Contact Us
NIS2 & overholdelse

NIS2 og SASE: overholdelse opfyldt med én platform

Den nationale implementering af NIS2-direktivet står over for at træde i kraft i Q2 2026. For virksomheder inden for logistik, fremstilling, forretningstjenester og andre udpegede sektorer er det ikke en fremtidig hypotese. Det er en konkret forpligtelse med personligt direktøransvar, indberetningsfrister og registreringskrav.

Det pragmatiske spørgsmål, enhver IT- og sikkerhedsansvarlig stiller lige nu, lyder: Hvordan opfylder vi de tekniske forpligtelser uden at lægge et separat overholdelsesprojekt oven på et i forvejen komplekst sikkerhedslandskab? Det svar, mange virksomheder når frem til, er SASE. Ikke fordi SASE sælges som et overholdelsesprodukt, men fordi de tekniske kapaciteter, NIS2 kræver, er præcis det, en moden SASE-platform leverer som standard.

Denne artikel forklarer, hvilke forpligtelser der gælder, hvordan SASE adresserer dem på teknisk niveau, og hvorfor en konvergeret platform som Cato Networks leverer overholdelse som biprodukt i stedet for som et separat arbejdsspor. For den bredere strategiske kontekst, se vores SASE-guide til internationale virksomheder.

Book en vurdering Se en demo
Cato Networks-ekspertise
Momentum EMEA-implementering
Hvad du lærer

Hvad du lærer i denne artikel

  • Om din virksomhed er omfattet af NIS2, og hvilke sektor- og størrelseskriterier der gælder.
  • De tre hovedforpligtelser i NIS2: omsorgspligt, indberetningspligt og registreringspligt.
  • Hvordan SASE dækker de tekniske NIS2-foranstaltninger, overholdelses-mappingen pr. krav.
  • Forsyningskædesikkerhed, den ofte glemte NIS2-forpligtelse, og hvordan SASE hjælper.
  • Et audit trail for alle forpligtelser, dokumenterbart over for tilsynsmyndigheder uden manuel rapportgenerering.

Denne artikel mapper NIS2-forpligtelser til SASE-kapaciteter, så du ser præcis, hvor overholdelse adresseres teknisk:

  1. Er din virksomhed omfattet af NIS2-implementeringen?
  2. De tre hovedforpligtelser i NIS2
  3. Hvordan SASE dækker de tekniske NIS2-foranstaltninger: overholdelses-mappingen
  4. Forsyningskædesikkerhed: den glemte NIS2-forpligtelse
  5. Dokumenterbart compliant: et audit trail for alle forpligtelser
  6. Momentum EMEA som NIS2-implementeringspartner
  7. Ofte stillede spørgsmål om NIS2 og SASE

Er din virksomhed omfattet af NIS2-implementeringen?

NIS2 gælder for to kategorier af virksomheder: væsentlige og vigtige enheder. Begge har lignende tekniske forpligtelser, hovedforskellen ligger i tilsynsniveauet og størrelsen af mulige bøder.

Væsentlige enheder omfatter sektorer som energi, transport, banker, sundhedsvæsen, drikkevand og digital infrastruktur. Vigtige enheder omfatter post- og kurértjenester, affaldshåndtering, producenter af kritiske produkter, digitale udbydere og forskningsorganisationer. For begge kategorier starter størrelsestærsklen typisk ved 50 medarbejdere og 10 millioner euro i årlig omsætning, med sektorspecifikke undtagelser.

En pragmatisk første kontrol: Hvis din virksomhed er kritisk for driften af væsentlige tjenester, beskæftiger mere end 50 medarbejdere og opererer på flere lokationer, falder du med stor sandsynlighed inden for anvendelsesområdet. Selv hvis du ikke er direkte i anvendelsesområdet, kan forsyningskædeforpligtelserne hos dine kunder reelt inddrage dig via kontraktlig videregivelse.

De tre hovedforpligtelser i NIS2

NIS2 pålægger væsentlige og vigtige enheder tre overordnede forpligtelser. At forstå dem er udgangspunktet for enhver teknisk overholdelsesstrategi.

Omsorgspligt. Virksomheden skal træffe passende tekniske og organisatoriske foranstaltninger til at håndtere cyberrisici. Direktivet opregner ti minimumskategorier, herunder hændelseshåndtering, forretningskontinuitet, forsyningskædesikkerhed, kryptering og adgangskontrol. Disse er ikke valgfrie, tilsynsmyndigheden forventer dokumentation.

