Prøv vores Prisberegner
Prisberegner

CIS 18 – de vigtigste kontroller for SMV’er (hvor bør du starte?)

januar 6, 2026
CIS 18 kan hurtigt virke uoverskueligt for SMV’er – især når det dukker op via NIS2, cyberforsikring eller kundekrav. Derfor handler det ikke om at implementere alle 18 kontroller på én gang, men om at prioritere dem, der giver størst effekt først. En realistisk start er typisk awareness-træning og phishing-simulation, kombineret med bedre overblik over aktiver, klar incident response og løbende monitorering af databrud. Målet er struktureret sikkerhedsarbejde og dokumentation – uden unødigt kompleksitet.

Mange virksomheder møder CIS 18 første gang i forbindelse med NIS2, cyberforsikring eller et kundekrav. Problemet er sjældent viljen – men overblikket.
18 kontroller kan hurtigt føles uoverskuelige, især for SMV’er uden en stor IT-afdeling.

Her får du en prioriteret og realistisk tilgang: hvilke CIS 18-kontroller giver mest effekt først – og hvorfor.

Hvad er CIS 18 – kort genopfriskning

CIS 18 er et cybersikkerheds-framework udviklet af Center for Internet Security, som samler de mest effektive sikkerhedstiltag mod nutidens trusler.

Frameworket bruges ofte som:

  • Praktisk fundament for cybersikkerhed
  • Reference ved NIS2-compliance
  • Kravgrundlag for cyberforsikring

Overblik over CIS 18:
https://securefirst.dk/cis18-compliance/

Hvorfor prioritering er afgørende for SMV’er

SMV’er har typisk:

  • Begrænsede ressourcer
  • Få specialister
  • Mange kasketter på samme person

Derfor er det sjældent realistisk at implementere alle 18 kontroller på én gang.
Effekt > perfektion er nøglen.

De 5 vigtigste CIS 18-kontroller for SMV’er

1. Awareness-træning (CIS kontrol 14)

Menneskelige fejl er fortsat den største årsag til sikkerhedsbrud.
Phishing, social engineering og svage adgangskoder starter næsten altid hos brugeren.

Awareness-træning giver:

  • Færre klik på phishing
  • Bedre rapportering af mistænkelig adfærd
  • Dokumentation over for ledelse og forsikring

Awareness træning hos SecureFirst:
https://securefirst.dk/awareness-traening/

2. Phishing-simulation (del af kontrol 14)

Træning virker bedst, når den testes i praksis.
Phishing-simulation viser, hvordan medarbejderne reagerer i virkeligheden – ikke i teorien.

Fordele:

  • Målbar risikoreduktion
  • Datadrevet forbedring
  • Klar dokumentation

Phishing simulation:
https://securefirst.dk/phishing-simulation/

3. Asset-overblik (Hardware & Software Inventory)

Man kan ikke beskytte det, man ikke kender.
Mange virksomheder mangler et opdateret overblik over:

  • Enheder
  • Brugere
  • Systemer
  • Adgange

Uden dette bliver både NIS2 og CIS 18 hurtigt teoretisk.

SecureFirst samler overblik og dokumentation ét sted.

4. Incident Response – hvad gør I, når noget sker?

Et angreb handler ikke kun om hvis – men hvornår.
CIS 18 anbefaler klare procedurer for:

  • Opdagelse
  • Håndtering
  • Kommunikation
  • Dokumentation

Det er centralt i både CIS 18 og NIS2.

NIS2 og hændelseshåndtering:
https://securefirst.dk/nis2-compliance/

5. Monitorering af databrud

Mange virksomheder opdager først databrud, når skaden er sket.
Proaktiv monitorering giver:

  • Tidlig advarsel
  • Hurtigere respons
  • Bedre dokumentation

Monitorering af databrud:
https://securefirst.dk/monitorering-af-databrud/

Hvordan CIS 18 understøtter NIS2 i praksis

NIS2 stiller krav til:

  • Risikostyring
  • Awareness
  • Incident response
  • Ledelsesansvar

CIS 18 giver den operationelle værktøjskasse, der gør kravene håndterbare i hverdagen.

