NIS2 vs ISO 27001: Hvad er forskellen og hvad har du brug for?

NIS2 er obligatorisk lov for omfattede virksomheder, ISO 27001 er frivillig standard. Men ISO 27001 dækker 70-80% af NIS2's krav. Se komplet mapping, gaps og praktisk vejledning til compliance.

Mange organisationer står overfor det samme spørgsmål: Skal vi have NIS2 compliance, ISO 27001 certificering eller begge dele? Det kan være forvirrende at navigere i disse to frameworks, især når de begge handler om informationssikkerhed.

Det korte svar er: NIS2 er lovgivning (du SKAL efterleve hvis omfattet), mens ISO 27001 er en frivillig standard (du VÆLGER). Men det interessante er, at ISO 27001 dækker omkring 70-80% af NIS2's krav, hvilket gør det til et stærkt udgangspunkt for NIS2 compliance.

I denne guide får du en komplet sammenligning af de to frameworks, ser præcist hvor de overlapper, og får praktiske anbefalinger til, hvad din organisation har brug for.

Hvad er NIS2?

NIS2 (Network and Information Security Directive 2) er EU's opdaterede cybersikkerhedsdirektiv, der trådte i kraft i januar 2023. Direktivet skal implementeres i national lovgivning i alle EU-medlemsstater.

NIS2 er obligatorisk lovgivning for organisationer inden for kritiske og vigtige sektorer med mere end 50 medarbejdere. Det fokuserer specifikt på cybersikkerhed for kritisk infrastruktur og tjenester, der er essentielle for samfundets funktion.

Direktivet indeholder klare krav til risikostyring, hændelsesrapportering og ledelsesansvar. Organisationer omfattet af NIS2 skal registrere sig hos nationale myndigheder og er underlagt tilsyn samt potentielle sanktioner ved manglende compliance.

Sanktionerne kan være betydelige – op til €10 millioner eller 2% af den globale årlige omsætning for væsentlige enheder, og op til €7 millioner eller 1,4% af omsætningen for vigtige enheder.

Hvad er ISO 27001?

ISO 27001 er den internationalt anerkendte standard for informationssikkerhedsstyringssystemer (ISMS). I modsætning til NIS2 er ISO 27001 en frivillig standard, som organisationer kan vælge at implementere og blive certificeret i.

Standarden følger en risikobaseret tilgang til informationssikkerhed og gælder for alle typer organisationer, uanset størrelse eller branche. ISO 27001 certificering viser over for kunder, partnere og interessenter, at organisationen tager informationssikkerhed alvorligt.

En ISO 27001 certificering er gyldig i tre år med årlige overvågningsaudits. Standarden kræver, at organisationer etablerer, implementerer, vedligeholder og løbende forbedrer et ISMS baseret på deres specifikke risikoprofil.

ISO 27001:2022 (den nyeste version) indeholder 93 kontroller i Annex A, der dækker organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger. Organisationen vælger selv, hvilke kontroller der er relevante baseret på deres risikovurdering.

Læs mere om ISO 27001 compliance og hvordan du implementerer ISO 27001.

NIS2 vs ISO 27001: Hurtig Sammenligning

Aspekt	NIS2	ISO 27001
Type	EU-direktiv (lov)	International standard
Obligatorisk?	Ja, for omfattede enheder	Nej, frivillig
Hvem gælder det?	Kritiske/vigtige sektorer, 50+ ansatte	Alle organisationer
Fokus	Cybersikkerhed for kritisk infrastruktur	Informationssikkerhed bredt
Håndhævelse	Nationale myndigheder, bøder	Certificeringsorganer
Sanktioner	Op til €10 mio / 2% omsætning	Ingen (mister certificering)
Certificering	Nej (compliance)	Ja (3-årig certificering)
Incident reporting	Obligatorisk (24h/72h/30d)	Anbefalet, ikke påkrævet tidsfrister
Supply chain	Eksplicit krav	Dækket i Annex A
Ledelsesansvar	Personligt ansvar	Ledelsens engagement
Geografisk scope	EU/EØS	Globalt
Audit frekvens	Tilsyn fra myndigheder	Årlig surveillance, 3-årig recert

Er ISO 27001 nok til NIS2 Compliance?

