Multi-etnisk team af researchere

NIS2 bringer cybersikkerhed op på ledelsesniveau

Foto af Tue Ringsmose Madsen
Tue Ringsmose Madsen

Director, Technology Risk, EY Danmark

09 okt. 2025

NIS2 gør cybersikkerhed til et ledelsesansvar. Her er 10 beslutninger og beviser, der gør din virksomhed revisionsklar.

Opsummering:
  • Risikoen for at blive ramt at cyberangreb i Danmark er stigende.
  • NIS2 skærper kravene til governance, risikostyring, beredskab og rapportering.
  • For virksomhederne handler det især om at få de rigtige beslutninger på plads og kunne dokumentere, at de er omsat til praksis.

NIS2 skærper kravene til governance, risikostyring, beredskab og rapportering for både forretningen og for cybersikkerhed - med tydeligt ledelsesansvar og sanktioner ved manglende efterlevelse.

For virksomheder handler det især om at få de rigtige beslutninger på plads og kunne dokumentere, at de er omsat til praksis.

Er vi omfattet?

NIS2 opdeler regulerede virksomheder i vigtige og væsentlige enheder på tværs af sektorer (fx energi, sundhed, digital infrastruktur, fødevarer, affald m.fl.). Vurderingen afgør tilsynsniveau og krav til dokumentation—men ledelsesopgaverne er grundlæggende de samme.

Er NIS2 overhovedet relevant for min virksomhed?

Det er ikke sikkert – men givet, at truslen for cyberangreb bliver stadig mere tydelig i Danmark, så stiger risikoen for at blive ramt og dermed miste muligheden for at kunne levere på aftalte kontrakter.

Den risiko har dine kunder ikke lyst til at leve med, hvorfor en naturlig reaktion vil være at stille krav til dig som leverandør. Det er tilsvarende vigtigt, at dine leverandører ikke får problemer, da det kan påvirke din levering.

Tjek derfor i dag, hvad du har brug for i morgen, når kravet til dig kommer.

De 10 beslutninger – og “bevispakken” CFO/CEO bør have klar

  1. Forankring af ledelsesansvaret
    Hvorfor: Ansvaret for produktion, evnen til at levere som aftalt og renommé ligger i ledelsen – og dermed også ansvaret for håndtering af risici.
    Beslutning:     Hvem i ledelsen godkender og fører tilsyn med cybersikkerhedsrisici?
    Bevis: Godkendt sikkerhedspolitik, direktion-/bestyrelsesreferater, faste KPI/KRI‑rapporter.

  2. Fastlæg en risikopolitik og årlig cyklus
    Hvorfor: Det er ledelsen, der sætter retning og beslutter, hvilke risici, der skal håndteres og hvilke, virksomheden kan leve med.
    Beslutning:     Metode, tærskler og ejerkreds for risikovurdering.
    Bevis: Dokumenteret risikopolitik, risikoregister, prioriteret årlig plan og review‑log.

  3. Hændelsesberedskab med 24‑timers rapportering
    Hvorfor: Forskellen på at gætte sig til, hvordan en brand slukkes, - og være trænet i at slukke en brand hurtigt og effektivt - i praksis kan være forskellen mellem en lille skade og totalskade. Det samme gælder en it-hændelse.
    Beslutning:     Hvem vurderer, eskalerer og rapporterer hændelser?
    Bevis: Incident Response‑plan, øvelseslog, SLA for detektion/eskalering og rapportskabeloner.

  4. Driftskontinuitet og krisestyring (BCM/DR)
    Hvorfor: En del af en krise er evnen til at komme tilbage på sporet – igen her gør planlægning og træning en kæmpe forskel. Det er forskellen mellem noget vi tror, og noget vi ved.
    Beslutning:     Kritiske processer, RPO/RTO (maksimalt tilladt datatab og nedetid), testfrekvens og ansvar.
    Bevis: Godkendt BCM/DR‑plan, testprotokoller og forbedringslister.

  5. Leverandør‑ og forsyningskædesikkerhed
    Hvorfor: Rettidig omhu i dine forsyningskæder er risikominimering – du kan optimere lager og leverancehastighed med større sikkerhed, fordi du er sikker på at få råvare til tiden.
    Beslutning:     Kontraktkrav, due diligence og løbende kontrol af leverandører.
    Bevis: Standardkrav i kontrakter, tredjepartsrapporter, løbende kontrol/attestationsspor.

