Ny lov om digital identitetstegnebog, skærpede regler for PNR-data og cybersikkerhed i kritisk infrastruktur præger de nyeste opdateringer inden for IT-ret og digital forvaltning.
Digitaliseringen af den danske forvaltning får nu et tydeligere juridisk “operativsystem” med nye rammer for identitet, datastrømme, cybersikkerhed og borgernes frister.
De seneste initiativer peger mod mere standardisering, mere kontrol og flere tekniske pligter i den offentlige sektors IT-landskab.
Nye Lovkrav til Digital Identitet og Styrket Cybersikkerhed i Den Offentlige Sektor
De nyeste opdateringer i IT-ret kredser om et centralt spørgsmål, som i stigende grad bestemmer både forvaltningsretlig praksis og teknisk arkitektur: Hvordan gør vi digital kontakt med staten sikker, skalerbar og lovlig — uden at miste proportionalitet og retssikkerhed undervejs?
Det ses i en tydelig “pakke” af tiltag fra slutningen af februar 2026 og begyndelsen af marts 2026, hvor Digitaliseringsministeriet, Justitsministeriet, Miljø- og Ligestillingsministeriet, Erhvervsministeriet samt Børne- og Undervisningsministeriet hver især flytter konkrete brikker i den digitale forvaltning.
Overblik over ugens væsentligste IT-retlige bevægelser
| Område | Juridisk greb | Praktisk konsekvens for myndigheder og leverandører | Dato |
|---|---|---|---|
| Digital identitet | Ny national tegnebogsinfrastruktur | Nye integrations- og ansvarsgrænser for digitale beviser | 25. februar 2026 |
| Passagerdata | Strammere PNR-rammer | Mere målretning, kortere standardopbevaring, mere kontrol | 26. februar 2026 |
| Kritisk infrastruktur | Vandsektorberedskab | Beredskabsplaner og sikkerhedsforanstaltninger også for mindre enheder | 27. februar 2026 |
| Finansiel cybersikkerhed | IT-risikostyring kobles til NIS2 og DORA | Flere governance- og kontrolkrav, også via leverandørkæder | 25. februar 2026 |
| Skole-IT | Indholdsfiltrering og mobilpolitik | Tekniske filtreringsløsninger, lokale undtagelser, driftsstyring | 27. februar 2026 |
| Digital forvaltningsret | Klagefrister og Digital Post | Skarpere fristregler “i døgndrift” og dokumentationskrav | 3. marts 2026 |
Digital identitet som forvaltningsinfrastruktur
Lov om den nationale digitale identitetstegnebog etablerer en statslig, teknisk infrastruktur med tre komponenter, som tilsammen får karakter af en ny grundmotor i digital forvaltning: tegnebogsapplikation, bevisudstedelsesservice og modtagerpartregister. Lovens kerne er ikke alene at give borgere en app, men at skabe en standardiseret model for udstedelse og modtagelse af digitale beviser med klare roller, herunder “autentiske kilder” som grundlag for attributter, og et register for modtagere, der skal skabe gennemsigtighed, når beviser deles til juridiske enheder. Digitaliseringsstyrelsen får en central drifts- og forvaltningsrolle, samtidig med at loven eksplicit lægger vægt på privatliv og databeskyttelse gennem design samt brugerens enekontrol over sin tegnebog. I praksis bør offentlige myndigheder allerede nu læse loven som en integrationsopgave, hvor identitets- og attributdata skal tænkes mere modulært, og hvor efterlevelse kommer til at handle om både tekniske krav, afgørelsesgange ved spærring og fordeling af dataansvar på tværs af økosystemet. (digst.dk)
Læs mere her: Lovguiden – Lov om den nationale digitale identitetstegnebog
PNR-data fra masseindsamling til målretning og kontrol
Ændringerne i PNR-loven er et klassisk eksempel på, hvordan EU-retlige grundrettighedskrav “slår igennem” som konkrete IT-retlige designkrav til nationale systemer. Lovforslaget sigter mod at bringe danske regler i overensstemmelse med EU-Domstolens praksis om proportionalitet og nødvendighed ved passagerdata, herunder et skarpere skel mellem flyvninger inden for EU og uden for EU, en markant kortere standardopbevaring og et generelt løft i kontrolniveauet ved videregivelse — med retskendelse som udgangspunkt og kun snævre hasteundtagelser. Samtidig introduceres et dobbeltspor ved at etablere en særskilt adgangs- og datamodel for efterretningstjenester, hvilket i praksis rejser væsentlige krav til logning, adgangsstyring, adskillelse af datamængder, slettepolitikker og dokumentation i de underliggende systemer. Datatilsynets internationale spor har i øvrigt peget på, at europæiske databeskyttelsesmyndigheder følger PNR-området tæt, også selv om Danmarks regler er nationale. (datatilsynet.dk)
Læs mere her: Lovguiden – Forslag til Lov om ændring af PNR-loven
Cybersikkerhed i vandsektoren som pligt også for de mindre aktører
Lovforslaget om beredskab i vandsektoren adresserer et velkendt hul i reguleringen af kritisk infrastruktur: at EU-rammer typisk rammer de største enheder, mens et decentraliseret dansk forsyningslandskab efterlader mange mindre forsyninger uden tilsvarende minimumskrav. Forslaget bemyndiger til krav om beredskabsplanlægning og konkrete sikkerhedsforanstaltninger for både drikkevand og spildevand, og kobler dermed klassisk beredskabsret sammen med IT-retlige styringskrav som adgangskontrol, nødstrømsplaner, procedurer for genopretning og (ikke mindst) forventning om systematisk arbejde med cyber- og hybridtrusler. Lovforslaget lægger også op til et regime, hvor myndigheder kan udmelde sektorberedskabsniveauer i krisesituationer, hvilket i praksis forudsætter, at forsyninger kan eskalere sikkerhedsdrift hurtigt og dokumenterbart. Det er en juridisk bevægelse, der ofte ender som meget konkrete krav i leverandørkontrakter, SOC-drift, hændelseshåndtering og revisionsspor. (mim.dk)
Læs mere her: Lovguiden – Forslag til Lov om ændring af lov om miljøbeskyttelse og lov om vandforsyning m.v.
