NIS2 Krav og dokumentation
NIS2 er et EU-direktiv om cybersikkerhed. NIS2 stiller krav til ledelse, risikostyring, dokumentation og kontinuitet, men mange mellemstore virksomheder oplever, at lovkravene er svære at omsætte til en praktisk driftshverdag. Derfor har jeg hos Digital Business Foundation specialiseret mig i at hjælpe virksomheder og deres CEOs med at gøre NIS2 konkret, prioriteret og dokumenterbar, så arbejdet kan styres som en ledelsesopgave og ikke som et løst compliance-projekt. Det er især vigtigt for virksomheder, som enten er direkte omfattet eller bliver mødt af stadig skarpere krav fra kunder, bestyrelse og leverandørkæde.
NIS2 kræver mere end politikker og værktøjer; ledelsen skal kunne prioritere, godkende og følge op på sikkerhedsarbejdet
God dokumentation er ikke ekstra papirarbejde, men beviset for at virksomheden arbejder struktureret og ansvarligt
En brugbar model for NIS2-arbejdet skal hjælpe virksomheden med rækkefølge, ejerskab og konkrete leverancer over tid
Indholdsfortegnelse
Hvilke konkrete NIS2 krav gælder for mellemstore virksomheder i Danmark?
De konkrete NIS2-krav handler i praksis om, at virksomheden skal kunne styre cyberrisici, arbejde med passende sikkerhedsforanstaltninger og dokumentere, hvordan ledelsen følger op. For mellemstore virksomheder i Danmark betyder det typisk, at governance, risikovurdering, leverandørstyring, incidenthåndtering og kontinuitetsplanlægning skal være langt mere struktureret end før.
- Ledelsen skal kunne godkende og følge op på sikkerhedsarbejdet
- Risici skal vurderes og prioriteres systematisk
- Dokumentationen skal kunne vise, hvad virksomheden har besluttet og gennemført
- Leverandørkæden og afhængigheder skal tænkes ind i sikkerhedsarbejdet
- Hændelser og driftssikkerhed skal håndteres med klare roller og processer
For mange virksomheder virker kravene brede og uoverskuelige, men pointen er netop, at NIS2 ikke kun handler om teknik. Kravene rammer den måde, virksomheden organiserer ansvar, dokumenterer beslutninger og arbejder med robusthed i hverdagen. Hos Digital Business Foundation hjælper jeg derfor med at oversætte lovkravene til et forløb, hvor virksomheden ikke drukner i enkeltstående aktiviteter, men får en rækkefølge og et styrbart overblik. Det er vigtigt, fordi en mellemstor virksomhed sjældent kan løfte alt på én gang, og fordi værdien først opstår, når sikkerhed, drift og ledelsesansvar hænger sammen. I praksis vil virksomheden typisk skulle arbejde med politikker, roller, risikovurderinger, hændelsesberedskab, leverandørstyring og kontinuitet som sammenhængende elementer. Den nødvendige dokumentation skal samtidig være så konkret, at ledelsen kan bruge den aktivt og ikke kun lægge den i en mappe til senere. Når NIS2 bliver gjort praktisk, bliver det tydeligere, hvilke krav der er generelle, hvilke der er særligt kritiske for netop jeres forretning, og hvor virksomheden skal starte for at skabe reel fremdrift.
Digital Business Foundations 7-lags model
| Fokus | Strategisk formål | Konkret output for virksomheden |
|---|---|---|
| Lag 1 Forretningens forudsætninger | Formål, strategi og forretningsmodel. | Klart defineret udgangspunkt baseret på kerneforretningen og den strategiske retning. |
| Lag 2 Definition | Forretningskritiske processer, krav, roller og rammer | Politikrammer, dokumentationsstruktur samt klare ansvarslinjer mellem ledelse og nøglepersoner. |
| Lag 3 Afhængigheder | Interne og eksterne sammenhænge | Tydeligt overblik over kritiske processer, systemafhængigheder og kritiske leverandørrelationer. |
| Lag 4 Indsigt | Analyser og risikovurdering | Gennemførte risikovurderinger, trusselsbilleder og identificerede indsatsområder. |
| Lag 5 Beslutning | Beslutningsgrundlag, prioritering og planlægning | Prioriteret plan for indsatser, rækkefølge og ressourceallokering (beslutningsspor). |
| Lag 6 Gennemførelse | Beslutningsgrundlag, prioritering og planlægning | Beredskabsplaner, operationelle roller, eksekverede sikkerhedstiltag og organisatorisk forankring. |
| Lag 7 Ledelsesmæssig styring | Beslutningsgrundlag, prioritering og planlægning | Fast opfølgningsrytme, modenhedsmålinger og et opdateret prioriteringsgrundlag til ledelsen. |
Hos Digital Business Foundation gør jeg NIS2-kravene håndterbare ved at opdele dem i lag og beslutninger, så jeres virksomheds ledelse kan styre indsatsen trin for trin i stedet for at forsøge at løse alt på én gang. Kontakt mig for at høre mere eller book en uforpligtende og afklarende 30-minutters samtale, hvor vi ser på, hvor din virksomhed står, og hvad du realistisk kan gøre med dine egne ressourcer.
