Derfor stiller NIS2 større krav til virksomhedernes it-sikkerhed

NIS2-direktivet hæver kravene markant til virksomheders IT-sikkerhed og omfatter nu både store, mellemstore og mange mindre virksomheder på tværs af kritiske sektorer. Det betyder, at langt flere virksomheder skal dokumentere deres sikkerhedsarbejde, udføre løbende risikovurderinger og sikre et aktivt ledelsesansvar for både forebyggelse og håndtering af cybertrusler i driften. Vi anbefaler, at virksomheder omsætter kravene til konkrete processer, klare roller og målbar dokumentation, så compliance støtter forretningen i stedet for at bremse den.

Key takeaways

• NIS2 udvider området, så både offentlige og private virksomheder i kritiske sektorer skal kunne dokumentere og løbende følge op på IT-sikkerhedsarbejdet. Vi hjælper ofte med at omsætte kravene til konkrete politikker, procedurer og tekniske kontroller, så dokumentation hænger sammen med den daglige praksis.
• Ledelsen står nu med et klart ansvar for IT-sikkerheden og skal kunne bevise, at sikkerhed prioriterer og integreres i forretningen. Vi anbefaler faste rapporteringer til bestyrelse og direktion, målbare KPI’er for sikkerhed og målrettet træning af ledelsen, så de kan træffe informerede risikobaserede beslutninger.
• Virksomheder skal have strukturerede processer for risikovurdering, beredskab og håndtering af sikkerhedshændelser – alt skal dokumenteres og testes løbende. Vi ser bedst effekt, når virksomheder kombinerer risikovurderinger med beredskabsøvelser, scenarietræning og klare playbooks, så både IT og forretning ved, hvad de gør, når et angreb rammer.
• Manglende overholdelse kan føre til betydelige bøder, så praktisk implementering og opdateret dokumentation er afgørende. Vi anbefaler en konkret implementeringsplan med prioriterede tiltag, tydelige deadlines og ansvarlige ejere, så virksomheden både reducerer risiko og kan dokumentere fremskridt over for myndigheder.
• Sikkerhed er blevet en løbende indsats, hvor både forebyggelse, awareness og teknisk overvågning indgår som en fast del af hverdagen. Vi kombinerer typisk træning af medarbejdere, styrket adgangskontrol, løbende overvågning og klare processer for hændelseshåndtering, så virksomheden står stærkere før, under og efter et angreb.

NIS2 krav skærper forventningerne til virksomhedernes it-sikkerhed

NIS2-direktivet lægger barren langt højere for it-sikkerhed i både små, mellemstore og store virksomheder. Tidligere var primært kritiske sektorer og de største aktører pålagt krav om cyberbeskyttelse, men nu udvides ansvaret. Mange flere brancher og virksomhedsstørrelser er kommet med, hvilket gør det afgørende at forstå, hvordan NIS2 påvirker hverdagen for både ledelse og medarbejdere.

Sådan stiller NIS2 flere krav til flere virksomheder

Med NIS2 er det ikke kun de store drenge, der skal oppe sig på it-sikkerheden. Både offentlige og private virksomheder med væsentlig samfundsbetydning bliver omfattet. Det gælder nu også mange mindre virksomheder inden for sektorer som energi, sundhed, transport, finans, digital infrastruktur og forsyning samt en række digitalt drevne brancher.

Her er nogle af de vigtigste områder, hvor NIS2 strammer kravene op:

• Dokumentation af processer: Virksomheden skal kunne dokumentere sine it-sikkerhedsprocesser — fra trusselsvurdering til håndtering og genopretning.
• Forebyggelse i højsædet: Proaktive foranstaltninger skal implementeres, så sårbarheder opdages og lukkes, inden de bliver til reelle trusler.
• Håndtering af cyberangreb: Det forventes, at virksomheden har en klar handlingsplan, hvis uheldet er ude, samt procedurer for kommunikation under og efter et angreb.
• Brug af løbende risikovurdering: Kravene omfatter løbende vurderinger af risici og sikkerhedsniveau — ikke bare éngangsprojekter.
• Leverandørstyring: Også tredjeparter, samarbejdspartnere og leverandører skal vurderes og kontrolleres i forhold til deres it-sikkerhed.
• Ledelsesansvar: Ledelsen får et tydeligt ansvar for at sikre compliance og kan holdes ansvarlig ved manglende opfølgning.

