27.04.2026 House of Control

Hvad er forskellen på NIS2 og ISO 27001?

NIS2-direktivet og ISO 27001 handler begge om risikostyring af cybersikkerhed. De nævnes ofte sammen, og mange mennesker tror, at de er det samme. Men det er de ikke.

NIS2 er et juridisk bindende EU-direktiv med krav om overholdelse og sanktioner. ISO 27001 er en international certificeringsstandard for ledelsessystemer for informationssikkerhed (ISMS). NIS2 er lovbestemt, og ISO 27001 er en frivillig ramme.

At forstå forskellen er afgørende for bestyrelser, compliance managers og risikomanagere.

En mand i blåt jakkesæt sidder med foldede hænder foran sin computer i et møde.

Opsummering: Forskellen mellem NIS2 og ISO 27001

NIS2 er et obligatorisk EU-direktiv, der medfører lovbestemte sikkerhedskrav og bøder. ISO 27001 er en frivillig, international certificeringsstandard for ledelsessystemer for informationssikkerhed. NIS2 fokuserer på lovkrav og ledelsesansvar, mens ISO 27001 giver en struktureret ramme for ledelse. Mange organisationer bruger ISO 27001 som et praktisk grundlag for at opfylde kravene i NIS2.

Er NIS2 det samme som ISO 27001?

Nej, det er det ikke. NIS2 og ISO 27001 deler de samme risikobaserede principper, men de er fundamentalt forskellige med hensyn til juridisk status, håndhævelse og formål.

Kategori	NIS2	ISO 27001
Juridisk status	EU-direktiv (obligatorisk for enheder, der er omfattet af direktivet)	Frivillig international standard
Status for håndhævelse	Lovgivningsmæssigt tilsyn og bøder	Certificeringsaudit af akkrediteret organ
Sanktioner	Administrative bøder og ledelsesansvar	Tab af certificering
Omfang	Kritiske og vigtige sektorer	Alle organisationer
Fokus på ledelse	Eksplicit ansvarlighed på bestyrelsesniveau	Ledelsessystemets struktur

NIS2 pålægger juridiske forpligtelser. ISO 27001 giver en struktureret ramme for styring af informationssikkerhed.

Læs mere: Hvorfor kontraktstyring er fundamentet for NIS2-overholdelse.

Hvad er NIS2?

NIS2 (direktiv (EU) 2022/2555) er EU's opdaterede cybersikkerhedsdirektiv. Det gælder for "væsentlige" og "vigtige" virksomheder i sektorer, der er kritiske for samfundet og den økonomiske stabilitet.

Vigtige karakteristika:

Juridisk bindende.
Underlagt regeringstilsyn.
Administrative bøder på op til 10 mio. euro eller 2 % af den globale omsætning.
Klar ansvarlighed for ledelsen.
Obligatorisk rapportering af hændelser.

NIS2 fokuserer på modstandsdygtighed, styring og risikokontrol i både interne systemer og forsyningskæder.

Hvad er ISO 27001?

ISO/IEC 27001 er en international standard for etablering, implementering, vedligeholdelse og forbedring af et ledelsessystem for informationssikkerhed (ISMS).

Vigtige funktioner:

Frivillig certificering.
Globalt anerkendt.
Risikobaseret ledelsesramme.
Kræver intern kontrol og dokumentation.
Regelmæssig ekstern certificeringsaudit.

ISO 27001 giver en struktureret metode til at identificere, vurdere og styre informationssikkerhedsrisici. Standarden pålægger ikke bøder, men certificeringen kan trækkes tilbage, hvis kravene ikke følges.

Er ISO 27001-certificering nok til at overholde NIS2?

Nej, det er det ikke. ISO 27001 stemmer godt overens med mange af kravene til risikostyring i NIS2 (artikel 21). Men certificering alene er ikke en garanti for overholdelse.

NIS2 indfører flere forpligtelser, bl.a:

Obligatorisk rapportering af hændelser inden for strenge tidsfrister.
Klart ledelsesansvar i henhold til artikel 20.
Krav til sikkerhed i forsyningskæden.
Tilsyn fra nationale myndigheder.

En virksomhed kan være ISO 27001-certificeret og stadig ikke opfylde de specifikke lovkrav i NIS2. Men et modent ledelsessystem for ISO 27001 giver ofte et stærkt strukturelt fundament.

NIS2 og ISO 27001: Hvad er forskellene i ledelsesansvar?

En af de vigtigste forskelle ligger i styringen.

Under NIS2.

Ledelsesorganer skal godkende cybersikkerhedsforanstaltninger.
Ledelsen kan holdes ansvarlig.
Myndigheder kan suspendere ledere (i henhold til national lovgivning).
Overvågning skal kunne påvises og dokumenteres.

Cybersikkerhed bliver et juridisk ansvar på bestyrelsesniveau.

Under ISO 27001

Topledelsen skal udvise aktivt ejerskab og lederskab.
Der skal etableres og vedligeholdes et ledelsessystem for informationssikkerhed (ISMS).
Ansvarsområder skal fordeles.
Løbende forbedringer skal dokumenteres.

ISO 27001 kræver, at ledelsen er involveret, men det fører ikke til juridisk ansvar eller bøder fra myndighederne. NIS2 løfter derfor ledelsens ansvar langt ud over, hvad der forventes i en certificering.

Hvad er forskellen mellem inspektion og audit?