Det Korte Svar

Nej, ISO 27001 alene er ikke nok til at opfylde alle NIS2 krav. Men det dækker cirka 70-80% af kravene og udgør derfor det bedste mulige fundament for NIS2 compliance. Hvis din organisation starter med ISO 27001, reducerer du betydeligt den ekstra indsats, der kræves for at blive NIS2-compliant.

Hvad ISO 27001 Dækker af NIS2

ISO 27001 dækker størstedelen af de tekniske og organisatoriske sikkerhedskrav i NIS2:

✓ Risikovurdering og risikostyring – Clause 6 og flere Annex A kontroller
✓ Sikkerhedspolitikker – Omfattende politikker og procedurer
✓ Hændelseshåndtering – Processer for at håndtere sikkerhedshændelser
✓ Business continuity – Kontinuitet og disaster recovery
✓ Adgangskontrol – Omfattende kontroller for adgangsstyring
✓ Kryptering – Krav til kryptografiske kontroller
✓ Awareness og træning – Medarbejderuddannelse i sikkerhed
✓ Leverandørsikkerhed – Sikring af forsyningskæden
✓ Asset management – Styring af informationsaktiver
✓ Sikker udvikling – Sikkerhed i systemudvikling

Hvad NIS2 Kræver Ud Over ISO 27001

Der er dog vigtige områder, hvor NIS2 stiller krav, som går ud over ISO 27001:

✗ Obligatorisk hændelsesrapportering til myndigheder – NIS2 kræver rapportering til CSIRT og nationale myndigheder
✗ Specifikke tidsfrister – 24 timer for tidlig advarsel, 72 timer for hændelsesrapport, 30 dage for slutrapport
✗ Registrering som NIS2-enhed – Formelt registreringskrav hos myndighederne
✗ Sektorspecifikke krav – Nogle sektorer har yderligere specifikke sikkerhedskrav
✗ Personligt ledelsesansvar med sanktioner – Ledelsen er personligt ansvarlig og kan idømmes sanktioner
✗ Forsyningskædesikkerhed – Mere eksplicitte krav til leverandørstyring end ISO 27001
✗ Aktivt samarbejde med myndigheder – Løbende samarbejde og informationsdeling

NIS2 og ISO 27001: Krav-for-krav mapping

For at forstå præcist hvor ISO 27001 dækker NIS2's krav, er her en detaljeret mapping af NIS2 Artikel 21's sikkerhedsforanstaltninger mod ISO 27001 kontroller:

NIS2 Artikel 21 Krav	ISO 27001 Dækning	Gap
(a) Risikostyringspolitikker	Clause 6, A.5.1	Minimal – ISO 27001 dækker dette fuldt ud
(b) Hændelseshåndtering	A.5.24-A.5.28	Rapporteringstidsfrister og myndighedskontakt mangler
(c) Business continuity	A.5.29-A.5.30	Minimal – næsten fuldt dækket
(d) Forsyningskædesikkerhed	A.5.19-A.5.23	NIS2 kræver mere eksplicit fokus
(e) Sikkerhed ved anskaffelse	A.5.8, A.8.25-A.8.31	Minimal gap
(f) Vurdering af effektivitet	Clause 9	Minimal – intern audit dækker dette
(g) Cyberhygiejne og træning	A.6.3	Minimal – awareness er dækket
(h) Kryptografi	A.8.24	Minimal – kontroller for kryptering findes
(i) HR-sikkerhed	A.6.1-A.6.8	Minimal – personalesikkerhed dækket
(j) Adgangskontrol og MFA	A.5.15-A.5.18, A.8.5	Minimal – MFA kan kræve oprustning
(k) Sikker kommunikation	A.8.20-A.8.22	Minimal – netværkssikkerhed dækket

Som tabellen viser, er de primære gaps ikke i de tekniske sikkerhedsforanstaltninger, men i compliance-processerne omkring rapportering, registrering og myndighedskontakt.

