Prøv vores Prisberegner
Prisberegner

Cyberforsikring og CIS 18 – derfor stiller forsikringsselskaber krav til din cybersikkerhed

januar 6, 2026
Cyberangreb er ikke længere kun et teknisk problem – det er en økonomisk risiko. Derfor stiller cyberforsikringsselskaber i stigende grad konkrete krav til virksomheders cybersikkerhed, før de vil tilbyde dækning. Mange bruger CIS 18 som reference, fordi frameworket giver et standardiseret og dokumenterbart sikkerhedsniveau, der gør det muligt at vurdere risiko mere objektivt. Uden struktureret sikkerhedsarbejde og tydelig dokumentation risikerer virksomheder afslag, højere præmie eller begrænset dækning.

Cyberangreb er ikke længere et teknisk problem. Det er en økonomisk risiko.
Derfor stiller flere og flere cyberforsikringsselskaber konkrete krav til virksomheders cybersikkerhed – og her spiller CIS 18 en central rolle.

Denne artikel forklarer:

  • Hvorfor cyberforsikringer bruger CIS 18 som reference
  • Hvilke krav der typisk stilles
  • Hvordan du undgår afslag, forhøjet præmie eller manglende dækning

Hvorfor cyberforsikring er blevet sværere at få

De seneste år har cyberforsikringsselskaber oplevet:

  • Flere ransomware-angreb
  • Større erstatningskrav
  • Dårlig sikkerhed hos forsikringstagere

Resultatet er:

  • Skærpede krav før tegning
  • Flere afslag
  • Højere selvrisiko og præmier

I dag spørger forsikringsselskaber ikke kun om I har sikkerhed – men hvordan I arbejder med den.

Hvorfor CIS 18 bruges som målestok

CIS 18 er udviklet af Center for Internet Security og er baseret på analyser af reelle angreb og kendte trusler.

For forsikringsselskaber giver CIS 18:

  • En standardiseret reference
  • Et dokumenterbart sikkerhedsniveau
  • En måde at vurdere risiko objektivt

Kort sagt:
CIS 18 reducerer usikkerhed – og usikkerhed er dyr for forsikringsselskaber.

Læs mere om CIS 18 her:
https://securefirst.dk/cis18-compliance/

Typiske krav fra cyberforsikringsselskaber

Selvom krav varierer, går de ofte igen inden for disse områder:

Awareness-træning af medarbejdere

Mange angreb starter med phishing. Derfor kræver forsikringsselskaber ofte dokumentation for:

  • Løbende awareness-træning
  • Test af medarbejdernes adfærd

Awareness træning:
https://securefirst.dk/awareness-traening/

Phishing-tests og måling

Ikke bare træning – men måling.
Forsikringsselskaber vil se, at virksomheden:

  • Tester phishing i praksis
  • Reducerer klikrate over tid

Phishing simulation:
https://securefirst.dk/phishing-simulation/

Incident Response – hvad gør I ved et angreb?

Mange forsikringssager går galt, fordi virksomheden ikke reagerer korrekt.

Derfor kræves ofte:

  • Klare procedurer
  • Dokumentation
  • Roller og ansvar

Dette overlapper direkte med både CIS 18 og NIS2.

NIS2 compliance:
https://securefirst.dk/nis2-compliance/

Overblik og monitorering

Forsikringsselskaber forventer i stigende grad, at virksomheder:

  • Overvåger kendte databrud
  • Reagerer hurtigt på nye risici

Monitorering af databrud:
https://securefirst.dk/monitorering-af-databrud/

Hvad sker der, hvis kravene ikke er opfyldt?

Manglende cybersikkerhed kan føre til:

  • Afslag på cyberforsikring
  • Forhøjet præmie
  • Begrænset dækning
  • Afvisning af erstatning ved hændelse

Det er ikke usædvanligt, at forsikringer indeholder klausuler, der gør dækningen betinget af dokumenteret sikkerhedsarbejde.