Indberetningspligt. Væsentlige hændelser skal indberettes til den nationale tilsynsmyndighed inden for stramme frister: 24 timer for en tidlig advarsel, 72 timer for en hændelsesindberetning og en måned for en endelig rapport. Uret starter ved detektion, ikke ved inddæmning.

Registreringspligt. Virksomheden skal registrere sig hos den nationale myndighed. Registreringen omfatter udpegning af en kontaktperson, angivelse af relevante sektorer og levering af tekniske kontaktoplysninger.

Expert insight

"NIS2 er ikke et tooling-problem. De tekniske foranstaltninger, det kræver, adgangskontrol, logging, kryptering, overvågning, er ting som enhver moden SASE-platform leverer uden at tænke på NIS2. Den svære del er governance: Hvem ejer politikkerne, hvem underskriver audit trailet, hvem indberetter hændelsen inden for 24 timer. Det er der, den rette implementeringspartner gør forskellen."

Momentum EMEA, EMEAs ledende Cato Networks-implementeringspartner

Hvordan SASE dækker de tekniske NIS2-foranstaltninger: overholdelses-mappingen

Artikel 21 i NIS2 opregner ti kategorier af tekniske og organisatoriske foranstaltninger. Den interessante observation ved mapning til en moden SASE-platform som Cato er, at syv af de ti adresseres som standardkonfiguration.

Adgangskontrol og identitetsstyring. ZTNA på SASE-platformen leverer identitetsdrevet adgang efter mindst-privilegium-princippet med kontinuerlig verifikation. Hver adgangsbeslutning logges med bruger-, enheds-, applikations- og politikkontekst, præcis de beviser en revisor vil se.

Kryptering. Al trafik over SASE-backbonen er krypteret under overførsel. Single-pass-motoren dekrypterer kun inde i cloud-sikkerhedsstakken til inspektion og krypterer igen før videresendelse. Ingen klartekst-trafik passerer offentlig infrastruktur.

Logging og hændelsesdetektion. Platformens ensartede logging skaber ét audit trail, der dækker både netværks- og sikkerhedshændelser. Detektionsevner omfatter adfærdsmæssig anomalidetektion, threat intelligence-korrelation og AI-drevet analyse via Cato CTRL.

Forretningskontinuitet. Det indbyggede 4G/5G-backup i Cato Socket, kombineret med den globale private backbone, giver forbindelsesresiliens uden manuel failover.

Forsyningskædesikkerhed. Tredjepartsadgang via ZTNA er identitetsbundet og tidsbegrænset. Leverandører og entreprenører får præcis den adgang, de har brug for, så længe de har brug for den, fuldt logget.

De tre kategorier som SASE ikke direkte adresserer (governance, asset management, sikre udviklingspraksisser) kræver procesarbejde ved siden af platformen. Vi dokumenterer det i vores implementeringsguide Cato Networks implementering fra optagelse til live-netværk.

Forsyningskædesikkerhed: den glemte NIS2-forpligtelse

Artikel 21(2)(d) kræver eksplicit forsyningskædesikkerhed: sikring af relationerne med direkte leverandører og tjenesteudbydere. I praksis er det her, mange virksomheder kommer til kort. Den klassiske løsning, at give leverandører og entreprenører VPN-adgang, er præcis det, NIS2 tvinger til at blive genovervejet.

ZTNA på SASE-platformen ændrer det grundlæggende. Hver leverandørsession er identitetsbundet, begrænset til specifikke applikationer, tidsbegrænset og kontinuerligt logget. Posture checks på leverandørens enhed verificerer endpoint-hygiejne, før adgang gives. Tilbagekaldelse sker øjeblikkeligt: at lukke adgangen for en afrejst entreprenør er et klik i konsollen, ikke en firewall-regel-opdatering.

For virksomheder med dusinvis af tredjepartsadgangsrelationer er det forskellen mellem "vi har politikker" og "vi kan dokumentere, at politikkerne håndhæves". Det sidste forventer NIS2-tilsynsmyndigheder.

Dokumenterbart compliant: et audit trail for alle forpligtelser

Compliance-auditing handler ikke om at have den rette teknologi, det handler om at kunne bevise, at du anvender den. Den klassiske compliance-udfordring er, at beviserne ligger i tolv forskellige værktøjer (firewall-logs, VPN-logs, SIEM-hændelser, identity provider-audit trails og så videre), og at sammenstille en sammenhængende fortælling til en revisor kræver ugevis af manuelt arbejde.