Hvordan omsætter vi lovens NIS2 krav til praksis akut?
Hvis der er brug for en akut indsats, skal virksomheden først skabe overblik over de mest kritiske risici, det eksisterende dokumentationsniveau og ledelsens aktuelle ansvar. Det er langt vigtigere at starte med de mest forretningskritiske huller end at købe flere værktøjer i blinde.
En akut omsætning af NIS2 til praksis kræver, at virksomheden ikke forveksler aktivitet med fremdrift. Mange begynder i det tekniske eller med indkøb af platforme, men uden klar prioritering bliver resultatet ofte dyrere og mere fragmenteret end nødvendigt. Hos Digital Business Foundation arbejder jeg som cybersikkerhedsrådgiver derfor med at få ledelsen og de centrale nøglepersoner omkring bordet tidligt, så virksomheden kan identificere, hvilke processer der er kritiske, hvilke kundekrav der presser mest, og hvilken dokumentation der mangler først. Herfra kan virksomheden tage fat på de områder, der både reducerer risiko og løfter styringen med det samme, eksempelvis ansvarslinjer, risikogennemgang, leverandørblik og beredskab. Akut betyder ikke forhastet; det betyder, at rækkefølgen skal være knivskarp, og at arbejdet skal give synlige resultater hurtigt. Når virksomheden får dokumenteret sine vigtigste beslutninger fra start, bliver det lettere at bygge videre uden at miste overblikket. Det giver også ledelsen en mere tryg platform at kommunikere fra over for bestyrelse, kunder og samarbejdspartnere. Derfor er den bedste akutte løsning som regel en struktureret opstart med klar prioritering, ikke en samling løsrevne tiltag.
Hvorfor er indkøbet af en GRC-platform ikke nok til at opfylde lovkravene?
En GRC-platform kan understøtte arbejdet, men den kan ikke i sig selv skabe ansvar, prioritering eller ledelsesforankring. Hvis virksomheden ikke ved, hvilke risici der er vigtigst, og hvem der skal stå for hvilke beslutninger, bliver platformen hurtigt et system uden reel styringsværdi.
Vi er underleverandør til en kritisk sektor – hvilke NIS2 krav gælder os?
Underleverandører kan blive mødt af skærpede krav, selv når de ikke er direkte reguleret på samme måde som deres kunder. Derfor bør virksomheden arbejde ud fra både egne risici og de dokumentationskrav, som større kunder kan stille i forsynings- og leverandørkæden.
Hvordan prioriterer ledelsen, hvilke tekniske kontroller der er nødvendige?
Ledelsen bør ikke vælge kontroller ud fra mode eller frygt, men ud fra forretningskritiske risici og dokumenterede behov. De tekniske indsatser giver mest værdi, når de hænger sammen med driften, leverandørbilledet og den dokumentation, virksomheden faktisk skal kunne stå på mål for.
Hvad kræver NIS2 af bestyrelsen i virksomheder i Danmark?
NIS2 skærper forventningen til, at bestyrelsen og den øverste ledelse tager cybersikkerhed alvorligt som en del af virksomhedens styring. Bestyrelsen skal ikke være teknisk specialist, men den skal kunne føre tilsyn, udfordre prioriteringer og sikre, at virksomheden arbejder dokumenterbart og ansvarligt.