Læs mere om de tekniske og organisatoriske krav under NIS2 for virksomheder.

Nødvendige praktiske tiltag for at leve op til NIS2

For at kunne leve op til de nye krav anbefaler vi at fokusere på både forebyggelse, træning, teknologi og dokumentation. Her er nogle konkrete trin:

• Gennemfør en grundig risikovurdering af alle væsentlige it-systemer og processer.
• Opret eller opdater virksomhedens informationssikkerhedspolitik, så den passer til NIS2-rammen.
• Træn medarbejderne regelmæssigt i it-sikkerhed og aktuelle trusler uden at gøre det kompliceret.
• Opbyg dokumenterede sikkerhedsprocedurer, så virksomheden altid kan vise, hvordan compliance tages seriøst.
• Indfør stærke adgangskontroller, to-faktor-login og sikre backuprutiner.
• Overvåg netværk og systemer for mistænkelig aktivitet — vær klar til at reagere hurtigt.
• Udfør tilbagevendende tekniske tests og øvelser, så både system og mennesker står klar til et eventuelt angreb.

Virksomheder, som arbejder struktureret og dokumenteret med it-sikkerhed, har langt bedre forudsætninger for at leve op til NIS2-kravene. Den praktiske værdi ligger i, at man både skærper forebyggelsen og er langt bedre stillet, hvis uheldet sker — både over for myndigheder og samarbejdspartnere. Læs mere om risici og konkrete løsninger på it-sikkerhed for virksomheder.

Hvilke virksomheder er omfattet af NIS2

NIS2-direktivet rammer langt flere virksomheder end tidligere. Fokus ligger især på de aktører, der leverer samfundskritiske tjenester. Det gælder både inden for energi, transport, sundhed, drikkevand, forsyning og digital infrastruktur. Derudover omfatter NIS2 både offentlige og private virksomheder også serviceleverandører, der har stor betydning for samfundets dagligdag.

Disse sektorer og aktører er inkluderet

For at give et overblik har vi her en liste over brancher og virksomheder, som nu skal forholde sig til kravene:

• Energisektoren, fx el-, olie- og gasleverandører
• Transportselskaber, herunder både offentlig transport og logistik
• Sundhedssektoren, som hospitaler, laboratorier og medicinalvirksomheder
• Drikkevands- og spildevandsforsyninger
• Digital infrastruktur som datacentre, cloud-tjenester og internetudbydere
• Offentlige leverandører af essentielle tjenester, f.eks. redning, myndigheder og administrativ IT
• Private virksomheder, der leverer kritiske produkter eller serviceydelser til samfundets infrastruktur

NIS2 har altså udvidet feltet betydeligt ift. hvilke virksomheder, der er med under direktivet sammenlignet med NIS1. Mange opdager først nu, at de faktisk kan være omfattet også mindre virksomheder, hvis deres ydelser vurderes som kritiske.

Hvem får et ansvar, og hvorfor er grænsen flyttet?

Det er NIS2’s ene mål at sikre en pålidelig og sikker drift af infrastrukturen, uanset om leverandøren er stor eller lille. Derfor kigger man ikke længere kun på størrelse, men også på hvor essentiel virksomhedens funktion er for samfundet. For eksempel kan en mindre leverandør til sundhedssektoren sagtens være med i direktivets gruppe, hvis et nedbrud kan forstyrre samfundskritiske processer.

Så arbejder du i, eller leverer du til, en virksomhed inden for de nævnte brancher, bør du få tjekket, om I er omfattet. Det kan kræve nye investeringer og processer, blandt andet øget IT-sikkerhed og styrket beredskab mod hackerangreb.

Konkret hvad betyder NIS2 krav for IT compliance

NIS2 stiller skærpede krav til hvordan vi som virksomhed dokumenterer, sikrer og løbende følger op på vores sikkerhedstiltag. Det handler ikke længere kun om at have tekniske løsninger klar, det handler om at vise, at vi tænker sikkerhed som en fast del af forretningen.