Hvornår skal du have hvad?

Scenarie 1: Du er omfattet af NIS2

Hvis din organisation falder inden for NIS2's anvendelsesområde, er NIS2 compliance obligatorisk. Der er ingen vej uden om. Vi anbefaler dog stærkt, at du bruger ISO 27001 som fundament:

Anbefalet tilgang:

Start med at implementere ISO 27001 framework (certificering er valgfrit)
Byg NIS2-specifikke krav ovenpå dette fundament
Etabler processer for hændelsesrapportering og myndighedskontakt
Registrer dig som NIS2-enhed hos myndighederne

Fordelen ved denne tilgang er, at du får et solidt, internationalt anerkendt sikkerhedssystem, som også gør dig klar til NIS2.

Scenarie 2: Du er IKKE omfattet af NIS2

Hvis din organisation ikke er omfattet af NIS2, er ISO 27001 stadig relevant, hvis:

Kunder eller partnere kræver det – Mange større virksomheder kræver ISO 27001 certificering af deres leverandører
Du vil demonstrere sikkerhed – Certificeringen viser troværdighed over for interessenter
Du vil forberede til eventuel NIS2 – Hvis din organisation vokser eller ændrer fokus, kan I blive omfattet senere

Vær dog opmærksom på, at selv om du ikke er direkte omfattet af NIS2, kan dine kunder være det. Dette betyder, at du som del af deres forsyningskæde kan blive underlagt krav om dokumentation af din sikkerhed.

Scenarie 3: Du er allerede ISO 27001 certificeret

Hvis din organisation allerede er ISO 27001 certificeret og bliver omfattet af NIS2, er du i en god position. Du skal blot:

Identificer gaps – Gennemgå mapping-tabellen ovenfor
Implementer hændelsesrapportering – Etabler processer for 24h/72h/30d rapportering
Registrer som NIS2-enhed – Kontakt relevante myndigheder
Dokumenter ledelsesansvar – Sikr at ledelsen forstår deres personlige ansvar
Opdater leverandørvurderinger – Styrk forsyningskædesikkerheden hvor nødvendigt

Den gode nyhed er, at meget af arbejdet allerede er gjort gennem jeres ISO 27001 compliance.

Scenarie 4: Du starter fra scratch

Hvis I skal starte fra bunden med både NIS2 og informationssikkerhed, anbefaler vi:

Brug ISO 27001 som framework – Selv hvis certificering ikke er målet
Inkluder NIS2-krav fra starten – Undgå dobbeltarbejde senere
Brug integreret management system – Ét system til begge frameworks
Prioriter kritiske områder først – Start med risikovurdering og grundlæggende kontroller

Denne tilgang giver jer mest værdi for pengene og undgår, at I skal lave arbejdet to gange.

Praktisk tilgang: ISO 27001 som fundament for NIS2

Her er en praktisk fremgangsmåde til at bruge ISO 27001 som fundament for NIS2 compliance:

Trin 1: Implementer ISO 27001 ISMS

Start med at etablere et informationssikkerhedsstyringssystem baseret på ISO 27001:

Lav en omfattende risikovurdering af jeres informationsaktiver
Udvikl sikkerhedspolitikker og procedurer
Implementer relevante kontroller fra Annex A baseret på jeres risici
Etabler processer for intern audit og løbende forbedring

Dette giver jer en solid ramme for sikkerhedsstyring, uanset om I vælger at gå efter certificering eller ej.

Trin 2: Identificer NIS2 gaps

Brug mapping-tabellen tidligere i denne artikel til at identificere, hvor ISO 27001 ikke fuldt ud dækker NIS2's krav:

Hændelsesrapportering – Mangler I processer for myndighedsrapportering?
Registrering – Er I registreret som NIS2-enhed?
Ledelsesansvar – Er ledelsen fuldt informeret om deres personlige ansvar?
Forsyningskæde – Lever jeres leverandørvurderinger op til NIS2's krav?