Finanssektoren hvor IT-risiko bliver governance og ikke kun teknik
Det finansielle samlelovforslag rammer bredt, men IT-retligt er to spor særligt vigtige for den offentlige digitaliseringsdagsorden og dens leverandørmarked. For det første udbygges compliance-krav, herunder risikovurdering og kontroller, i et tempo der i praksis presser hele økosystemet af underleverandører, hosting, drift og udvikling. For det andet bliver relationen mellem NIS2 og den allerede gældende DORA mere håndgribelig i dansk ret gennem den måde, lovforslaget håndterer it-risikoregulering for specifikke finansielle aktører, herunder KommuneKredit. Når lovgivning flytter IT-sikkerhed fra “best practice” til bestyrelses- og ledelsesansvar med efterprøvelige kontrolkrav, bliver konsekvensen typisk en ny kontraktstandard for tredjepartsstyring, test, hændelsesrapportering og intern revision — også i projekter hvor det offentlige er kunde, dataleverandør eller modpart i betalings- og identitetsinfrastruktur. (lovguiden.dk)
Læs mere her: Lovguiden – Forslag til Lov om ændring af hvidvaskloven m.fl.
Indholdsfiltrering i skoler som IT-retlig driftsopgave
Forslaget om obligatorisk mobilfri politik og indholdsfiltrering flytter et spørgsmål, der ofte har været håndteret som pædagogik og lokal IT-drift, ind i et mere formaliseret pligtregime. Indholdsfiltrering på skolers og institutioners netværk betyder i praksis, at kommuner og institutioner skal kunne dokumentere et bevidst valg af filtreringsmodel, løbende kategorisering af “ikke-undervisningsrelevant” indhold samt håndtering af undtagelser, der både kan være saglige og nødvendige. Samtidig kræver mobilpolitikken lokale beslutninger, der kan skabe spænd mellem standardisering og de konkrete behov i undervisning og støtte, herunder teknologier anvendt af elever med funktionsnedsættelser eller sundhedsmæssige hensyn. IT-retligt lander dette typisk i fire konkrete spor: netværksarkitektur, adgangsstyring, ændringsstyring og klage- og dialogspor med forældre og elever, når blokering opleves som indgribende eller fejlrammende. (medieraadet.dk)
Læs mere her: Lovguiden – Forslag til Lov om ændring af lov om folkeskolen m.fl.
Klagefrister i en døgnåben forvaltning hvor Digital Post bliver startskuddet
Justitsministeriets nye vejledning om beregning af klagefrister rammer direkte ned i forvaltningsdigitaliseringens hverdag, hvor afgørelser og meddelelser ikke længere følger kontortid eller fysisk postlogik. Vejledningen tydeliggør, at digitale meddelelser bør regnes fra den dato, hvor de er tilgængelige i postløsningen, uanset tidspunkt på døgnet, og at rettidig digital klage på udløbsdagen som udgangspunkt handler om at være kommet frem senest kl. 23.59. Samtidig opdateres forståelsen af fysisk posts “fremkomst” i et marked, hvor leveringsmodeller og -tider ikke længere kan læses som en fast offentlig service, men må knyttes til postdistributørers vilkår og dokumentation. IT-retligt er vejledningen også et vink med en vognstang til myndigheder om at kunne dokumentere afsendelse og modtagelse digitalt, og til at gennemgå arbejdsgange ved fejlsendt klage, hvor korrekt klagevejledning ikke længere automatisk “redder” rettidigheden uden en konkret vurdering.
Læs mere her: Lovguiden – Vejledning om beregning af klagefrister
Det praktiske efterspil for myndigheder og leverandører
Når man lægger de seks initiativer oven på hinanden, tegner der sig et mønster, hvor IT-ret i stigende grad bliver driftsret og arkitekturret:
Kort sagt: Reglerne beskriver ikke kun, hvad der må gøres med data og systemer, men også hvordan løsninger skal bygges, styres og bevises i praksis.
Tre steder hvor organisationer typisk fejler først
-
Ansvarsplacering i datakæden
Hvem er dataansvarlig hvornår, hvem kan spærre hvad, og hvem bærer bevisbyrden ved fejl? -
Dokumentation der kan tåle tilsyn og klagesager
Logning, tidsstempler, adgangsbeslutninger, slettepolitikker og “hvorfor”-notater. -
Leverandørstyring som sikkerhedsstyring
Kontrakter, underdatabehandlere, ændringsprocesser, hændelsesforpligtelser og test.
En operationel tjekliste til marts 2026
-
Identitet og beviser
Kortlæg hvilke “beviser” jeres myndighed udsteder eller kontrollerer, og om de kan tænkes ind i en tegnebogsmodel uden at skabe nye dataminimeringsproblemer. -
Klagefrister og kommunikation
Gennemgå standardtekster i afgørelser, herunder klagevejledninger, og test dem mod digitale scenarier som weekendlevering, lukkedage og klageindgivelse tæt på midnat. -
Kritisk drift og beredskab
Hvis I er i forsyningskæden til vand- eller finanssektoren, så behandl beredskabskrav som et produktkrav, ikke et bilag. -
Skolefiltrering
Sørg for en klar governance-model for blokeringer og undtagelser, så fejlblokering ikke bliver en vedvarende konfliktsag mellem IT-drift og kerneopgaven.
