Cybersikkerhed er rykket fra at være et teknisk anliggende til et ledelsesansvar. Mange virksomheder støder derfor hurtigt på begreber som CIS 18 og NIS2 – men hvad er forskellen egentlig, og hvordan hænger de sammen i praksis?
Denne guide giver dig et klart overblik, uden buzzwords, og viser, hvordan du arbejder struktureret med begge dele.
Hvad er CIS 18?
CIS 18 er et internationalt anerkendt cybersikkerheds-framework udviklet af Center for Internet Security.
Frameworket består af 18 konkrete sikkerhedskontroller, som tilsammen dækker de mest almindelige og kritiske cyberrisici.
CIS 18 fokuserer på handling:
- Hvilke kontroller bør være på plads?
- Hvordan reducerer vi risikoen i praksis?
- Hvordan arbejder vi systematisk med sikkerhed i hverdagen?
Frameworket bruges bredt af SMV’er, større virksomheder og cyberforsikringsselskaber som målestok for et “acceptabelt” sikkerhedsniveau.
Læs mere om CIS 18 her:
https://securefirst.dk/cis18-compliance/
Hvad er NIS2?
NIS2 er et EU-direktiv, vedtaget af European Union, som stiller lovpligtige krav til cybersikkerhed for udvalgte virksomheder og organisationer.
NIS2 handler primært om:
- Ledelsesansvar og governance
- Risikostyring
- Dokumentation og rapportering
- Håndtering og indberetning af sikkerhedshændelser
Hvor CIS 18 beskriver hvordan man arbejder med sikkerhed, fokuserer NIS2 på ansvar, krav og konsekvenser.
Læs mere om NIS2 her:
https://securefirst.dk/nis2-compliance/
CIS 18 vs. NIS2 – den korte forskel
CIS 18 og NIS2 er ikke alternativer. De supplerer hinanden.
- CIS 18 er et praktisk framework
- NIS2 er lovgivning
- CIS 18 hjælper dig med at gøre det rigtige
- NIS2 kræver, at du kan dokumentere det
En god tommelfingerregel:
CIS 18 viser vejen – NIS2 kræver, at du går den.
Hvordan hænger CIS 18 og NIS2 sammen i praksis?
Mange af NIS2’s krav kan direkte understøttes af CIS 18-kontroller, fx:
- Risikostyring → CIS 18: Risk Management
- Awareness og træning → CIS 18 kontrol 14
- Hændelseshåndtering → Incident Response
- Adgangsstyring → Identity & Access Management
Det betyder, at virksomheder, der allerede arbejder struktureret efter CIS 18, ofte står markant stærkere i forhold til NIS2-compliance.
SecureFirst samler dette i én løsning via:
- Awareness træning: https://securefirst.dk/awareness-traening/
- Phishing simulation: https://securefirst.dk/phishing-simulation/
- Monitorering af databrud: https://securefirst.dk/monitorering-af-databrud/
Typiske fejl virksomheder begår
En klassisk fejl er at fokusere udelukkende på NIS2, fordi det er lovpligtigt – uden at have et operationelt fundament.
Resultatet bliver ofte:
- Politikker uden praksis
- Dokumentation uden reel sikkerhed
- Stress op til audits og forsikringstjek
CIS 18 giver strukturen, der gør NIS2 håndterbar.
Hvordan SecureFirst hjælper
SecureFirst er bygget til netop denne virkelighed:
- Ét samlet overblik over compliance
- Træning og phishing-tests, der kan dokumenteres
- Løbende monitorering af risici
- Klar rapportering til ledelse, bestyrelse og forsikring
Se hvordan det fungerer i praksis:
https://securefirst.dk/
Beregn pris og niveau:
https://securefirst.dk/prisberegner/
FAQ – ofte stillede spørgsmål
Er CIS 18 lovpligtigt?
Nej. CIS 18 er et frivilligt framework, men bruges ofte som best practice og reference af både myndigheder og cyberforsikringsselskaber.
Er NIS2 relevant for alle virksomheder?
Nej. NIS2 gælder for udvalgte sektorer og virksomhedsstørrelser, men mange SMV’er bliver indirekte berørt via kunder, leverandører eller forsikringskrav.
Kan man være NIS2-compliant uden CIS 18?
Ja, i teorien. I praksis er CIS 18 en af de mest effektive måder at sikre, at NIS2-kravene også efterleves operationelt.
Hvor starter man, hvis man er i tvivl?
Start med overblik og awareness. De fleste brud skyldes menneskelige fejl – ikke teknik alene.