Trin 3: Udfyld gaps

Implementer de manglende elementer:

Etabler konkrete processer for hændelsesrapportering med tidsfrister (24h/72h/30d)
Registrer jer hos relevante nationale myndigheder
Dokumenter ledelsens forståelse og accept af ansvar
Opdater databehandleraftaler og leverandørkontrakter til at inkludere NIS2-krav
Etablér kontaktpunkt til CSIRT og nationale cybersikkerhedsmyndigheder

Trin 4: Vedligehold begge

Drift et integreret management system, hvor begge frameworks vedligeholdes sammen:

Brug samme platform til dokumentation og opgavestyring
Koordiner interne audits til at dække begge frameworks
Opdater risiko- og compliance-vurderinger løbende
Sikr at træning dækker både ISO 27001 og NIS2 krav

Denne integrerede tilgang sikrer, at I får maksimal værdi ud af jeres compliance-indsats uden unødvendigt dobbeltarbejde.

ENISA's Mapping: Officiel vejledning

Det Europæiske Agentur for Netværks- og Informationssikkerhed (ENISA) har udgivet officiel vejledning om sammenhængen mellem NIS2 og ISO 27001. ENISA bekræfter, at ISO 27001 er et stærkt udgangspunkt for NIS2 compliance.

ENISA anbefaler specifikt at bruge ISO 27001:2022 (den nyeste version) frem for ISO 27001:2013, da den opdaterede standard har bedre alignment med moderne cybersikkerhedstrusler og krav.

Du kan finde ENISA's ressourcer og vejledning på www.enisa.europa.eu, hvor der løbende udgives opdateret materiale om NIS2 implementering.

Hvad anbefaler vi?

Baseret på vores erfaring med hundredvis af organisationer, der arbejder med compliance, er her vores anbefalinger:

For virksomheder omfattet af NIS2:

Start med ISO 27001 – Brug det som framework, også selv om certificering ikke er påkrævet
Overvej certificering – Det giver troværdighed og letter dokumentation af compliance
Tilføj NIS2-specifikke krav – Fokuser på gaps omkring rapportering og registrering
Brug ét integreret system – Undgå dobbelt dokumentation og administration

For virksomheder IKKE omfattet af NIS2:

Vurder forretningsbehov – Er ISO 27001 relevant for jeres kunder og marked?
Vær opmærksom på forsyningskæden – Jeres kunder kan være omfattet og stille krav til jer
Start simpelt – Implementer grundlæggende informationssikkerhed og skaler op efter behov
Forbered på fremtiden – Jeres organisation kan vokse ind i NIS2's anvendelsesområde

Det vigtigste budskab er: Uanset om I er omfattet af NIS2 eller ej, giver en struktureret tilgang til informationssikkerhed værdi for organisationen. ISO 27001 giver jer dette framework, og hvis NIS2 bliver relevant, er arbejdet allerede halvt gjort.

Hvordan .legal hjælper med begge frameworks

Hos .legal har vi udviklet en platform, der specifikt håndterer både NIS2 og ISO 27001 i ét integreret system. Vores Frameworks-modul giver jer:

Pre-built frameworks med komplet mapping mellem NIS2 og ISO 27001
Automatisk tracking af overlap, så I ikke dokumenterer det samme to gange
Integreret opgavestyring med årshjul for begge frameworks
Rapportering til både ledelse, interne audits og myndighedsrapportering
Leverandørstyring der opfylder både ISO 27001 og NIS2's krav

Med .legal får I overblik over jeres compliance-status på tværs af frameworks og kan fokusere på det faktiske sikkerhedsarbejde i stedet for dokumentationsadministration.

Se hvordan vi håndterer NIS2 og ISO 27001 eller book en demo for at se platformen i aktion.

Ofte stillede spørgsmål om NIS2 vs ISO27001

Kan jeg blive NIS2-compliant uden ISO 27001?