Krav til dokumentation, ledelse og kontinuerlig opfølgning

I praksis betyder NIS2, at vi skal sikre en række nøglepunkter:

• Sikkerhed skal have opbakning fra ledelsen. Virksomhedens topledelse kan ikke længere blot sende ansvaret videre til IT-afdelingen. Der skal ske en forankring på øverste niveau, hvor ledelsen dokumenterer, at IT-sikkerhed prioriteres og evalueres.
• Dokumentation af sikkerhedstiltag skal ligge klar. Vi skal kunne vise, hvilke tekniske og organisatoriske foranstaltninger vi har valgt, hvorfor vi har valgt netop dem og hvordan de implementeres. Det er ikke nok at have noget på papiret — det skal være dokumenteret, ajourført og tilgængeligt.
• Løbende risikovurdering er nødvendig. Systematiske vurderinger af trusler og sårbarheder skal gennemføres, opdateres og omfatte alle kritiske processer. Det giver os grundlaget for at prioritere indsatsen, så vi ikke kun reagerer, når skaden er sket.
• Vi skal have faste processer for at håndtere sikkerhedshændelser. Det gælder både at opdage hændelser hurtigt og at reagere struktureret på dem, samt at indrapportere alvorlige angreb eller brud til relevante myndigheder. Læs mere om typiske hackerangreb der kan true virksomheden.
• Compliance kræver systematisk opfølgning og kontrol. Ad hoc-løsninger duer ikke længere. Der skal ligge fast politikker og procedurer, der bliver fulgt op på og testet regelmæssigt, eksempelvis gennem øvelser og audits.

Hvis man ikke lever op til NIS2 kravene, kan det blive meget dyrt. Manglende overholdelse af kravene kan føre til bøder på op til 2% af virksomhedens globale omsætning. Det er derfor afgørende at få styr på processerne, dokumentationen og det ledelsesmæssige ejerskab.

Vi anbefaler at virksomheder får lavet en samlet plan for NIS2-compliance, eventuelt med rådgivning fra eksperter og løbende opkvalificering. Vores side om NIS2 giver overblikket – og du kan desuden få gode konkrete råd i vores webinar om at gøre virksomheden sværere at hacke.

Sådan styrker virksomheder deres it compliance i praksis

Praktiske skridt til at hæve sikkerheden

Mange organisationer oplever, at kravene fra NIS2 kræver handling. Vi anbefaler, at man starter med faste rutiner:

• Gennemfør løbende risikovurderinger, så de aktuelle trusler og sårbarheder bliver kendt og prioriteret. Det gør ens it-sikkerhedsarbejde både målrettet og effektivt.
• Opdater beredskabsplaner regelmæssigt, så man er forberedt på angreb og hurtigt kan reagere. Tydelige procedurer letter ansvaret, hvis et hackerangreb opstår.
• Udpeg en it-sikkerhedsansvarlig, som får kompetence til at flytte sikkerhed op på ledelsesniveau. Ansvarlighed samler indsatsen og løfter vigtigheden for hele organisationen.
• Sørg for undervisning og awareness-træning, så alle medarbejdere kender deres rolle i sikkerhedsarbejdet. En veluddannet stab spotter hurtigere trusler og undgår menneskelige fejl.
• Vælg løsninger til monitorering og logning af systemer. Løbende overvågning hjælper med tidlig opdagelse af unormale aktiviteter, så skader minimeres.

Læs mere om hvordan NIS2 påvirker jeres krav til sikkerhedsarbejde på vores guide om NIS2 og virksomheders it-sikkerhed.

Vigtigheden af eksterne samarbejdspartnere og systematisk rapportering

Hvis organisationen ikke har alle ressourcer eller den nødvendige erfaring med NIS2 internt, er det værd at samarbejde med eksterne rådgivere, som kan fremme både viden og processer. De hjælper også med at strukturere systematisk it-sikkerhed, så det bliver forankret i dagligdagen, ikke bare et punkt på to-do-listen.

Hav klare instrukser for rapportering, så eventuelle sikkerhedsbrud håndteres straks. Det nytter ikke at opdage angrebet for sent. I praksis sikrer man hurtig reaktion med faste procedurer og billede af, hvem der skal gøre hvad i et nødstilfælde.

Mange it-ansvarlige bruger også webinars og eksterne oplæg for at holde sig fagligt opdateret og få inspiration til arbejdet.

Fremtiden byder på flere krav, ikke færre. Ved at integrere løbende risikostyring, awareness og teknisk overvågning i dagligdagen, ruster man sig til at møde NIS2’s krav uden panik. Sikkerhed starter med et enkelt initiativ og varer ved, når det bliver en fælles opgave.