  6. Adgangsstyring og identiteter (MFA, SoD, “master keys”)
    Hvorfor: Du bestemmer, hvilke medarbejdere, der kan og skal arbejde med hvad – og i det sikrer, at ingen kan ødelægge for meget alene – så hvem skal kunne hvad hvornår?
    Beslutning:     Principper for tildeling og ændring, privilegerede adgange og review.
    Bevis: Adgangspolitik, kvartalsvise gennemgang af tildelte brugeradgange, log for privilegeret adgang og SoD‑kontroller.

  7. Sårbarhedsstyring og patching
    Hvorfor: En stor del af tekniske nedbrud sker på ikke-vedligeholdte systemer – sørg derfor for regelmæssigt vedligehold ligesom bilen, og produktionsmaskinerne.
    Beslutning:     Scannings‑/patchcyklus, risikobaseret prioritering og undtagelser.
    Bevis: Sårbarhedsrapporter, patchcompliance‑målinger, godkendte undtagelser.

  8. Backup og gendannelse
    Hvorfor: Der sker fejl – så det gælder om at være forberedt. Samtidig skal kritiske dele af produktionen stadig kunne køre – Ledelsen beslutter hvilke dele af forretningen, der har prioritet både før, under og efter et nedbrud.
    Beslutning:     Hvilke data, hvor ofte, hvor længe og hvordan testes gendannelser?
    Bevis: Backup‑strategi, gendannelsestests med dokumenterede resultater.

  9. Overvågning og logning
    Hvorfor: Alle nedbrud eller fejl varsles – det kan være en tyv, der kommer for tæt på døren om natten. Det kan være, at nogen forsøger at logge på et system, som der ikke skal være adgang til eller en mail om akut behov for finansielle transaktioner – fælles er, at du kan se det ske og du kan forberede, hvordan du reagerer.
    Beslutning:     Hvilke hændelser/logkilder overvåges, og hvem og hvordan skal der reageres?
    Bevis: SIEM/SOC‑playbooks, use‑cases, bevis for alarmer og opfølgning. (Undgå “logning uden formål”.)

  10. Ledelsestræning og awareness
    Hvorfor: Alle ovenstående beskrivelser kan dokumenteres – men det bliver kun aktiv og funktionel viden, hvis alle nøgleressourcer kender til de trufne beslutninger og ved, at de fungerer i praksis. Træn, træn, træn.
    Beslutning:     Årlig træning for ledelsen og målrettet awareness for nøglefunktioner.
    Bevis: Træningsplan, deltagerlister, testresultater og forbedringstiltag.
     

10‑ugers roadmap til “revisionsklar” NIS2‑governance

  • Uge 1–2: Afklaring og scope – er vi omfattet, gap‑billede, udpeg ansvar.
  • Uge 3–4: Politik og risikocyklus – godkend politikker og KPI/KRI‑ramme.
  • Uge 5–6: Beredskab og kontinuitet – opdater IR‑/BCM‑planer, planlæg øvelse.
  • Uge 7–8: Leverandører og adgange – kontraktkrav, due diligence, privilegerede adgange.
  • Uge 9: Overvågning, patch og backup – mål, måle, dokumentér.
  • Uge 10: Review og “bevispakke” – samlet dossier til bestyrelse/revisor/tilsyn.
     

Call‑to‑action

Start med en 2‑timers ledelsesworkshop: Bekræft omfang, beslut tre hurtigste gevinster og aftal rapporteringsformat til bestyrelsen.

Hvis du som virksomhed har brug for sparring til, hvordan ovenstående gribes an, så ræk ud til din revisor eller til EY's Technology Risk.

Sammendrag 

NIS2 er nu dansk lov og stiller skærpede krav til ledelsens ansvar for cybersikkerhed. For mange virksomheder er udfordringen ikke teknologien, det er governance, prioritering og dokumentation, som revisorer og myndigheder kan efterprøve. Denne artikel giver en praktisk ramme for 10 ledelsesbeslutninger og den tilhørende bevispakke (politik, målinger, tests og træning), som gør virksomheden både mere robust og tilsyns‑ og revisionsklar. Vi foreslår et 10‑ugers roadmap, der hjælper ledelsen med at komme i mål uden at stoppe driften.

Om denne artikel

Foto af Tue Ringsmose Madsen
Tue Ringsmose Madsen
Director, Technology Risk, EY Danmark
Rådgiver ledere om risikobaseret sikkerhed, der sikrer, at forretningens processer og leverancer forbliver stabile. Sikkerhed skal hjælpe virksomheden blomstre både i dag og i morgen.
Relaterede emner
Cybersecurity
Technology risk

EY refererer til den globale organisation og kan henvise til en eller flere af medlemsfirmaerne i Ernst & Young Global Limited, som hver især er en separat juridisk enhed. Ernst & Young Global Limited, som er et engelsk ‘company limited by guarantee’, yder ikke kunderådgivning.