Prøv vores Prisberegner
Prisberegner

NIS2 i praksis – hvilket ansvar har ledelsen, og hvad risikerer I?

januar 6, 2026
NIS2 er ikke længere kun et spørgsmål om IT – det er et ledelsesansvar. Direktivet placerer ansvaret hos direktion og bestyrelse og kræver, at virksomheden kan dokumentere, hvordan cybersikkerhed prioriteres, styres og følges op. Ledelsen skal kunne vise, at risici identificeres og håndteres, at medarbejdere trænes, og at der findes klare procedurer ved sikkerhedshændelser. Ignoreres NIS2, kan konsekvenserne være alvorlige – både økonomisk og i form af personligt ansvar samt tab af tillid hos kunder og samarbejdspartnere.

NIS2 er ikke kun et IT-anliggende. Det er et ledelsesansvar.
For første gang gør EU det helt tydeligt, at cybersikkerhed er noget, direktion og bestyrelse personligt skal forholde sig til.

Denne artikel forklarer, hvad NIS2 betyder i praksis for ledelsen – og hvordan ansvaret håndteres uden at gøre cybersikkerhed unødigt komplekst.

NIS2 flytter ansvaret op i ledelsen

NIS2 er et EU-direktiv vedtaget af European Union, og et af de største skift fra tidligere reguleringer er placeringen af ansvaret.

Det er ikke længere nok, at:

  • IT “har styr på det”
  • Man har en ekstern leverandør
  • Der findes politikker i en mappe

Ledelsen skal kunne påvise, at cybersikkerhed prioriteres, styres og følges op.

Overblik over NIS2:
https://securefirst.dk/nis2-compliance/

Hvad betyder “ledelsesansvar” konkret?

I praksis betyder NIS2, at ledelsen skal kunne dokumentere:

  • At der arbejdes struktureret med cybersikkerhed
  • At risici identificeres og håndteres
  • At medarbejdere trænes
  • At der findes klare procedurer ved hændelser
  • At der sker løbende opfølgning

Det handler ikke om teknisk viden – men om styring, prioritering og overblik.

Hvad risikerer ledelsen, hvis NIS2 ignoreres?

Konsekvenserne kan være alvorlige:

  • Bøder til virksomheden
  • Midlertidige påbud
  • Skærpet tilsyn
  • Personligt ansvar for ledelsesmedlemmer
  • Reputationsskade over for kunder og partnere

NIS2 gør det klart:
Manglende cybersikkerhed er ikke længere en undskyldelig fejl – det er en ledelsesmæssig forsømmelse.

Hvorfor CIS 18 er nøglen til at løfte ledelsesansvaret

Mange ledelser sidder fast i samme problem:

“Vi ved, at vi har ansvar – men hvordan arbejder vi konkret med det?”

Her kommer CIS 18 ind som det operationelle fundament.

CIS 18 giver:

  • En fælles struktur
  • Konkrete kontroller
  • Et sprog, ledelse og IT kan forstå sammen

CIS 18 compliance:
https://securefirst.dk/cis18-compliance/

Awareness og phishing – ledelsens skjulte risikoområde

De fleste sikkerhedsbrud starter ikke i teknikken – men hos mennesker.
Derfor er awareness-træning og phishing-tests direkte relevante for ledelsen.

NIS2 forventer, at:

  • Medarbejdere trænes løbende
  • Adfærd måles
  • Resultater følges op

Awareness træning:
https://securefirst.dk/awareness-traening/
Phishing simulation:
https://securefirst.dk/phishing-simulation/

Incident response – når noget går galt

Et centralt element i NIS2 er beredskab.
Ledelsen skal kunne svare på ét simpelt spørgsmål:

“Hvad gør vi, hvis vi bliver ramt i morgen?”

Det kræver:

  • Klare procedurer
  • Rollefordeling
  • Dokumentation
  • Overblik

Manglende reaktion kan være lige så alvorlig som selve angrebet.

Hvordan SecureFirst hjælper ledelsen i praksis

SecureFirst er bygget til at gøre ledelsesansvaret håndterbart – ikke teknisk.

Platformen giver:

  • Ét samlet overblik
  • Klar rapportering
  • Dokumentation til myndigheder og forsikring
  • Synlig fremdrift over tid

Se løsningen:
https://securefirst.dk/
Beregn niveau og pris:
https://securefirst.dk/prisberegner/

FAQ – ledelse og NIS2

Skal bestyrelsen involveres i NIS2?

Ja. NIS2 forventer, at cybersikkerhed behandles på ledelsesniveau.

Kan ledelsen gøres personligt ansvarlig?

Ja. NIS2 åbner for personligt ansvar, hvis ledelsen groft tilsidesætter sit ansvar.

Skal ledelsen forstå teknik?

Nej. Ledelsen skal sikre styring, prioritering og dokumentation – ikke kode.

Hvordan kommer man i gang?

Start med overblik, awareness og klare processer.

Dion Grydell

Introduktionsmøde – SecureFirst

Book en demoRing op

Spørgsmål?

Har du nogen spørgsmål er du altid velkommen til at kontakte os enten via telefon eller ved at sende os en mail.  

Kontakt
CIS 18 – de vigtigste kontroller for SMV’er (hvor bør du starte?)

CIS 18 – de vigtigste kontroller for SMV’er (hvor bør du starte?)

af | jan 6, 2026 |

CIS 18 kan hurtigt virke uoverskueligt for SMV’er – især når det dukker op via NIS2, cyberforsikring eller kundekrav. Derfor handler det ikke om at implementere alle 18 kontroller på én gang, men om at prioritere dem, der giver størst effekt først. En realistisk start er typisk awareness-træning og phishing-simulation, kombineret med bedre overblik over aktiver, klar incident response og løbende monitorering af databrud. Målet er struktureret sikkerhedsarbejde og dokumentation – uden unødigt kompleksitet.

CIS 18 vs. NIS2 – hvad er forskellen, og hvad betyder det for din virksomhed?

CIS 18 vs. NIS2 – hvad er forskellen, og hvad betyder det for din virksomhed?

af | jan 6, 2026 |

Cybersikkerhed er rykket fra at være et teknisk anliggende til et ledelsesansvar, og derfor møder mange virksomheder hurtigt CIS 18 og NIS2. CIS 18 er et praktisk framework med konkrete kontroller, der hjælper virksomheder med at reducere risiko og arbejde struktureret med sikkerhed i hverdagen. NIS2 er derimod lovgivning, der stiller krav til ledelsesansvar, dokumentation og håndtering af hændelser. Sammen giver de både retning og krav: CIS 18 viser, hvordan sikkerhed bygges operationelt — NIS2 kræver, at det kan bevises.

Cyberforsikring og CIS 18 – derfor stiller forsikringsselskaber krav til din cybersikkerhed

Cyberforsikring og CIS 18 – derfor stiller forsikringsselskaber krav til din cybersikkerhed

af | jan 6, 2026 |

Cyberangreb er ikke længere kun et teknisk problem – det er en økonomisk risiko. Derfor stiller cyberforsikringsselskaber i stigende grad konkrete krav til virksomheders cybersikkerhed, før de vil tilbyde dækning. Mange bruger CIS 18 som reference, fordi frameworket giver et standardiseret og dokumenterbart sikkerhedsniveau, der gør det muligt at vurdere risiko mere objektivt. Uden struktureret sikkerhedsarbejde og tydelig dokumentation risikerer virksomheder afslag, højere præmie eller begrænset dækning.