Platformstilgangen vender det om. Al trafik flyder gennem Cato single-pass-motoren, alle beslutninger logges med fuld kontekst, alle hændelser flyder ind i ét datalag. En revisorforespørgsel, der tidligere krævede SQL over flere log-databaser, bliver til et konsolfilter. Rapporter der tidligere tog uger at producere, bliver standardeksporter.

Det er, hvad vi mener, når vi siger, at overholdelse bliver biprodukt af arkitekturen i stedet for et separat arbejdsspor.

Momentum EMEA som NIS2-implementeringspartner

Den tekniske platform er den ene halvdel af svaret, implementeringspartnerskabet er den anden. Som EMEAs ledende specialiserede Cato-implementeringspartner kombinerer Momentum EMEA carrier-neutral underlay (selve internetforbindelsen) og Cato SASE-overlay (sikkerhed og adgangskontrol) fra ét kontrakt, én SLA og ét team.

Specielt for NIS2-overholdelse betyder det én ansvarlig partner for det tekniske miljø, der producerer audit-beviserne. Vores kvartalsvise reviews omfatter compliance-postur-rapporter, vores incident response-procedurer er tilpasset NIS2's 24/72-timers indberetningsfrister.

Videre læsning

Dybdegående guider i denne klynge

SASE-guide

SASE-guide

Læs artiklen →

Hvad er SASE

Hvad er SASE

Læs artiklen →

Cato platform

Cato platform

Læs artiklen →

NIS2-håndhævelse starter Q2 2026. Er I klar?

Vores Cato-specialister gennemgår gerne jeres nuværende arkitektur og viser præcis, hvilke NIS2-forpligtelser der er adresseret, og hvor hullerne ligger. På 30 minutter har I et konkret billede af jeres overholdelsesposition og den hurtigste vej til dokumenterbar overholdelse.

Book en vurdering Se en demo

Eller ring direkte: +31 20 226 1500. Momentum EMEA, Ede

Ofte stillede spørgsmål

Ofte stillede spørgsmål om NIS2 og SASE

Hvornår træder NIS2-implementeringen i kraft?

Den nationale implementering af NIS2 står over for at træde i kraft i Q2 2026. Fra den dato kan tilsynsmyndigheder undersøge og udstede bøder. I praksis bør virksomheder være teknisk klar et stykke tid før denne dato, da auditcyklusser tager tid.

Er min virksomhed omfattet af NIS2?

Hvis I opererer i en af de væsentlige eller vigtige sektorer (energi, transport, sundhedsvæsen, vand, digital infrastruktur, producenter af kritiske produkter osv.) med mere end 50 medarbejdere og over 10 millioner euro i årlig omsætning, falder I med stor sandsynlighed inden for anvendelsesområdet. Også uden for det direkte anvendelsesområde kan forsyningskædeforpligtelser fra kunder i anvendelsesområdet inddrage jer.

Hvilke NIS2-forpligtelser dækker SASE?

SASE adresserer adgangskontrol, kryptering under overførsel, logging, hændelsesdetektion, forretningskontinuitet og forsyningskædesikkerhed som standardkonfiguration. Tre kategorier (governance, asset management, sikker udvikling) kræver procesarbejde ved siden af platformen.

Hvad er forskellen mellem NIS2 og GDPR?

GDPR regulerer behandling af personoplysninger, NIS2 regulerer cybersikkerheden i netværks- og informationssystemer for væsentlige og vigtige enheder. De overlapper i tekniske foranstaltninger (adgangskontrol, kryptering, logging), men anvendelsesområde og tilsynsregime er forskellige. De fleste virksomheder skal overholde begge.

Hvor hurtigt skal vi indberette en hændelse under NIS2?

NIS2 pålægger et tretrins ur: 24 timer for en tidlig advarsel, 72 timer for en hændelsesindberetning med detaljer og en måned for en endelig rapport. Uret starter ved detektion, ikke ved inddæmning. I praksis betyder det, at automatiseret detektion og et klart incident response-arbejdsforløb er obligatorisk.

Hvordan understøtter Momentum EMEA NIS2-overholdelse?

Som EMEAs ledende specialiserede Cato-implementeringspartner leverer vi det tekniske miljø, der producerer NIS2-audit-beviserne. Kvartalsvise compliance-postur-reviews, tilpasning til 24/72-timers indberetningsuret og én ansvarlig kontaktperson for det tekniske miljø.