Den måde, audits udføres på, er meget forskellig.

NIS2-tilsyn

Udføres af nationale tilsynsmyndigheder.
Kan omfatte inspektioner og håndhævelsesforanstaltninger.
Kan resultere i bøder eller påbud om korrigerende handlinger.
Fokuserer på overholdelse af lovgivningen og modstandsdygtighed.

ISO 27001-certificeringsaudits

Udføres af akkrediterede certificeringsorganer.
Periodiske overvågningsaudits.
Fokuserer på overholdelse af standarden.
Certificeringen kan trækkes tilbage, hvis kravene ikke opfyldes.

NIS2-audits har økonomiske og omdømmemæssige konsekvenser, der går ud over certificeringsstatus.

Hjælper ISO 27001 med at overholde NIS2?

Ja, når den implementeres effektivt. ISO 27001 giver:

Strukturerede processer til risikovurdering.
Dokumenterede sikkerhedsforanstaltninger.
Klar fordeling af ansvarsområder.
Mekanismer til løbende overvågning og forbedring.

Disse elementer stemmer godt overens med kravene i artikel 21. NIS2 kræver dog ekstra opmærksomhed på:

Lovpligtige rapporteringsprocedurer.
Nationale lovgivningsmæssige krav.
Formel bestyrelsesgodkendelse og -tilsyn.
Styring af forsyningskæden og kontraktmæssige krav.

I praksis fungerer ISO 27001 som grundlaget for din virksomhed, mens NIS2 definerer dit juridiske ansvar.

Hvilke organisationer har brug for NIS2, ISO 27001 - eller begge dele?

Svaret afhænger af den lovgivningsmæssige eksponering og de strategiske prioriteter.

Scenarie	NIS2 påkrævet	ISO 27001 anbefales
Operatør af kritisk infrastruktur	Ja, ofte ja	Ofte ja
Udbyder af ICT-tjenester	Ofte ja	Ofte ja
Privat SMV uden for anvendelsesområdet	Ofte nej	Valgfrit
Organisation, der søger internationalt tillidssignal	Nej (hvis uden for anvendelsesområdet)	Ja (hvis uden for anvendelsesområdet)

NIS2 er obligatorisk for organisationer, der er omfattet af direktivet. ISO 27001 bruges ofte til at vise kunder, partnere og myndigheder, at man har en struktureret sikkerhedsledelse.

Læs mere: NIS2-direktivets 24-timers-regel: Håndtering af krav til indberetning af hændelser.

Hvorfor vælger mange organisationer at bruge begge rammeværk?

Mange organisationer kombinerer dem, fordi: NIS2 definerer de juridiske forpligtelser.

ISO 27001 giver praktisk vejledning til implementering.
Certificering giver tillid og troværdighed på markedet.
Strukturerede systemer gør det lettere at være klar til audits.

Når governance, risikooversigter, kontrakter og hændelsesprocedurer håndteres på en struktureret og sporbar måde, bliver det betydeligt lettere at overholde kravene. Overlapningen er stor, men de juridiske konsekvenser er forskellige.

Ofte stillede spørgsmål om NIS2 og ISO 27001

Er ISO 27001 obligatorisk under NIS2?

Nej, det er den ikke. NIS2 kræver ikke ISO 27001-certificering. Men certificering kan hjælpe dig med at overholde kravene ved at give dig en struktureret ramme for risikostyring.

Kan en organisation overholde NIS2 uden ISO 27001?

Ja, det kan man godt. NIS2 stiller juridiske krav, men kræver ikke certificering. Overholdelse afhænger af, om man opfylder forpligtelserne i direktivet, ikke om man har et certifikat.

Forhindrer ISO 27001 NIS2-bøder?

Nej, det gør den ikke. Certificering fjerner ikke risikoen for sanktioner fra myndighederne. Myndighederne vurderer, om NIS2-kravene er blevet fulgt uanset certificeringer.

Er NIS2 mere omfattende end ISO 27001?

Ja, hvad angår det juridiske ansvar og myndighedernes opfølgning. ISO 27001 fokuserer på, hvordan man håndterer sikkerhed. NIS2 tilføjer krav til rapportering, overvågning og mulige sanktioner.

Nøglepunkter om NIS2 og ISO 27001

NIS2 er et obligatorisk EU-direktiv med krav om overholdelse og bøder.
ISO 27001 er en frivillig certificeringsstandard for ledelsessystemer for informationssikkerhed.
ISO 27001 understøtter struktureret risikostyring, men erstatter ikke overholdelse af NIS2.
NIS2 indfører klar ledelsesmæssig ansvarlighed og lovgivningsmæssigt tilsyn.
Organisationer vælger ofte at bruge begge rammer for at kombinere overholdelse af lovgivningen med struktureret ledelse.

Læs mere: NIS2-dokumentation: Hvad revisoren forventer.

Vigtig information: House of Control er en softwarevirksomhed. Vi leverer ikke konsulenttjenester i forbindelse med NIS2-overholdelse. At følge denne vejledning garanterer derfor ikke overholdelse af alle juridiske krav i NIS2. Indholdet i denne artikel er baseret på vores egen gennemgang af NIS2-kravene og vores erfaring med overholdelse af lovgivningen samt inspiration fra forskellige organisationer, der tilbyder rådgivningstjenester. Vi påtager os intet ansvar for manglende overholdelse af NIS2-kravene eller for konsekvenser som følge af brugen af denne vejledning.