Nordjylland har valgt selskabsform for kommunernes fælles it-drift. Men er det klogt i forhold til NIS2?

Klumme: De nordjyske kommuner lægger op til et kommunalt fællesskab, som adskiller sig markant fra den model, som de midtjyske kommuner har valgt. Den forskel er ikke kun juridisk pynt, men har direkte konsekvenser for, hvordan NIS2-ansvaret kommer til at ligge.

Artikel top billede

(Foto: Povl D. Rasmussen)

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Hvor Midtjylland går efter et aktieselskab, har Nordjylland indstillet til et kommunalt fællesskab efter styrelseslovens § 60. Det ændrer hæftelse, indsigt og styring.

Mens de 19 midtjyske kommuner har truffet principbeslutning om et aktieselskab og først binder sig endeligt til efteråret, er Nordjylland gået en anden vej.

De 11 nordjyske kommuner har i foråret behandlet en enslydende indstilling om at etablere Nordig, Nordjysk IT- og Digitaliseringssamarbejde, som et kommunalt fællesskab efter styrelseslovens § 60, organiseret som et interessentskab.

Selskabet skal efter planen etableres 1. januar 2027, og senere på året følger endnu en politisk behandling af økonomi, vedtægter, medarbejderoverdragelse og opgavefordeling.

Det lyder som en teknisk forskel. Det er det ikke.

Valget af selskabsform er ikke bare et spørgsmål om jura og organisering.

Det er det valg, der afgør, hvordan kommunerne kan styre den fælles enhed, hvilken indsigt offentligheden får, og hvem der hæfter, hvis noget går galt.

Når server- og netværksdriften for en hel landsdel samles ét sted, bliver det ikke kun et spørgsmål om effektiv drift. Det bliver et spørgsmål om governance, ansvar og risikobæring.

Og det er her, Nordjylland bliver interessant. For hvor Midtjylland arbejder med armslængde gennem et aktieselskab, vælger Nordjylland en model, der ligger tættere på den offentlige forvaltning.

Det giver mere demokratisk nærhed. Men det betyder ikke, at risikoen forsvinder. Tværtimod bliver den på nogle punkter mere udtalt.

To selskabsformer, to ansvarsprofiler

Et § 60-fællesskab er noget andet end et aktieselskab.

Det er til forskel fra et A/S ikke en leverandør, men en offentligretlig konstruktion. Kommunerne overdrager kompetence til et fælleskommunalt organ, som skal godkendes af det kommunale tilsyn, og som er omfattet af de offentligretlige regler.

Konstruktionen er tættere på den kommunale forvaltning, og den giver som udgangspunkt større offentligretlig forankring, mere indsigt og en mere direkte kommunal styringsmulighed.

Et aktieselskab er derimod en selvstændig juridisk enhed, der styres efter selskabsloven.

Kommunerne kan eje selskabet, men de kan ikke instruere bestyrelsen direkte.

Bestyrelsen skal varetage selskabets interesser. Det giver armslængde, professionalisering og en klar selskabsretlig ramme. Det giver også en mere indirekte demokratisk styring.

Det er ikke en lille forskel.

I et § 60-fællesskab kan den enkelte kommune som udgangspunkt instruere sine egne medlemmer af fællesskabets styrende organer.

Det kan den ikke på samme måde i et aktieselskab. Derfor er § 60-modellen mere direkte forpligtende. Organiseringen med § 60 gør det lettere at fastholde den politiske forbindelse mellem byrådet og den fælles driftsorganisation.

Men prisen er, at kommunerne også binder sig tættere sammen.

Nordig er indstillet organiseret som et interessentskab, og i et § 60-interessentskab er udgangspunktet fuld og solidarisk hæftelse.

Det betyder, at deltagerkommunerne ikke bare deler drift. De deler også risiko.

Hvis fællesskabet får en alvorlig økonomisk forpligtelse, kan hæftelsen i sidste ende ramme kommunerne samlet. Det er en helt anden risikoprofil end i et aktieselskab, hvor hæftelsen som udgangspunkt er begrænset til kapitalindskuddet.

For en cybersikkerhed og compliancesrådgiver er hæftelsen den afgørende detalje. I et A/S er det fristende at tænke, at risikoen kan indkapsles i selskabet.

Det holder ikke fuldt ud i praksis, fordi kommunen stadig har sit NIS2-ansvar og sit leverandøransvar. Men i et § 60-fællesskab er der slet ikke den samme illusion. Risikoen er fælles fra begyndelsen.

Det er ikke et argument imod § 60-modellen.

Den har gode grunde for sig, blandt andet demokratisk indsigt og en klarere offentligretlig ramme.

