(Foto: Petrit Nikolli/Pexels)

Vejledninger til NIS2-lovpakken er endeligt klar: Her er tre vigtige nedslagspunkter

Der er virkelig mange krav, råd og vejledninger i den 67 sider lange rapport fra Styrelsen for Samfundssikkerhed. Dem skal mindst 3.200 virksomheder i Danmark leve op til inden for en måned.

4. juni 2025 kl. 15.55

Frederik Therkildsen Cybersikkerhedsjournalist

Der er under fire uger til, at danske virksomheder skal leve op til et omfattende regelsæt for cybersikkerhed.

Nu har beredskabsminister Torsten Schack Pedersens folk præsenteret de vejledninger, som de cirka 3.200 omfattede virksomheder ifølge regeringen bør rette ind efter.

Ministeren har flere gange understreget, at han i første omgang holder bødeblokken i lommen. Det vil formentlig komme som en lettelse for mange virksomheder, for rapporten på 67 sider er smækfyldt med krav, dokumentationspligt og nye standarder for ansvar.

Selvom ministeriet kun forventer, at det er omkring 3.200 virksomheder, der falder ind under kategorien “kritisk”, vil kravene få betydning langt bredere. De vil sive ned i fødekæden – fra leverandører til underleverandører og samarbejdspartnere, uanset om de står på den officielle liste eller ej.

Her er tre centrale og opsigtsvækkende nedslag fra rapporten:

Risiko er ikke længere noget, man "tager" – det er noget, man dokumenterer.

NIS2 dikterer en “risikobaseret tilgang”. Det betyder, at virksomheder ikke bare skal tænke i it-sikkerhed, men dokumentere, hvordan de forholder sig til alle former for risici – tekniske, menneskelige, fysiske og klimarelaterede.

Alle systemer og tjenester skal gennemgås med henblik på deres samfundsmæssige og økonomiske betydning. Og det er ikke virksomhedens omdømme eller bundlinje, der tæller – det er effekten på Unionens indre marked.

Det kræver, at virksomheder ændrer tankegang. Hvor man før kunne tale om “risikoappetit”, handler det nu om “risikoansvar”.

Sikkerhed måles i tre niveauer – og kun ét af dem er valgfrit

Vejledningen skelner skarpt mellem tre kategorier:

Krav, som skal implementeres
Anbefalinger, som bør implementeres – og som kræver begrundelse, hvis man vælger dem fra
Forslag, som kan implementeres

Det betyder, at en virksomhed i tilsynssituationen skal kunne fremlægge dokumentation ikke kun for det, de har gjort – men også for det, de har fravalgt. Og hvorfor.

Med andre ord: Du kan ikke længere undlade at gøre noget, bare fordi du ikke har råd. Du skal bevise, hvorfor det er det rigtige valg.

Alt kan være en trussel – og du skal tage højde for det hele

Den nye “all-hazards approach” kræver, at man forholder sig til enhver form for trussel: fra hackerangreb til skybrud, fra menneskelige fejl til systemiske sårbarheder.

Det betyder, at cybersikkerhed ikke længere er en teknisk disciplin isoleret i it-afdelingen. Det er en integreret del af virksomhedens samlede risikostyring – og dermed også ledelsens ansvar.

Vejledningen med dens 67 sider kan findes her.

Computerworld har tidligere forelagt en række eksperter om, hvordan man bedst kommer igang med NIS2.

Har du en kommentar til artiklen eller en idé til Computerworld? Send en mail til journalisten bag artiklen.

Flere dybdegående Computerworld artikler

Nye integrationer og transskribering af møder: OpenAI forkæler erhvervsbrugere med en stribe forbedringer af ChatGPT

OpenAI har opgraderet ChatGPT til erhvervsbrugere med nye integrationer til Google Drive, Dropbox, Box, OneDrive og SharePoint, sammen med en funktion til mødeoptagelse og -transskription.

Microsoft lancerer nyt gratis værktøj til at skabe AI-videoer

Porcelænet klirrer i Det Hvide Hus: Amerikansk rumfart er truet, og Tesla-aktien satte rekord i tabt værdi på en dag

Morgen-briefing: Finanstilsynet tvivler på Lunars forretningsmodel / Kaos i OpenAI filmatiseres / Microsofts compliance-direktør stopper / Sådan narrer cyberkriminelle virksomheder med AI