af vaegten. Bekraeft, om din virksomhed er omfattet, for testen af sektor og størrelse er mekanisk og let at fejllaese. Registrer dig hos BSI inden fristen i juli, hvis du er omfattet. Laeg derefter en dokumenteret risikostyringsproces frem for dit ledelsesorgan, sa pligten til godkendelse og tilsyn opfyldes og registreres, ikke blot antages.

Intet af dette kraever en stor sikkerhedsafdeling. Det kraever en klar laesning af, hvor du star, dokumentation for at ledelsen har set pa risikoen, og en optegnelse, du kan fremvise, hvis tilsynsmyndigheden spørger. De virksomheder, der far problemer, bliver dem, der behandlede en national cybersikkerhedslov som en it-fodnote.

Læs videre: Din hardware er nu reguleret software · Er dit cyberforsvar klar til angreb i maskinhastighed?

Ofte stillede spørgsmål

Gaelder NIS2 for min virksomhed, hvis vi ikke er et forsyningsselskab eller en bank?

Meget muligt. Loven daekker 18 sektorer, herunder logistik, fødevarer, fremstilling, affald og digitale tjenester, og gaelder for ethvert firma i dem med 50 eller flere ansatte eller 10 millioner euro i omsaetning. Mange Mittelstand-virksomheder er omfattet uden at vaere klar over det.

Kan jeg uddelegere denne pligt til min it-leverandør?

Nej. Du kan outsource det tekniske arbejde, men den tyske lov placerer pligten til at godkende og føre tilsyn med cybersikkerhedsforanstaltningerne pa selve ledelsesorganet. Ansvaret, og det personlige erstatningsansvar, bliver hos ledelsen.

Hvad er den umiddelbare risiko, hvis vi ikke har registreret os?

Manglende registrering hos BSI er en saerskilt bødebelagt overtraedelse pa op til 500.000 euro, og den endelige frist er den 31. juli 2026. Derefter har BSI sagt, at det vil undersøge sanktioner, med start i de klare registreringssvigt.

En lov, der navngiver dit ledelsesorgan efter funktion, venter ikke pa en haendelse for at blive virkelig. Pligten er allerede aktiv, og det eneste abne spørgsmal er, om din dokumentation er det.

NIS2 Cybersicherheit ITSicherheit Mittelstand Familienunternehmen Geschaeftsfuehrerhaftung BSI Compliance Risikomanagement Informationssicherheit Unternehmensfuehrung KritischeInfrastruktur NIS2Richtlinie CyberSecurity Servola

Mere fra Servola Journal

Cybersecurity

Din hardware er nu reguleret software

2026-06-28 · 3 min læsning

Læs artiklen →

Cybersecurity

Er dit cyberforsvar klar til angreb i maskinhastighed?

2026-06-23 · 2 min læsning

Læs artiklen →

AI Regulation

Tyskland har nu en udpeget AI-tilsynsmyndighed

2026-06-29 · 3 min læsning

Læs artiklen →

Servola

Servola hjaelper ejere og Mittelstand-bestyrelser med at laese, hvor NIS2 placerer dem, og opbygge den governance, som loven nu kraever.

Anmod om en fortrolig introduktion Om Servola →

Servola er teknologisk rådgivning for et lille antal familier og family offices. Når en beslutning ikke kan delegeres, sidder vi på din side af bordet.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Alle artikler