Men den gør det endnu vigtigere, at vedtægter, snitflader, beredskab, hæftelse og sikkerhedskrav er skrevet præcist. For når hæftelsen er fælles, bliver uklare aftaler ikke bare et lokalt problem. De bliver et fælles problem for alle 11 kommuner.

NIS2-ansvaret følger ikke med serverne

Det centrale først: Selskabsformen ændrer ikke NIS2-logikken.

Uanset om den fælles it-driftsorganisation bliver et aktieselskab eller et § 60-fællesskab, forbliver den enkelte kommune en væsentlig enhed efter NIS2-loven, der trådte i kraft 1. juli 2025. Driften kan overdrages til den fælles organisation. Ledelsesansvaret kan ikke.

Kommunen er fortsat den enhed, der skal sikre, at der er passende tekniske, operationelle og organisatoriske foranstaltninger til styring af cyberrisici. Det ansvar ligger hos kommunens ledelse, i praksis byrådet og den administrative ledelse. De skal kunne forstå, godkende og føre tilsyn med foranstaltningerne.

Det ændrer Nordig ikke på.

Nordjylland kan samle serverdrift og netværk i en fælles organisation. Det kan være klogt. Det kan give større faglige miljøer, mere ensartede kontroller og bedre mulighed for rekruttering.

Men den enkelte kommune kan ikke efterfølgende sige, at NIS2-ansvaret nu ligger i Nordig. Det gør det ikke.

Kommunen vil fortsat skulle kunne dokumentere, at den fører tilsyn med den fælles driftsorganisation. Den vil skulle stille krav, følge op og forstå, hvilke risici der ligger i den fælles platform, og hvordan de håndteres.

Og den fælles enhed er to ting på én gang. Nordig bliver en kritisk leverandør til 11 regulerede offentlige myndigheder, hvilket udløser hver kommunes egen pligt til forsyningskædesikkerhed og leverandørstyring.

Samtidig vil en enhed, der driver server- og netværksinfrastruktur for en hel landsdel, efter al sandsynlighed selv blive vurderet som omfattet af NIS2-reguleringen, med digitaliseringsstyrelsen som tilsynsførende myndighed.

Dermed opstår der to samtidige ansvarsspor. Kommunerne har hver deres ledelsesansvar og leverandørstyringsansvar. Nordig har sine egne driftsmæssige og sikkerhedsmæssige forpligtelser.

Snitfladen mellem de to er ikke en formalitet. Det er dér, cybersikkerheden enten bliver stærk og hvor risikoen for at opgaverne falder mellem to stole er størst.

Selskabsformsbeslutningen er der, hvor governance låses

Det er præcis derfor, denne beslutning er vigtigere, end den ser ud.

Når man vælger selskabsform, vælger man samtidig rammen for vedtægter, hæftelse, indflydelse og styring. At vælge formen uden samtidig at låse NIS2-ansvarsfordelingen, snitfladebeskrivelsen og beredskabet fast i vedtægterne er at gentage det hul, jeg advarede mod i seriens første del.

Et § 60-fællesskab er nemlig ikke mere cybersikkert, bare fordi det er offentligretligt forankret. Det er heller ikke mere NIS2-compliant, bare fordi kommunerne har en mere direkte styringskanal.

Sikkerheden afgøres ikke af selskabsformen. Den afgøres af det, der bliver skrevet ind i vedtægterne, styringsaftalen, snitfladebeskrivelsen, databehandleraftalen og beredskabsmodellen.

Hvem ejer netværkssegmenteringen? Hvem beslutter patchvinduer? Hvem godkender ændringer i den fælles infrastruktur? Hvem har ansvaret for logning og monitorering? Hvem indberetter en væsentlig hændelse?

Hvem kommunikerer til borgere, medarbejdere, Datatilsynet, Digst og andre myndigheder? Og hvem træffer beslutning om nedlukning, isolation eller genetablering, hvis en hændelse rammer flere kommuner på samme tid?

Det er den slags spørgsmål, der afgør, om Nordig bliver en styrkelse af den kommunale cybersikkerhed eller bare en centralisering af den samme uklarhed, som allerede findes i dag.

NIS2 kræver netop driftskontinuitet og krisestyring.

Centralisering hæver baseline, men bygger samtidig et single point of failure ind i konstruktionen.

Når 11 kommuner lægger centrale dele af driften samme sted, bliver robusthed, redundans og krisestyring ikke pynt i bilagene. Det bliver selve kernen i konstruktionen. Hvis Nordig rammes, rammes kommunerne samtidig.

Derfor skal beredskabet være fælles, øvet og kontraktuelt forpligtende. Ikke noget, man finder ud af efter den første alvorlige hændelse. Og i et solidarisk hæftende fællesskab gælder det med fornyet vægt, for omkostningen ved at lade være deles af alle.