Hvordan CIS 18, NIS2 og cyberforsikring hænger sammen

  • CIS 18: Praktiske kontroller
  • NIS2: Lovkrav og ansvar
  • Cyberforsikring: Økonomisk risikovurdering

Virksomheder, der arbejder struktureret med CIS 18, står ofte stærkere på alle tre områder.

Overblik over NIS2:
https://securefirst.dk/nis2-compliance/

Hvordan SecureFirst gør kravene håndterbare

SecureFirst er bygget til netop dette krydsfelt mellem:

  • Compliance
  • Sikkerhed i praksis
  • Dokumentation

Platformen samler:

  • Awareness-træning
  • Phishing-simulation
  • Monitorering
  • Rapportering til ledelse og forsikring

Se platformen:
https://securefirst.dk/
Beregn niveau og pris:
https://securefirst.dk/prisberegner/

FAQ – cyberforsikring og CIS 18

Er CIS 18 et krav for cyberforsikring?

Ikke formelt, men mange forsikringsselskaber bruger CIS 18 som reference for et acceptabelt sikkerhedsniveau.

Kan man få cyberforsikring uden awareness-træning?

Det bliver stadig sværere. Awareness er ofte et minimumskrav.

Hvad kigger forsikringsselskaber mest på?

Menneskelig adfærd, phishing-risiko, incident response og dokumentation.

Hjælper NIS2 med cyberforsikring?

Ja. NIS2 tvinger virksomheder til struktur, som også reducerer forsikringsrisiko.

Dion Grydell

Introduktionsmøde – SecureFirst

Book en demoRing op

Spørgsmål?

Har du nogen spørgsmål er du altid velkommen til at kontakte os enten via telefon eller ved at sende os en mail.  

Kontakt
CIS 18 – de vigtigste kontroller for SMV’er (hvor bør du starte?)

CIS 18 – de vigtigste kontroller for SMV’er (hvor bør du starte?)

af | jan 6, 2026 |

CIS 18 kan hurtigt virke uoverskueligt for SMV’er – især når det dukker op via NIS2, cyberforsikring eller kundekrav. Derfor handler det ikke om at implementere alle 18 kontroller på én gang, men om at prioritere dem, der giver størst effekt først. En realistisk start er typisk awareness-træning og phishing-simulation, kombineret med bedre overblik over aktiver, klar incident response og løbende monitorering af databrud. Målet er struktureret sikkerhedsarbejde og dokumentation – uden unødigt kompleksitet.

CIS 18 vs. NIS2 – hvad er forskellen, og hvad betyder det for din virksomhed?

CIS 18 vs. NIS2 – hvad er forskellen, og hvad betyder det for din virksomhed?

af | jan 6, 2026 |

Cybersikkerhed er rykket fra at være et teknisk anliggende til et ledelsesansvar, og derfor møder mange virksomheder hurtigt CIS 18 og NIS2. CIS 18 er et praktisk framework med konkrete kontroller, der hjælper virksomheder med at reducere risiko og arbejde struktureret med sikkerhed i hverdagen. NIS2 er derimod lovgivning, der stiller krav til ledelsesansvar, dokumentation og håndtering af hændelser. Sammen giver de både retning og krav: CIS 18 viser, hvordan sikkerhed bygges operationelt — NIS2 kræver, at det kan bevises.

NIS2 i praksis – hvilket ansvar har ledelsen, og hvad risikerer I?

NIS2 i praksis – hvilket ansvar har ledelsen, og hvad risikerer I?

af | jan 6, 2026 |

NIS2 er ikke længere kun et spørgsmål om IT – det er et ledelsesansvar. Direktivet placerer ansvaret hos direktion og bestyrelse og kræver, at virksomheden kan dokumentere, hvordan cybersikkerhed prioriteres, styres og følges op. Ledelsen skal kunne vise, at risici identificeres og håndteres, at medarbejdere trænes, og at der findes klare procedurer ved sikkerhedshændelser. Ignoreres NIS2, kan konsekvenserne være alvorlige – både økonomisk og i form af personligt ansvar samt tab af tillid hos kunder og samarbejdspartnere.