NIS2, CER og baggrundstjek: Hvad kræver reglerne egentlig?
Både NIS2-direktivet og CER-direktivet trådte i kraft i Danmark den 1. juli 2025 og stiller begge konkrete krav om baggrundstjek af medarbejdere med adgang til kritiske systemer, anlæg og følsomme oplysninger. Sammen skaber de et fælles sikkerhedsgrundlag, men kravene varierer fra sektor til sektor. Tre sektorer – energi, finans og telekommunikation – er desuden omfattet af særskilt sektorspecifik lovgivning frem for den generelle NIS2-lov.
NIS2-direktivet
NIS2-direktivet kræver, at omfattede organisationer implementerer sikkerhedsprocedurer for medarbejdere, der håndterer følsomme eller kritiske data, herunder politikker for adgangsstyring. Direktivet omfatter både væsentlige og vigtige enheder inden for blandt andet transport, sundhed, digital infrastruktur, vandforsyning, fødevarer og offentlig administration.
Blandt de konkrete krav er:
- Baggrundstjek
- Styring af adgangsrettigheder
- Uddannelse og sikkerhedsbevidsthed
Hvis en organisation samtidig udpeges som en kritisk enhed efter CER-direktivet, er den automatisk også omfattet af NIS2-kravene.
CER-direktivet
CER-direktivet går et skridt videre, når det gælder personalesikkerhed. Organisationer skal identificere de medarbejdergrupper, der udfører kritiske funktioner, fastlægge deres adgang til bygninger og følsomme oplysninger samt etablere formelle procedurer for baggrundstjek – herunder definere hvilke medarbejdergrupper, der skal screenes.
Myndighederne har samtidig mulighed for at bistå med gennemførelse af baggrundstjek for bestemte funktioner.
Direktivet gælder for operatører af kritisk infrastruktur og deres leverandører på tværs af en lang række sektorer.
Sektorspecifik lovgivning
Energisektoren
Energisektoren er reguleret af Lov om styrket beredskab i energisektoren samt tilhørende bekendtgørelser, herunder Bekendtgørelse om sikkerhedsgodkendelse i energisektoren.
Reglerne omfatter blandt andet:
- El
- Gas
- Olie
- Fjernvarme
- Fjernkøling
- Brint
Et centralt krav er, at baggrundstjek skal være gennemført, før en sikkerhedsgodkendelse kan meddeles. Baggrundstjek er dermed en formel forudsætning – ikke blot en anbefalet sikkerhedsforanstaltning.
Telekommunikation
Telekommunikationssektoren er reguleret af Lov nr. 435 af 6. maj 2025 om sikkerhed og beredskab i telesektoren samt Bekendtgørelse nr. 963 om sikkerhedsgodkendelse af personer, som har funktioner inden for telesektoren.
Her kræves baggrundstjek af nøglepersoner i nærmere definerede funktioner. Virksomheder skal registreres hos den kompetente myndighed, mens SAMSIK (Styrelsen for Samfundssikkerhed) koordinerer det overordnede tilsyn.
Finance
Finanssektoren er reguleret af DORA (Digital Operational Resilience Act) og administreres gennem Finanstilsynet. Sektoren er underlagt egne regler, som fungerer uafhængigt af den generelle NIS2-lovgivning.
Læs mere om denne sektor
Vigtige implementeringsfrister
- 1. oktober 2025:
Virksomheder skal være registreret hos den relevante kompetente myndighed.
- 17. januar 2026:
Den nationale CER-strategi og den nationale risikovurdering skal være på plads.
- 17. juli 2026:
De kompetente myndigheder skal have udpeget de kritiske enheder.
Herefter har de udpegede organisationer:
- 9 måneder til at gennemføre en risikovurdering
- 10 måneder til at efterleve samtlige CER-krav.
En samlet tilgang til sikkerhed
En gennemgående pointe i både NIS2, CER og den sektorspecifikke lovgivning er behovet for en helhedsorienteret tilgang til sikkerhed.Baggrundstjek befinder sig i krydsfeltet mellem HR, fysisk sikkerhed og IT-sikkerhed. Hvis implementeringen sker i adskilte siloer, øges risikoen for sikkerhedshuller – huller, som både myndigheder og potentielle trusselsaktører vil kunne identificere og udnytte.