- Bestyrelsen skal kunne stille de rigtige spørgsmål til risiko og modenhed
- Den skal sikre, at cybersikkerhed bliver fulgt op som ledelsesdisciplin
- Den skal efterspørge dokumentation, ikke kun beroligende statusmeldinger
- Den skal forstå sammenhængen mellem forretningsdrift, ansvar og sikkerhed
I Danmark skal bestyrelser se NIS2 i sammenhæng med deres generelle ansvar for virksomhedens organisation og forsvarlige drift. Det betyder i praksis, at cybersikkerhed ikke kan behandles som et emne, der ligger helt uden for bestyrelsens interessefelt, hvis risikoen kan påvirke drift, økonomi, omdømme og lovmæssig efterlevelse. Hos Digital Business Foundation hjælper jeg med at oversætte dette ansvar til et klart og ledelsesvenligt sprog, som bestyrelsen og direktionen kan bruge aktivt i deres beslutninger og opfølgning. For mange virksomheder er det netop her, værdien ved et samarbejde med mig ligger: At få gjort sikkerhed til noget, ledelsen kan tale om med samme alvor som økonomi, kvalitet og kontinuitet. Bestyrelsen behøver ikke selv at opbygge de tekniske løsninger, men den skal sikre, at virksomheden arbejder på et forsvarligt og dokumenterbart grundlag. Det indebærer også, at bestyrelsen bør have adgang til et tydeligt modenhedsbillede, et overblik over kritiske risici og en klar status på de vigtigste indsatser. Når bestyrelsen får det overblik, bliver NIS2 mindre abstrakt og mere styrbar som en del af virksomhedens samlede governance.
Bestyrelsesansvar og dokumentation
| Lovgivning eller styringsramme | Overordnet ansvar | Typiske dokumentationskrav i praksis |
|---|---|---|
| Selskabslovens § 115, stk. 2 | Sikre forsvarlig organisation og overordnet tilsyn med virksomhedens forhold | Referater, beslutningsspor, ledelsesopfølgning og dokumenteret organisering |
| NIS2-loven | Sikre at cybersikkerhed bliver forankret, godkendt og fulgt op på ledelsesniveau | Risikovurderinger, politikker, ansvarslinjer, beredskab, leverandørstyring og opfølgning |
| Samspillet i praksis | Koble generel ledelsespligt med konkret cyberrobusthed | Dokumentation der viser, at sikkerhed ikke er overladt passivt til andre |
Hvis jeres bestyrelse vil reducere usikkerheden, bør I efterspørge faste opfølgningspunkter og en dokumentationsstruktur, der gør status og ansvar lette at forstå. Kontakt mig endelig for at høre, hvordan mine faste abonnementsforløb kan hjælpe jer med netop dette.
Hvordan garanterer vi løbende overholdelse af NIS2 kravene?
Ingen virksomhed kan give en absolut garanti for evig compliance, men den kan opbygge en struktur, der gør overholdelsen langt mere robust og løbende vedligeholdt. Nøglen er faste rytmer for opdatering, måling, ansvar og dokumentation, så kravene bliver en del af driften frem for et engangsprojekt.
Løbende overholdelse opstår, når virksomheden accepterer, at NIS2 er en styringsopgave, som skal vedligeholdes over tid. Nye trusler, ændrede leverandørforhold, opdaterede processer og skærpede kundekrav betyder, at dokumentationen ikke må stå stille. Digital Business Foundation arbejder derfor med et fast forløb, hvor modenhed, governance og prioritering bliver fulgt op systematisk. Det giver virksomheden mulighed for at opdage, når politikker er blevet forældede, når risikovurderinger ikke længere matcher virkeligheden, eller når organisationen mangler træning og beredskab. En god struktur gør det også lettere at vise, at virksomheden ikke bare har lavet papir, men faktisk arbejder aktivt med sikkerhed og ansvar. For ledelsen betyder det mindre panik, når en kunde stiller spørgsmål, eller når myndigheder og bestyrelse vil se dokumentation. Det er denne løbende disciplin, der gør forskellen mellem formel efterlevelse og praktisk robusthed. Derfor bør målet ikke være at “blive færdig” med NIS2, men at løbende holde virksomheden på et niveau, hvor den altid kan forklare og dokumentere sit arbejde.
Bliver vores NIS2 implementering baseret på anerkendte rammeværk som ISO 27001?
Anerkendte rammeværk som ISO 27001 kan give en stærk struktur, når de bruges fornuftigt og tilpasses virksomhedens virkelighed. Det afgørende er, at rammeværket understøtter ledelsens prioritering og dokumentation, frem for at det bliver en tung øvelse løsrevet fra driften.
Hvordan minimerer bestyrelsen risikoen for personlige bøder via ledelsesansvaret?
Bestyrelsen reducerer sin risiko ved at kunne vise aktivt tilsyn, klare beslutninger og dokumenteret opfølgning. Det handler ikke om at kunne alt selv, men om at kunne bevise, at man har handlet ansvarligt og ikke negligeret et væsentligt ledelsesområde.
Hvor løbende opdateres vores politikker for risikostyring og sikkerhedsprocedurer?
Politikker og procedurer bør opdateres i en fast rytme og altid, når væsentlige ændringer i risiko, drift eller kundekrav opstår. Den rigtige frekvens afhænger af virksomhedens kompleksitet, men opdateringer må aldrig blive så sjældne, at dokumentationen mister sin værdi.