Læs sammenhængen her:
https://securefirst.dk/nis2-compliance/

Sådan hjælper SecureFirst SMV’er i mål

SecureFirst er bygget til virksomheder, der:

  • Vil arbejde struktureret – uden kompleksitet
  • Skal kunne dokumentere deres sikkerhed
  • Mangler tid til manuelle processer

Platformen samler:

  • Træning
  • Phishing
  • Monitorering
  • Compliance-overblik

Få overblik:
https://securefirst.dk/
Beregn niveau og pris:
https://securefirst.dk/prisberegner/

FAQ – CIS 18 for SMV’er

Skal SMV’er implementere alle 18 kontroller?

Nej. CIS anbefaler selv prioritering. Start med de kontroller, der reducerer risikoen mest.

Hvilken kontrol giver hurtigst effekt?

Awareness-træning og phishing-simulation giver typisk den største risikoreduktion på kort tid.

Er CIS 18 nok til NIS2?

CIS 18 dækker ikke jura, men understøtter langt størstedelen af de tekniske og organisatoriske krav.

Hvor starter man?

Start med overblik og mennesker – ikke kun teknik.

Dion Grydell

Introduktionsmøde – SecureFirst

Book en demoRing op

Spørgsmål?

Har du nogen spørgsmål er du altid velkommen til at kontakte os enten via telefon eller ved at sende os en mail.  

Kontakt
CIS 18 vs. NIS2 – hvad er forskellen, og hvad betyder det for din virksomhed?

CIS 18 vs. NIS2 – hvad er forskellen, og hvad betyder det for din virksomhed?

af | jan 6, 2026 |

Cybersikkerhed er rykket fra at være et teknisk anliggende til et ledelsesansvar, og derfor møder mange virksomheder hurtigt CIS 18 og NIS2. CIS 18 er et praktisk framework med konkrete kontroller, der hjælper virksomheder med at reducere risiko og arbejde struktureret med sikkerhed i hverdagen. NIS2 er derimod lovgivning, der stiller krav til ledelsesansvar, dokumentation og håndtering af hændelser. Sammen giver de både retning og krav: CIS 18 viser, hvordan sikkerhed bygges operationelt — NIS2 kræver, at det kan bevises.

Cyberforsikring og CIS 18 – derfor stiller forsikringsselskaber krav til din cybersikkerhed

Cyberforsikring og CIS 18 – derfor stiller forsikringsselskaber krav til din cybersikkerhed

af | jan 6, 2026 |

Cyberangreb er ikke længere kun et teknisk problem – det er en økonomisk risiko. Derfor stiller cyberforsikringsselskaber i stigende grad konkrete krav til virksomheders cybersikkerhed, før de vil tilbyde dækning. Mange bruger CIS 18 som reference, fordi frameworket giver et standardiseret og dokumenterbart sikkerhedsniveau, der gør det muligt at vurdere risiko mere objektivt. Uden struktureret sikkerhedsarbejde og tydelig dokumentation risikerer virksomheder afslag, højere præmie eller begrænset dækning.

NIS2 i praksis – hvilket ansvar har ledelsen, og hvad risikerer I?

NIS2 i praksis – hvilket ansvar har ledelsen, og hvad risikerer I?

af | jan 6, 2026 |

NIS2 er ikke længere kun et spørgsmål om IT – det er et ledelsesansvar. Direktivet placerer ansvaret hos direktion og bestyrelse og kræver, at virksomheden kan dokumentere, hvordan cybersikkerhed prioriteres, styres og følges op. Ledelsen skal kunne vise, at risici identificeres og håndteres, at medarbejdere trænes, og at der findes klare procedurer ved sikkerhedshændelser. Ignoreres NIS2, kan konsekvenserne være alvorlige – både økonomisk og i form af personligt ansvar samt tab af tillid hos kunder og samarbejdspartnere.