Hyppigste fejl og typiske udfordringer med NIS2

Almindelige fejl, vi ser hos virksomheder

Mange virksomheder undervurderer, hvor meget dokumentation NIS2 kræver for at kunne påvise deres it-sikkerhedsniveau. Typisk ser vi, at virksomheder:

• Tror de “har styr på det”, men mangler detaljeret beskrivelse og bevis for processer og kontroller
• Har opdaterede policies, men ikke dokumenterer træning eller awareness-aktiviteter
• Samler dokumentation et sted, men sørger ikke for at vedligeholde den løbende
• Ikke kan demonstrere, hvordan risikovurderinger og beredskabsplaner faktisk bliver testet i praksis
• Glemmer, at rapporterings- og overvågningskravene er blevet styrket markant med NIS2

Har du brug for praktiske råd til hvordan du gør din virksomhed sværere at ramme, kan du læse vores seks konkrete sikkerhedsråd.

Udfordringer, man ofte overser i praksis

Ledelsesforankring halter ofte. Mange tror, at NIS2 blot handler om teknik. Men compliance skal bakkes op af ledelsen – og det betyder løbende opfølgning, prioriteringer og ressourcer.

Det er fristende at se it-sikkerhed som “et projekt”, man kan sætte flueben ved og arkivere. Men det holder ikke længere. Med NIS2 skal sikkerheden leve i hverdagen, ikke kun på papiret. Kontroller og procedurer skal løbende vurderes, opdateres og testes.

En typisk fejl er også at tro, man kan slippe med det mindst mulige, fordi man undervurderer værdien af sine data eller tror, man ikke er interessant for angribere. Det er forkert. Selv mindre og mellemstore virksomheder rammes ofte af hackerangreb. Kravene gælder og myndighederne kontrollerer, at de faktisk bliver efterlevet.

Tendenser og fremtidsperspektiver for it-sikkerhed under NIS2

Virksomheder skal forvente flere krav og skærpede regler, efterhånden som NIS2-direktivet udvikler sig. Vi ser allerede en stigende regulering, der kræver mere end det hidtidige niveau af IT-sikkerhed. NIS2 er ikke bare et midlertidigt initiativ men en proces, der hele tiden tilføjer nye lag af krav og forventninger til virksomheder.

Fremtidige tendenser i IT-sikkerhed og compliance

Det betyder i praksis blandt andet:

• Flere krav om dokumentation: Virksomheder skal kunne dokumentere alle centrale sikkerhedsprocesser og beslutninger. Det gælder også processer for håndtering af hændelser, planlægning af sikkerhedsforanstaltninger og vedligeholdelse af kritisk infrastruktur.
• Standardiserede rammer: Myndigheder og brancheorganisationer arbejder mere systematisk frem mod fælles standarder for, hvordan dokumentation og risikostyring gennemføres. Det gør det lettere at sammenligne og validere cybersikkerheden på tværs.
• Kontinuerlig tilpasning: Den teknologiske udvikling, fra avancerede cyberangreb til udbredelsen af IoT og kunstig intelligens, betyder, at NIS2 ikke forbliver statisk. Vi forventer løbende opdateringer, der sikre, at kravene følger med både nuværende og kommende trusler.
• Øget fokus på IT compliance: At opretholde en høj IT-sikkerhed er ikke nok i sig selv. Det er mindst lige så vigtigt at kunne dokumentere, hvordan man arbejder med compliance. Vores erfaring viser, at compliance arbejdet ikke kun hjælper med at efterleve reglerne, men også øger virksomhedens modstandsdygtighed mod både kendte og nye trusler.

Vi anbefaler, at virksomheder holder sig ajour med de løbende ændringer og styrker deres dokumentation og processer løbende. Vores rådgivning tager altid højde for, at IT-sikkerhed er et dynamisk område, hvor både teknologi, regulering og trusselsbilledet ændrer sig hurtigt.

For at klæde dig bedst muligt på til NIS2’s nuværende og fremtidige krav, kan du se vores guide og hente 6 konkrete råd til effektiv cybersikkerhed, som gør din virksomhed sværere at hacke. Det hjælper ikke blot med compliance, men sikrer fremtidig robusthed mod cyberkriminelle.