erhvervskontopris.dk

IT-sikkerhedspolitik for virksomheder

En IT-sikkerhedspolitik beskriver, hvordan din virksomhed beskytter data, systemer og netværk. GDPR kræver dokumenterede sikkerhedsforanstaltninger, og NIS2-direktivet (i kraft pr. 1. juli 2025) stiller yderligere krav for virksomheder i kritiske sektorer. I denne guide gennemgår vi kravene og det praktiske indhold.

Lovgrundlag

  • GDPR (artikel 32): Kræver "passende tekniske og organisatoriske foranstaltninger" for alle virksomheder, der behandler persondata
  • NIS2-loven (1. juli 2025): Implementerer EU-direktiv 2022/2555. Kræver ledelsesansvar, risikovurdering og hændelsesrapportering for virksomheder i kritiske sektorer
  • Databehandleraftale: Dine databehandlere skal også have passende sikkerhed

Hvad bør IT-sikkerhedspolitikken indeholde?

  • Adgangskontrol: Hvem har adgang til hvilke systemer, stærke passwords, to-faktor-autentificering
  • Kryptering: Kryptering af data i transit og i hvile
  • Backup: Regelmæssig backup med test af gendannelse
  • Incident response: Plan for håndtering af sikkerhedshændelser
  • Medarbejderuddannelse: Løbende træning i phishing, social engineering og sikker adfærd
  • Leverandørstyring: Vurdering af leverandørers sikkerhedsniveau
  • Logning og overvågning: Registrering af adgange og aktiviteter
  • Opdateringspolitik: Sikring af at software holdes opdateret

NIS2: Hvem er omfattet?

NIS2 omfatter mellemstore og store virksomheder i disse sektorer:

  • Væsentlige enheder: Energi, transport, sundhed, drikkevand, digital infrastruktur, bank/finans, offentlig forvaltning
  • Vigtige enheder: Post, affaldshåndtering, kemikalier, fødevarer, fremstilling, digitale udbydere, forskning

NIS2 kræver bl.a. hændelsesrapportering inden 24 timer (tidlig varsel) og 72 timer (fuld rapport). Topledelsen skal tage personligt ansvar for cybersikkerhed.

GDPR og cyberforsikring

En IT-sikkerhedspolitik er en forudsætning for GDPR-compliance og for at tegne en cyberforsikring. Forsikringsselskaber kræver typisk dokumenteret sikkerhedspolitik som betingelse for dækning.

Hjælp til IT-sikkerhedspolitik

Få professionel hjælp til at udarbejde en IT-sikkerhedspolitik, der opfylder GDPR og NIS2.

Kom i gang →

Relaterede sider

Databehandleraftale

GDPR-krav til databehandlere.

Cyberforsikring

Forsikring mod cyberangreb.

Erhvervsforsikring

Overblik over erhvervsforsikringer.

Ofte stillede spørgsmål om IT-sikkerhedspolitik

Skal min virksomhed have en IT-sikkerhedspolitik?
GDPR kræver "passende tekniske og organisatoriske foranstaltninger" for alle virksomheder, der behandler persondata. En IT-sikkerhedspolitik er den mest praktiske måde at dokumentere dette. NIS2-loven stiller yderligere krav for virksomheder i visse sektorer.
Hvad er NIS2?
NIS2 er et EU-direktiv (2022/2555) om cybersikkerhed, implementeret i dansk lov pr. 1. juli 2025. Det stiller krav om ledelsesansvar, risikovurdering, hændelsesrapportering og leverandørstyring for virksomheder i kritiske sektorer.
Er min virksomhed omfattet af NIS2?
NIS2 omfatter mellemstore og store virksomheder i kritiske sektorer: energi, transport, sundhed, finans, drikkevand, digital infrastruktur, fødevarer, fremstilling og digitale udbydere. De fleste SMV er ikke omfattet.
Hvad skal en IT-sikkerhedspolitik indeholde?
Minimum: adgangskontrol, kryptering, backup-plan, incident response-plan, medarbejderuddannelse, leverandørvurdering og logning/overvågning.

Senest opdateret: april 2026