GDPR følger samme logik

Det databeskyttelsesretlige billede bliver heller ikke simpelt. Kommunerne vil fortsat være dataansvarlige for de behandlinger, de selv har ansvaret for.

Den fælles driftsorganisation vil i vidt omfang være databehandler eller indgå i en tilsvarende driftsmæssig rolle, afhængigt af den konkrete opgavefordeling.

Det betyder, at 11 kommuner skal kunne give instrukser til en fælles driftsorganisation, der samtidig kun kan fungere effektivt, hvis driften standardiseres.

Det er en klassisk spænding. På papiret har den enkelte kommune instruktionsbeføjelse. I praksis kan en fælles infrastruktur ikke drives efter 11 forskellige sæt instrukser. Derfor skal instruktionsmodellen være gennemtænkt fra starten.

Hvem kan instruere NORDIG? Hvornår kræver en instruks fælles beslutning? Hvordan godkendes underdatabehandlere? Hvem ejer den fælles DPIA? Hvordan håndteres brud på persondatasikkerheden, hvis samme hændelse rammer flere kommuner? Og hvordan sikres kommunens individuelle dokumentationspligt, når infrastrukturen er fælles?

Hvis det ikke er afklaret, ender kommunen med det værste af begge verdener: formelt ansvar, men begrænset reel styring.

Vedtægterne er sikkerhedsdokumenter

Det er her, byrådene skal være vågne.

Vedtægterne for Nordig er ikke bare selskabsjura. De er sikkerhedsdokumenter. De skal ikke kun svare på, hvem der ejer hvad. De skal svare på, hvem der har ansvaret, når noget går galt.

De bør som minimum give klare svar på:

- Hvilket sikkerhedsniveau Nordig skal levere.

- Hvilke kontroller der skal være obligatoriske.

- Hvordan kommunerne fører tilsyn

- Hvordan revision og rapportering gennemføres.

- Hvordan hændelser opdages, eskaleres og indberettes.

- Hvordan ansvar fordeles mellem kommune og fællesskab.

- Hvordan beredskab og gendannelse afprøves.

- Hvordan underleverandører styres.

- Hvordan databeskyttelse og NIS2 snitter mod hinanden.

- Hvordan en kommune får dokumentation nok til sit eget ledelsestilsyn.

Det er ikke nok, at Nordig "skal sikre høj cybersikkerhed". Det er en hensigtserklæring. Ikke en kontrol. Der skal stå, hvad det betyder i praksis.

Så er Nordjyllands model klog?

Ja, den kan være klog.

Men kun hvis Nordjylland forstår, at § 60-modellen ikke i sig selv gør driften sikker.

Den giver en anden styringsramme end aktieselskabet. Den giver mere offentligretlig tyngde. Den giver mere demokratisk nærhed. Den gør det vanskeligere at gemme driften væk bag selskabsretlig armslængde. Men den gør også hæftelsen og ansvaret mere fælles.

Selskabsformen er nemlig ikke svaret på NIS2-spørgsmålet. Den er rammen om svaret.

NIS2 belønner ikke en bestemt selskabsform. Den belønner klar ansvarsfordeling, styret forsyningskæde og afprøvet driftskontinuitet. Ingen af de tre afgøres af selskabsformen. De afgøres af, hvad der står i vedtægterne og i snitfladebeskrivelsen.

Når 11 kommuner deler én kritisk driftsorganisation, deler de også konsekvenserne af uklare aftaler, svage kontroller og manglende beredskab. Det er derfor, vedtægterne ikke må behandles som en formalitet.

Mit råd til de nordjyske byråd er derfor enkelt:

Brug ikke kræfterne på at fejre, at I har valgt en mere kommunal model end Midtjylland.

Brug kræfterne på at sikre, at NIS2-ansvaret, hændelsesflowet, tilsynsretten, databehandlerrollen, leverandørstyringen, beredskabet og hæftelsen er skrevet ind i konstruktionen fra dag ét.

Og vær særligt opmærksom på hæftelsen, for når den er solidarisk, betaler I også for naboens huller.

For sikkerheden ligger ikke i, om der står A/S eller § 60 på døren. Den ligger i de krav, kommunerne tør stille, mens aftalerne stadig kan skrives.

Dette er del 2 af 2. Del 1 så på Midtjylland og aktieselskabsmodellen, og på hvorfor ledelsesansvaret aldrig følger med driften ud af huset.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Event: Cyber Security Festival 2026

Sikkerhed | København

Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.700 it-professionelle. Du kan glæde dig til oplæg fra mere end 70 talere og møde mere end 50 leverandører over to dage.

18 & 19 november 2026 | Gratis deltagelse

Navnenyt fra it-Danmark

Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

Dan Toft

Pinksky ApS

Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

Lauren De Ventura

emagine Expertise A/S

Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job
IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

Marlene Gudman

IFS Danmark A/S