NIS2: Skærpet ledelsesansvar, leverandørkædesikkerhed, og cyberhygiejne

Klumme: Danske virksomheder står som bekendt over for skærpede krav i NIS2 – er det allerede for sent at sikre din virksomhed mod bøder og tabet af kunder?

Artikel top billede

(Foto: JumpStory)

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Med NIS2-direktivet sikres cybersecurity en central plads med fokus på topledelsens ansvar, leverandørkædesikkerhed, skærpede krav til rapportering, cyberstrategi, governance og business continuity.

NIS2, også kendt som Network and Information Systems Directive 2, er et opdateret EU direktiv designet til at forbedre cybersikkerheden inden for kritiske/væsentlige sektorer.

Denne direktivopdatering repræsenterer et afgørende skridt for at beskytte kritisk infrastruktur og digitale tjenester mod cybertrusler og angreb.

Hvem er opfattet af NIS2 direktivet?

Udbydere af kritisk eller vigtig infrastruktur samt disses underleverandører, som opfylder følgende krav:

1) Mere end 50 ansatte

eller

2) Har en omsætning på over 10 mEUR.

og

3) Leverer tjenesteydelser i et EU-land.

Hvorfor er NIS2 vigtig?

I en tid, hvor cybertrusler bliver stadig mere komplekse og sofistikerede, kan angreb på kritisk infrastruktur have omfattende konsekvenser.

NIS2 tjener som et afgørende værktøj til at styrke organisationers evne til at modstå og reagere på disse trusler, hvilket er afgørende for både samfundets sikkerhed og organisationernes kontinuitet.

Værdien af NIS2-compliance

Ud over at opfylde lovkravene bringer NIS2-compliance også en række fordele med sig.

Dette inkluderer øget modstandsdygtighed mod cyberangreb, forbedret evne til at identificere og håndtere sikkerhedsbrud samt styrkede relationer med interessenter og kunder, der søger sikre digitale tjenester.

Implementering af NIS2-krav

At påbegynde implementeringen af NIS2-krav kræver en struktureret og strategisk tilgang.

Organisationer bør starte med en grundig risikovurdering for at identificere potentielle trusler og svagheder.

Dernæst er det afgørende at udvikle og implementere en robust sikkerhedsstrategi, der blandt andet omfatter teknologiske løsninger, personaleuddannelse og procedurer til håndtering af sikkerhedsbrud.

Essensen af NIS2

Skærpet ansvar til topledelse og bestyrelse: Ledelse og bestyrelse har nu et forøget ansvar for at opfylde NIS2-kravene, hvor bøder kan udgøre op til to procent af årlig omsætning ved manglende compliance.

Leverandørkæde ansvar: Udvidelsen af sektorer i NIS2 inkluderer vigtig infrastruktur såsom leverandører af offentlige elektroniske kommunikationsnetværk, digitale tjenester, og kemikalie- og fødevareproducenter. Dette sætter fokus på nødvendigheden af at sikre hele leverandørkæden.

Skærpede krav til rapportering - "Early warning": Tidlig varsling af sikkerhedsincidenter er afgørende. NIS2 pålægger virksomheder at rapportere betydningsfulde eller potentielt betydningsfulde hændelser inden for 24 timer (samt yderligere opdateringer indenfor 72 timer og en måned).

Krav til Cyber strategi, Governance og Business Continuity: Implementering af en holistisk cyberstrategi, effektiv governance og business continuity-planer er afgørende for NIS2-compliance.

Basal Cyber Hygiejne: For at opfylde NIS2-kravene skal virksomheder have grundlæggende cybersikkerheds foranstaltninger på plads.

Er det allerede for sent at komme i gang?

For dem, der er omfattet af NIS2, er opfordringen herfra klar - kom i gang med compliancearbejdet nu. På trods af forsinkelsen fra Forsvarsministeriet omkring de nationale danske fortolkninger og guidelines giver det helt klart mening at påbegynde arbejdet nu.