Ja, ISO 27001 er ikke et formelt krav for NIS2 compliance. Du kan implementere NIS2's krav direkte uden at bruge ISO 27001 som framework. Men i praksis vil de fleste organisationer finde det lettere og mere effektivt at bruge ISO 27001 som fundament, da meget af arbejdet overlapper. Uden en struktureret tilgang som ISO 27001 risikerer du at misse sammenhænge og skabe huller i din sikkerhed.

Giver ISO 27001 certificering automatisk NIS2 compliance?

Nej, ISO 27001 certificering alene giver ikke automatisk NIS2 compliance. Der er vigtige gaps, især omkring hændelsesrapportering til myndigheder, registrering som NIS2-enhed og specifikke tidsfrister. ISO 27001 dækker dog 70-80% af kravene, så certificering bringer dig langt på vejen. Du skal blot tilføje de NIS2-specifikke elementer for at være fuldt compliant.

Hvilken skal jeg starte med?

Hvis du er omfattet af NIS2, er compliance obligatorisk, så det er ikke et valg. Men vi anbefaler stærkt at starte med at implementere ISO 27001 framework først. Dette giver dig en solid base af sikkerhedspolitikker, processer og kontroller. Derefter kan du tilføje de NIS2-specifikke elementer ovenpå. Denne tilgang giver mest værdi og undgår dobbeltarbejde.

Kræver NIS2 certificering ligesom ISO 27001?

Nej, NIS2 kræver ikke certificering. NIS2 er lovgivning, ikke en certificerbar standard. Du skal demonstrere compliance over for nationale myndigheder gennem dokumentation og eventuelle inspektioner, men der er ingen tredjepartscertificering involveret. ISO 27001 certificering kan dog hjælpe med at dokumentere din compliance over for myndighederne.

Hvor meget overlap er der mellem kravene?

Cirka 70-80% af NIS2's sikkerhedskrav overlapper med ISO 27001. De primære forskelle ligger i compliance-processerne (registrering, rapportering til myndigheder, specifikke tidsfrister) snarere end i de tekniske sikkerhedsforanstaltninger. Hvis du har implementeret ISO 27001 korrekt, har du allerede den største del af NIS2's sikkerhedskrav på plads.

Hvad koster det at have begge?

Hvis du starter med ISO 27001 først og derefter tilføjer NIS2, er marginalomkostningerne for NIS2 betydeligt lavere end at implementere dem separat. Estimeret kan du spare 30-50% af den samlede implementeringsomkostning ved at bruge en integreret tilgang. For en typisk mellemstor virksomhed kan den samlede investering ligge på 150.000-700.000 kr for initial implementering.

Skal min ledelse også personligt hæfte for ISO 27001?

Nej, ISO 27001 kræver ikke personligt ledelsesansvar på samme måde som NIS2. Ved ISO 27001 skal ledelsen demonstrere engagement og tage ansvar for ISMS'et, men der er ingen personlige sanktioner forbundet med manglende compliance. NIS2 derimod kan indebære personligt ansvar for ledelsen.

Kan jeg bruge samme software til begge frameworks?

Ja, og det anbefales stærkt. Moderne GRC-platforme som .legal er bygget til at håndtere flere compliance-frameworks i ét integreret system. Dette giver dig mulighed for at genbruge dokumentation, dele opgaver på tværs af frameworks og få et samlet overblik over din compliance-status.

Se vores Frameworks-modul

Hvad sker der hvis jeg ignorerer NIS2, men har ISO 27001?

Hvis din organisation er omfattet af NIS2, er compliance obligatorisk. ISO 27001 certificering fritager dig ikke fra NIS2's krav. Manglende NIS2 compliance kan medføre betydelige bøder (op til €10 millioner eller 2% af global omsætning for væsentlige enheder) samt personlige sanktioner for ledelsen.

Er ISO 27001:2013 godt nok, eller skal det være 2022-versionen?

ENISA anbefaler specifikt ISO 27001:2022 (den nyeste version) til NIS2 compliance. 2022-versionen har bedre alignment med moderne cybersikkerhedstrusler og indeholder opdaterede kontroller, der bedre matcher NIS2's krav. Nye implementeringer bør altid bruge 2022-versionen.