NIS2 er ikke et IT-problem
NIS2 rådgivning til CEO i mellemstore danske virksomheder.
Cybersikkerhed er blevet et ledelsesansvar, og jeg hjælper dig med at omsætte det til konkrete beslutninger.
Kort fortalt
Beata Kaminski er senior cybersikkerhedsrådgiver med over 20 års erfaring fra både konsulentside og som intern sikkerhedsansvarlig. Hun arbejder med CEO i mellemstore danske virksomheder, der er omfattet af NIS2-loven og ikke har en intern CISO eller GRC-afdeling.
Beatas NIS2 rådgivning til CEO er baseret på et abonnementsforløb, som koster 33.000 kr om måneden ekskl. moms, eller 330.000 kr om året med 66.000 kr besparelse. Forløbet er baseret på et struktureret og kontinuerligt samarbejde med konkrete leverancer hver måned samt risikobaseret styring og opfølgning.
NIS2-loven (lov nr. 434 af 6. maj 2025) trådte i kraft 1. juli 2025 i Danmark. Loven kræver, at ledelsen godkender cybersikkerhedsforanstaltninger og kan ved grov uagtsomhed eller forsætlige overtrædelser holdes personligt ansvarlig. Bøder kan udgøre op til 10 mio. euro eller 2 procent af virksomhedens globale omsætning.
Ledelsesansvar for cybersikkerhed er ikke nyt
NIS2-loven har gjort cybersikkerhed til et eksplicit ledelsesansvar. Men ansvaret har altid været der.
Selskabsloven § 115 stk. 2 har længe pålagt bestyrelsen at sikre, at der er etableret de fornødne procedurer for risikostyring og interne kontroller. Virksomhedens risici er ledelsens ansvar. Cyber er virksomhedens risici. NIS2 gør nu eksplicit det, som selskabsloven har krævet hele tiden.
“Virksomhedens risici er ledelsens ansvar. Cyber risici er virksomhedens risici.”
NIS2-loven (lov nr. 434 af 6. maj 2025) trådte i kraft 1. juli 2025 i Danmark og omfatter omkring 1.500 til 5.000 danske virksomheder ifølge analyser fra advokatfirmaer som Kromann Reumert. De fleste af disse virksomheder er mellemstore og har ikke en intern CISO.
Det nye med NIS2 er dokumentationskravene. Du skal kunne vise tilsynet, at du har taget ansvaret alvorligt, prioriteret arbejdet, og kunne forklare beslutningerne.
Du behøver ikke blive teknisk ekspert. Du skal kunne forstå og forklare virksomhedens cybersikkerhedssituation på et niveau, der svarer til det, du kan om økonomi, drift og personale.
Du har sandsynligvis allerede prøvet noget af det her
Måske har du været til et gratis afklarende møde hos t stort revisionshus eller advokatkontor. Du gik derfra med en fornemmelse af, at problemet var større, end du troede, og en mistanke om, at det næste skridt ville koste seks-cifrede beløb.
Måske har du læst nogle vejledninger på internettet. De er grundige. De er også skrevet til personer, der allerede kender lovkravene, standarderne og de fagspecifikke udtryk, men ikke til en, hvis primære beskæftigelse er at drive en forretning.
Måske har du fået et tilbud fra et konsulenthus. Det var professionelt. Du fik en omfattende analyse og strategi, men intet om, hvad du helt konkret skal gøre i din forretning mandag morgen.
Måske har du talt med din IT-afdeling. De foreslog nye værktøjer og produkter. Det er sjældent svaret på et ledelsesproblem.
Min tilgang til NIS2 rådgivning for CEO
Min NIS2 rådgivning hjælper dig som CEO med at omsætte ledelsesansvaret til konkrete beslutninger, du kan stå inde for.
Med abonnementsmodellen bygger vi fundamentet sammen, lag for lag. Du betaler en fast månedlig pris. Du får konkrete leverancer hver måned. Din virksomhed står tilbage med en struktur, der er forankret hos dine egne folk.
Fast pris
33.000 kr/md ekskl. moms. Ingen overraskelser, ingen stigende regning baseret på timer.
Vi bygger sammen
Dine medarbejdere er involveret fra dag ét. Viden og ejerskab bliver i din virksomhed.
Konkrete leverancer
Hver måned afleverer vi noget konkret. Politikker, processer, dokumentation.