Sådan kommer du i gang

Forstå kravene: Gennemgå NIS2-dokumentationen omhyggeligt for at forstå specifikationerne og de forventede standarder for sikkerhed.

Risikovurdering: Foretag en grundig risikovurdering for at identificere svagheder og udvikle en handlingsplan baseret på prioriterede trusler.

Teknologisk implementering: Hvor det giver mening bør der investeres i moderne sikkerhedsteknologier, herunder trusselsdetektering, adgangskontrol og datakryptering.

Uddannelse og opmærksomhed: Træn og opdater personalet regelmæssigt for at sikre, at alle er opmærksomme på de seneste trusler og bedste sikkerheds praksis.

Kontinuerlig overvågning: Implementer en proaktiv overvågningsstrategi for at opdage og reagere hurtigt på potentielle sikkerhedsbrud.

Hvad koster det at blive NIS2 compliant og er der økonomisk hjælp at hente?

Det kan variere en del er det er helt afhængig af din virksomheds nuværende niveau omkring implementerede cybersikkerhedsforanstaltninger og dokumenteret politikker og governance, i forhold til de stillede krav.

Det vil også være afhængig af din virksomheds størrelse og kompleksitet.

Så udgiften kan være alt mellem nul kroner (hvis man er en mindre eller mellemstor ikke kompleks virksomhed, som har helt styr på sin sikkerhed, leverandører og risici) til flere millioner (hvis man er en større kompleks virksomhed, som ikke er nået så langt med sine basale sikkerhedsforanstaltninger, styring af leverandører og Risk Management).

Der er dog økonomisk hjælp at hente i diverse puljer.

For eksempel har Digitaliseringsstyrelsen netop sidst i februar åbnet op for en pulje, som kan være relevant i denne henseende. Det kan du se mere om her.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Mere om samme emne

Event: Cyber Security Festival 2025

Sikkerhed | København

Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.200 it-professionelle. Du kan glæde dig til oplæg fra mere end 50 talere og møde mere end 30 leverandører over to dage.

4. & 5. november 2025 | Gratis deltagelse

Navnenyt fra it-Danmark

Enterprise Rent-A-Car har pr. 1. september 2025 ansat Christian Kamper Garst som Senior Key Account Manager. Han skal især beskæftige sig med at vinde markedsandele i hele Norden som led i en storstilet turnaround-strategi. Han kommer fra en stilling som Salgsdirektør hos Brøchner Hotels. Nyt job

Christian Kamper Garst

Enterprise Rent-A-Car

IT Confidence A/S har pr. 1. oktober 2025 ansat Henrik Thøgersen som it-konsulent med fokus på salg. Han skal især beskæftige sig med rådgivende salg, account management og udvikling af kundeporteføljer på tværs af it-drift, sikkerhed og cloud-løsninger. Han kommer fra en stilling som freelancer i eget firma og client manager hos IT Relation og IT-Afdelingen A/S. Han er uddannet elektromekaniker. Han har tidligere beskæftiget sig med salg af it-løsninger, account management, it-drift og rådgivning samt undervisning og ledelse. Nyt job

Henrik Thøgersen

IT Confidence A/S

Norriq Danmark A/S har pr. 1. september 2025 ansat Ahmed Yasin Mohammed Hassan som Data & AI Consultant. Han kommer fra en stilling som selvstændig gennem de seneste 3 år. Han er uddannet cand. merc. i Business Intelligence fra Aarhus Universitet. Nyt job

Ahmed Yasin Mohammed Hassan

Norriq Danmark A/S

IT Confidence A/S har pr. 1. oktober 2025 ansat Johan Léfelius som it-konsulent. Han skal især beskæftige sig med med support, drift og vedligeholdelse af kunders it-miljøer samt udvikling af sikre og stabile løsninger. Han kommer fra en stilling som kundeservicemedarbejder hos Telia Company Danmark A/S. Han er uddannet (under uddannelse) som datatekniker med speciale i infrastruktur. Han har tidligere beskæftiget sig med kundeservice, salg og teknisk support. Nyt job

Johan Léfelius

IT Confidence A/S