It-sikkerhed eller fyreseddel: NIS2-direktivet truer direktørernes fremtid

Klumme: Med NIS2-direktivets krav og de kommende regler fra European Cyber Resilience Act, der skærper kravene til digitale produkter i EU, er det tydeligt, at ledelsen i en virksomhed ikke længere kan se bort fra dens ansvar.

Artikel top billede

(Foto: unsplash)

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Snart indtræder en ny virkelighed, hvor et enkelt fejltrin i virksomhedens it-sikkerhed ikke bare koster millioner af kroner, men potentielt også virksomhedsledere jobbet.

Siden december 2022 har det stået klart, at over 160.000 europæiske virksomheder skal styrke deres informations- og it-sikkerhed for at beskytte den kritiske infrastruktur.

Den 1. marts 2025 – efter flere udsættelser – forventes NIS2-direktivet at træde i kraft i Danmark, og konsekvenserne er mere vidtrækkende end nogensinde før.

Selvom NIS2-direktivet utvivlsomt vil øge fokus på cybersikkerhed, har flere centrale aktører, herunder Kommunernes Landsforening (KL), Dansk Industri (DI), Kombit og IT-Branchen, i deres høringssvar i august udtrykt bekymring for den praktiske implementering af direktivet.

De peger alle på, at der i lovudkastet mangler klare retningslinjer og vejledninger, der kan hjælpe virksomheder og ledere med at forstå, om de er omfattet af NIS2, og hvordan de konkret skal leve op til kravene.

Denne mangel på klarhed øger risikoen for, at virksomhederne ikke er ordentligt forberedte, når loven implementeres og kan udsætte danske virksomheder for alvorlige sanktioner.

De første estimater tydede på, at omkring 1.000 danske virksomheder ville blive omfattet af NIS2, men i lovforslaget er dette tal fordoblet til hele 2.000.

For disse virksomheder er det af Europa-Kommissionens konsekvensvurdering projekteret at it-afdelinger, der ikke tidligere har været underlagt NIS1, skal afsætte mellem 22-25 pct. af deres it-sikkerhedsomkostninger på at leve op til direktivets bestemmelser.

Baseret på en rapport fra Den Europæiske Unions Agentur for Cybersikkerhed, ENISA, har danske virksomheder (som median) omkostninger til it-sikkerhed på mere end seks millioner kroner per virksomhed, hvorfor det i lovforslaget anslås at koste dansk erhvervsliv mellem 2,6 og tre milliarder kroner.

Disse tal understreger de økonomiske omkostninger, men det er de personlige konsekvenser, der virkelig adskiller NIS2 fra tidligere direktiver som GDPR.

Strengere sanktioner og personligt ansvar

GDPR introducerede allerede hårde sanktioner for brud på datasikkerheden, men NIS2 går et skridt videre ved at gøre virksomhedsledere personligt ansvarlige for at sikre den kritiske infrastruktur.

I disse tilfælde vil der ifølge lovforslaget i udmåling af ”bøder til fysiske personer (…) lægges vægt på det generelle indkomstniveau og personens økonomiske stilling”.

Derudover fremgår det i lovforslaget, at bøder alt efter overtrædelsens grovhed vil være på et maksimum på mindst syv millioner euro eller 1,4 procent af virksomhedens globale årsomsætning i det foregående regnskabsår, alt efter hvad der er højest.

For små og mellemstore virksomheder kan en sådan bøde være altødelæggende, og ledelsen kan også risikere retsforfølgelse eller fratagelse af ledelsesansvar.

Derudover har ledelsen ansvaret for at informere berørte parter, leverandører, kunder og nationale myndigheder hurtigst muligt i tilfælde af et cyberangreb.

Derfor bør ledere ikke kun udlicitere opgaverne, men også deltage i kurser om cybersikkerhed, så de kan være en del af processen, når potentielle risici og foranstaltninger vurderes og implementeres.

Forberedelse og implementering af NIS2

NIS2 indeholder 10 minimumskrav, som skal implementeres inden marts 2025, både organisatoriske og tekniske tiltag.

Selvom lovgivningen er på vej, fremhæver de fire organisationers høringssvar behovet for konkrete vejledninger, som kan hjælpe virksomhederne med at navigere i de komplekse krav.

KL, DI, KOMBIT og IT-Branchen har alle udtrykt bekymring for, at virksomheder vil stå famlende uden tilstrækkelig vejledning, hvilket understreger vigtigheden af, at virksomhedsledere forbliver opdaterede på de nye regler.

For at lykkes med implementeringen af NIS2 er det nødvendigt, at både it-sikkerhedsmedarbejdere og virksomhedsledere samarbejder aktivt. Derfor bør ledere overveje følgende fire skridt inden implementeringen:

- Viden: Ledere skal have en grundlæggende viden om cybersikkerhed for at kunne kommunikere effektivt med deres it-sikkerhedsmedarbejdere og give dem velbegrundede og overbevisende instrukser.

- Personale: Det er vigtigt at etablere en smidig it-sikkerhedsafdeling, der forstår de øgede krav, som NIS2 stiller. Derfor er det en god idé at have en Data Protection Officer (DPO) ud over en Chief Information Security Officer (CISO), hvor opgaverne kan fordeles fornuftigt.

- Revidering: En grundig, kritisk gennemgang og analyse af hvert område i forhold til risikosituationen og NIS2 er nødvendig. Dette inkluderer regelmæssige revisioner og overvågninger af systemer.

- Hændelser: Sidst men ikke mindst skal der etableres klare procedurer til håndtering af et evt. cyberangreb, inklusiv hurtig rapportering til partnere, leverandører, kunder og relevante nationale myndigheder.

Langsigtet engagement

Implementeringen af NIS2 kræver et tæt samarbejde mellem ledelse og it-medarbejdere.

Det er en langsigtet proces, der kræver vedvarende engagement og oplysning.

Fra 2028 skal virksomheder hvert år dokumentere deres it-infrastruktur i overensstemmelse med NIS2 og sikre, at deres sikkerhedsforanstaltninger er opdateret i henhold til aktuelle teknologiske niveauer og standarder.

Med NIS2-direktivets krav og de kommende regler fra European Cyber Resilience Act, der skærper kravene til digitale produkter i EU, er det tydeligt, at ledelsen i en virksomhed ikke længere kan se bort fra deres ansvar.

De skal aktivt deltage i implementeringen af robuste sikkerhedsforanstaltninger og sikre kontinuerlig overvågning og opdatering af deres it-systemer.

Ved at tage proaktive skridt nu kan virksomheder ikke kun undgå betydelige bøder og sanktioner, men også beskytte deres data, omdømme og forretningsdrift mod potentielle cybertrusler.

Ved at gøre dette kan virksomheder stå stærkere i mødet med fremtidens udfordringer og skabe et sikkert, digitalt miljø for alle virksomhedens interessenter.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

    Dan Toft

    Pinksky ApS

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS

    Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

    Kari Lehtimäki

    Den danske eID-virksomhed Idura

    Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse