NIS2 gjorde din cloud til bestyrelsens problem. Brug det

NIS2 og GDPR har gjort cloud-suverænitet til et eksplicit ledelsesansvar for virksomheder i de definerede sektorer. Men NIS2’s risikoramme rækker langt bredere. Den giver enhver organisation et konkret og politisk legitimeret udgangspunkt for at løfte cloud-suverænitet helt op til bestyrelsesbordet. Også dem, der ikke er direkte underlagt loven.

Artikel top billede

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Der er én sætning, der ændrer en samtale i et bestyrelseslokale hurtigere end nogen risikoanalyse: “I kan personligt blive holdt ansvarlige.” Med NIS2 er det ikke en trussel, en konsulent finder på. Det står i loven.

Ansvaret for cloud-suverænitet er eksplicit. NIS2, implementeret i dansk ret i 2024, gør ledelsesorganer i de omfattede virksomheder personligt ansvarlige for at kende og håndtere organisationens sikkerhedsrisici, inklusive databehandlerkæden. GDPR-håndhævelsen er skærpet markant, og den gælder alle. Tilsammen betyder det, at cloud-suverænitet ikke længere er noget, der drukner i IT-afdelingens opgavekø, men et emne, der kan løftes til bestyrelsesmødet med lovgivningen som rygdækning.

Ledelsesansvaret i lovtekst

Direktivets centrale bestemmelse er enkel. Ledelsesorganer i de omfattede virksomheder er personligt ansvarlige for at godkende og føre tilsyn med sikkerhedsforanstaltningerne. I alvorlige tilfælde kan bestyrelsesmedlemmer og direktører midlertidigt udelukkes fra ledelsesfunktioner, hvis virksomheden ikke har truffet de fornødne foranstaltninger, og et brud opstår som konsekvens.

I praksis er det sjældent en bøde, der rammer den enkelte leder først. Det er spørgsmålet, et tilsyn stiller efter en hændelse: kunne ledelsen dokumentere, at den kendte sin eksponering og havde taget stilling til den?

En underskrevet databehandleraftale er ikke det samme som at have truffet de fornødne foranstaltninger. Den forskel afgør, om ansvaret reelt er løftet eller blot delegeret nedad. De fleste er sårbare præcis dér: kontrakterne findes, men ingen kan fremvise det samlede billede, en bestyrelse formodes at kende.

NIS2 gælder for mellemstore og store virksomheder inden for definerede sektorer: energi, transport, sundhed, bank og finansiel infrastruktur, digital infrastruktur, offentlig forvaltning og en række øvrige industri- og servicesektorer. Mikrovirksomheder og små virksomheder er generelt undtaget, og det samme er virksomheder uden for de omfattede sektorer. For dem gælder GDPR og Schrems II fuldt ud, men ikke NIS2’s direkte krav.

Cloud-suverænitet er ikke nævnt eksplicit i NIS2’s tekst, men databehandlerkæden er en central del af det risikobillede, ledelsen er ansvarlig for at kende: hvilke udbydere der behandler jeres data, under hvilken ret og med hvilken adgang. Gorrissen Federspiel konkluderer i sin analyse af direktivet, at NIS2 ikke kræver EU-lokalisering direkte, men at risikovurderinger og tilsynspraksis i effekt vil drive lokaliseringskrav for kritiske systemer. Har bestyrelsen ikke taget stilling til sin organisations juridiske eksponering på det punkt, har den ikke opfyldt den tilsynspligt, loven beskriver.

Et fyrtårn også uden lovkrav

NIS2’s risikoramme rækker længere end til de direkte omfattede. Den er et præcist og politisk legitimeret udgangspunkt for enhver organisation, der vil arbejde struktureret med cloud-suverænitet, uanset om man er juridisk forpligtet.

Direktivets krav til kortlægning af forsyningskæden, vurdering af tredjepartsudbydere og placering af et klart ledelsesansvar er ikke vilkårlige. De er destilleret af år med hændelsesanalyser og tilsynserfaringer på tværs af Europa. At følge rammen frivilligt giver ledelsen et klart styringsgrundlag.