Forretning først, teknik bagefter
Jeg har udviklet Digital Business Foundation modellen som en visuel måde at illustrere, hvordan NIS2-kravene hænger sammen og bygger på hinanden. Modellen gør det nemmere at se, hvor du står, hvad det næste skridt er, og hvordan hver indsats giver mening i den større sammenhæng.
Modellen har syv lag, hvor hvert lag er afhængig af det forrige. Når du ved, hvilke forretningsprocesser der er kritiske, kan du vurdere, hvor de største risici ligger. Når du har overblik over risici, kan du prioritere, hvor indsatsen skal lægges. Når du har prioriteret, kan du beslutte, hvilke tekniske kontroller der er nødvendige og hvor.
Sammenhængen mellem ledelse, drift og teknik bliver tydelig, og hver indsats, du laver, bygger naturligt videre på det forrige skridt.
De syv lag er det du skal kunne svare på, hvis tilsynet eller bestyrelsen spørger.
Læs mere på siden om abonnementsforløb
Hvad betyder det for dig som CEO
Min NIS2 rådgivning til CEO giver dig en struktur og viden, du kan træffe beslutninger ud fra. Hvad er kritisk for din virksomhed? Hvilke risici accepterer du? Hvor investerer du ressourcerne? Strukturen gør disse spørgsmål nemmere at svare på, og dokumentationen følger med naturligt.
Ifølge Dansk Erhvervs analyser fra 2026 mangler næsten halvdelen af danske virksomheder en beredskabsplan, selvom de frygter cyberangreb og strømnedbrud. Strukturen sikrer at du ikke står i samme situation.
Overblik
Du ved, hvad der er kritisk i din virksomhed, og du kan forklare hvorfor.
Prioritering
Du kan begrunde overfor bestyrelsen, hvad der gøres først og hvorfor.
Bestyrelsesdialog
Du kan forklare status i et sprog, ledelsen forstår, uden tekniske udtryk.
Dokumentation
Når tilsynet spørger, har du et papirspor, der viser beslutninger og fremdrift.
Find mere information om min NIS2 rådgivning på abonnementsforløb siden.
Spørgsmål jeg ofte får
Hvorfor er en model nødvendig for at arbejde med NIS2?
NIS2 stiller 10 minimumskrav, men loven fortæller dig ikke hvilken rækkefølge du skal tage dem i, eller hvordan de hænger sammen. Mange virksomheder kaster sig over enkeltdele – køber en GRC-platform, laver en risikoanalyse, sender medarbejdere på kursus. Det skaber aktiviteter, der ikke rammer målet, fordi de mangler en sammenhængende ramme. Min model, Digital Business Foundation, sikrer at hver indsats bygger på den forrige. Du afklarer først hvad der er kritisk, så prioriterer du, så implementerer du. Uden den struktur ender du med dokumentation, der ikke kan forsvares overfor tilsynet eller bestyrelsen.
Hvad gør dig anderledes end de store konsulenthuse?
Tre ting. For det første betaler du en fast månedlig pris på 33.000 kr. Du får ikke en stigende regning baseret på timer, hvor en senior konsulent fra et stort hus kan koste 2.500-3.000 kr i timen. For det andet bygger vi sammen, ikke for dig. Det betyder at viden og ejerskab bliver i din virksomhed, ikke hos mig. For det tredje har jeg selv leveret modenhedsanalyser for store konsulenthuse. Jeg kender den model. Jeg har valgt at arbejde anderledes, fordi den klassiske projekt-model fungerer dårligt for mellemstore virksomheder uden intern CISO.
Kan jeg ikke bare købe en GRC-platform?
Det kan du. GRC-platforme er nyttige værktøjer, der strukturerer dine politikker og holder styr på dine kontroller. Hvis du allerede har modenheden til at vide hvad du skal lægge ind i platformen, kan de spare tid. Problemet er at platformen ikke ved hvordan din virksomhed fungerer. Den giver dig skabeloner og struktur, men ikke svaret på hvad du skal skrive i skabelonerne. Når al din NIS2-dokumentation bor i platformen, bliver den også en kritisk leverandør. Mit arbejde bygger fundamentet i din egen virksomhed, så viden og dokumentation lever hos dig.
Hvis mine medarbejdere udfører arbejdet, hvad får jeg så for pengene?
Du betaler for strukturen, ekspertisen og fremdriften. Min rolle er at bringe skabelonerne, politikteksterne og guidelines. Jeg sikrer at det vi bygger, lever op til NIS2, ISO 27001 og NIST CSF. Jeg guider dine medarbejdere igennem hvert lag og holder fremdriften. Du betaler for at undgå at ansætte en intern CISO til 1,2 mio. kr om året, eller at hyre et stort konsulenthus til 500.000+ kr for en implementering. Du betaler for at få cybersikkerhed integreret i din virksomheds drift, ikke som et separat projekt.
Hvad får mine kunder ud af at jeg arbejder med NIS2?
Det er den oversete del af NIS2. Kunder der selv er omfattet skal vurdere sikkerheden hos deres leverandører. Hvis du leverer til kritiske virksomheder, vil du blive bedt om at dokumentere dit sikkerhedsniveau. Selvom du ikke er direkte omfattet af NIS2, bliver du presset til at have orden i sagerne. Når du har et fundament på plads, kan du svare på kundernes sikkerhedsspørgsmål uden at skulle bygge dokumentationen fra bunden hver gang. Det bliver en konkurrencefordel, ikke en byrde.
Hvordan ved jeg, om indsatsen er tilstrækkelig?
Det måler vi sammen hver måned med en modenhedsmåling baseret på ISO 27001 og NIST CSF. Vi starter med en baseline og følger udviklingen lag for lag. Modenhed er ikke noget du slår op som en kontakt. Det vokser i organisationen over tid, fordi processerne bliver brugt og dokumentationen bliver opdateret. Efter et år har du et fundament på plads, der dækker NIS2-kravene. Du ser fremgangen sort på hvidt. Bestyrelsen ser den også.
Hvis tilsynet ringer i morgen, kan jeg så forklare hvad vi har gjort?
Det er en af de mest stillede bekymringer hos CEOs i NIS2-omfattede virksomheder. Når du har arbejdet med min model, har du et papirspor for hver beslutning. Du har dokumenteret risikoanalyser, godkendte politikker, leverandørvurderinger, og ledelsens stillingtagen. Hvis tilsynet ringer, kan du fremvise det. Du står ikke med en mappe fyldt med konsulentrapporter, du ikke selv har været med til at lave. Du står med dokumentation, der er forankret i din egen virksomheds praksis, og som du selv kan forklare.
Hvad sker der, hvis jeg booker et møde?
Mødet er ikke en salgssamtale. Du får ikke en pris, en pakke eller et tilbud i slutningen, du ikke har bedt om. Vi taler om din virksomheds situation, og du går derfra med en vurdering af, om dit udgangspunkt for NIS2-arbejdet holder. Hvis det giver mening at fortsætte, taler vi om hvordan. Hvis ikke, har du fået et klarere billede af din situation og noget, du kan bruge i dit næste ledelsesmøde.
Hvad sker der, hvis samarbejdet stopper?
Du har strukturen, dokumentationen og kompetencerne hos dine egne folk. Det er hele pointen. Du kan fortsætte uden mig, eller fortsætte med en anden konsulent. Du er ikke låst fast. Det er forskellen mellem at bygge et fundament og leje en konsulent.
Har du flere spørgsmål om NIS2, ledelsesansvar eller hvordan vi arbejder sammen?
Næste skridt
Hvis du er CEO i en mellemstor dansk virksomhed, der står med NIS2-ansvaret og ikke ved, hvordan det skal omsættes til praksis, så book et 30-minutters møde.
Mødet er ikke en salgssamtale. Du får svar på, hvor din virksomhed står, og hvad du realistisk kan gøre med dine egne ressourcer. Hvis det giver mening at arbejde sammen, taler vi om hvordan. Hvis ikke, har du fået et klart billede af din situation.
Hvis det giver mening at fortsætte, taler vi om hvordan. Du kan også læse mere om min baggrund eller se priser først. Hvis ikke, har du fået et klarere billede af din situation. Du går derfra med noget, du kan bruge i dit næste ledelsesmøde.
Kilder: Lov nr. 434 af 6. maj 2025 om foranstaltninger til sikring af et højt cybersikkerhedsniveau, Selskabsloven § 115 stk. 2 (Bekendtgørelse af lov om aktie- og anpartsselskaber), Styrelsen for Samfundssikkerhed (samsik.dk), Dansk Erhvervs Cybersikkerhedsanalyse 2026, Kromann Reumert: ‘NIS2 i Danmark’ 2025.