Det er nemmere at løfte cloud-suverænitet i et bestyrelseslokale med reference til et EU-direktiv end med reference til en intern IT-vurdering. For mange organisationer er NIS2 det mest nyttige, der er sket for cloud-suverænitetsdagsordenen. Ikke fordi de er underlagt det, men fordi det giver dem noget at navigere efter.

Tilsynet ser på det juridiske grundlag

Siden Schrems II har datatilsynsmyndighederne i EU gradvist skærpet håndhævelsen af reglerne for overførsel af personoplysninger til tredjelande. Den østrigske databeskyttelsesmyndighed fastslog i januar 2022 som den første, at brug af Google Analytics var ulovligt, fordi data overføres til USA under vilkår, der ikke lever op til Schrems II. Tilsvarende afgørelser fulgte i Frankrig, Italien og Danmark i 2022 og 2023.

Det irske datatilsyn pålagde i maj 2023 Meta en bøde på 1,2 mia. euro for ulovlig overførsel af personoplysninger fra EU til USA, den hidtil største GDPR-bøde overhovedet. Sagen handlede specifikt om det juridiske grundlag for dataoverførslen, ikke om et teknisk sikkerhedsbrud.

Mønsteret er det vigtige. Tilsynsmyndighederne ser ikke kun på, om data er beskyttet teknisk. De ser på, om det juridiske grundlag for behandlingen holder. Det er præcis det spørgsmål, en bestyrelse bør kunne besvare for sine kritiske systemer, og det er det spørgsmål, NIS2’s risikoramme giver et struktureret grundlag for at adressere.

Hvem i organisationen ejer spørgsmålet

I de fleste organisationer er svaret uklart. DPO’en ejer GDPR-fortegnelserne. IT-sikkerhedschefen ejer den tekniske infrastruktur. Juridisk afdeling skriver kontrakterne. Ingen ejer det samlede billede af, hvilke data der ligger under hvilken jurisdiktion, og dermed hvad virksomhedens faktiske eksponering er. Det er den type gab, tilsynsmyndighederne typisk finder, når de undersøger en organisation.

Svaret er ikke nødvendigvis en ny stilling. Det er ét navn, typisk CISO’en, CTO’en eller DPO’en med tilstrækkeligt mandat. Den person samler billedet, holder det opdateret og løfter det til ledelsesniveauet med jævne mellemrum. Uden det navn er kortlægningen en engangsøvelse; med det er den et styringsgrundlag.

Ansvaret begynder ved bestyrelsen

Cloud-suverænitet hører til på bestyrelsens bord, ikke kun i IT-udvalget og på leverandørmøderne. Det er et spørgsmål om ledelsesansvar på niveau med andre væsentlige spørgsmål om regelefterlevelse og risikostyring.

Den praktiske konsekvens er, at bestyrelse og direktion bør vide, hvilke platforme virksomheden kører kritiske data på, hvad det juridisk indebærer, og hvad planen er. Ikke kun fordi de bærer ansvaret, men fordi det er dem, der kan træffe de nødvendige prioriterings- og ressourcebeslutninger.

Cloud-suverænitet er ikke et IT-projekt, men en strategisk beslutning, og lovgivningen giver nu enhver leder et legitimt udgangspunkt for at rejse den i bestyrelseslokalet.

Læs også de andre klummer i serien:

Computerworld Events

Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

Sikkerhed | Højbjerg, Aarhus

Cyber Security Summit 2026 - Aarhus

Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

Digital transformation | Aarhus

AI i det offentlige - Aarhus

Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

Digital transformation | Køge

Derfor skal du videre fra Dynamics AX – og sådan gør du

Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

Se alle vores events inden for it

Navnenyt fra it-Danmark

Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

Claus Berg

Netip A/S

Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

Kari Lehtimäki

Den danske eID-virksomhed Idura

Pinksky har pr. 1. maj 2026 ansat Alexander Skou Henkel, 39 år,  som Rådgivende konsulent. Han skal især beskæftige sig med optimering af forretningsprocesser i Microsoft platformen. Han kommer fra en stilling som IT forretningskonsulent hos Evobis ApS. Han har tidligere beskæftiget sig med forretningsudvikling i Microsoft platformen. Nyt job
Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse