Kontakt
  1. Teknologisk Institut
  2. Kurser
  3. Sådan kommer I i gang med NIS2-arbejdet i praksis
Kursusadministration

Kontakt os

Indtast venligst et validt navn
Eller dit telefonnummer
Sender besked
Tak for din besked
Vi beklager

På grund af en teknisk fejl kan din henvendelse desværre ikke modtages i øjeblikket. Du er velkommen til at skrive en mail til Send e-mail eller ringe til +45 72 20 30 00.

Topbillede til artiklen om IT-sikkerhed og Informationssikkerhed

Sådan kommer I i gang med NIS2-arbejdet i praksis

3 min.

Virksomheder og organisationer i hele Danmark står over for nye, skrappere krav til cybersikkerhed i forbindelse med EU’s NIS2-direktiv. Med stigende cybertrusler og større fokus på forretningskontinuitet er NIS2-implementering ikke længere et valg, men et lovkrav for relevante virksomheder. Det handler om at beskytte essentielle tjenester og sikre overholdelse af reglerne.

På Teknologisk Institut tilbyder vi flere forskellige kurser inden for NIS2.

1. Afklar om din virksomhed er omfattet af NIS2

Det første skridt er at afgøre, om din organisation er omfattet af NIS2. Direktivet gælder for mellemstore og store virksomheder i såkaldte essentielle og vigtige sektorer – fx energi, finans, transport, sundhed, digital infrastruktur, affaldshåndtering, fødevareproduktion og visse digitale tjenesteudbydere.  
Det danske NIS2-lovforslag lægger op til, at virksomheder, der lever op til bestemte størrelseskriterier og sektorafgrænsninger, bliver omfattet direkte af NIS2, mens andre, der arbejder tæt sammen med eller leverer til NIS2-omfattede virksomheder, indirekte kan blive mødt af krav fra samarbejdspartnere.

  • Direkte påvirkning: Er organisationen omfattet, skal den ifølge udkastet til dansk lovgivning registrere sig i Erhvervsstyrelsens register (fx via virk.dk) senest tre måneder efter lovens ikrafttræden.
  • Indirekte påvirkning: Selv hvis virksomheden ikke er direkte omfattet, kan der opstå krav om skærpet sikkerhed fra relevante kunder eller partnere.

Vurderingen kræver juridisk, teknisk og forretningsmæssig indsigt. Selve definitionen af dækkede sektorer og størrelseskrav kan findes i det danske lovforslag og direktivets tekst: Du kan læse mere om dette på Digitaliseringsstyrelsens hjemmeside.

2. Kortlæg virksomhedens kritiske systemer og processer

NIS2 stiller krav, der går ud over traditionel IT-sikkerhed. Det anbefales at skabe et overblik over, hvilke systemer, data og processer der er vitale for organisationens drift.  
De europæiske retningslinjer lægger vægt på forretningskritiske afhængigheder – fx for it-systemer, OT-miljøer, cloud-tjenester, dataopbevaring og eksterne leverandører.

  • Hvilke systemer, hvis de rammes af nedbrud eller kompromittering, vil true virksomhedens leverancer?
  • Hvilke processer og leverandører understøtter forretningsdriften?
  • Er der styr på backup, fysisk adgang og integration til tredjepartssystemer?

Første trin i overholdelse af NIS2 er en solid dokumentation og GAP-analyse i forhold til NIS2-kravene. Husk, at denne analyse bør forankres i organisationens risikovurdering – typisk med bistand fra eksterne og interne eksperter.

3. Dokumentér sikkerhedsniveauet og lav risikovurderinger

Efter NIS2 skal der føres omfattende dokumentation for information- og cybersikkerhed. Eksisterende politikker og beredskabsplaner skal systematisk opdateres, samles og kunne fremlægges for myndighederne.

  • Sikkerhedspolitikker: Gennemse og revider politikker, som skal afspejle praksis og opfylde NIS2-krav.
  • Risikovurdering: Løbende analyser, der vurderer organisationens sårbarheder og følger udviklingen i trusselsbilledet.
  • Beredskabsplaner: Skal fastlægge procedurer for håndtering, rapportering og opfølgning ved cybersikkerhedshændelser. NIS2 kræver underretning om væsentlige hændelser til myndigheder.

Mange større virksomheder og organisationer arbejder allerede med ISMS (Informationssikkerhedsledelsessystemer, fx ISO 27001). Her kan eksisterende systemer ofte tilpasses, dog med ekstra fokus på dokumentation og løbende risikovurderinger.


Trustpilot

4. Forankr ansvar i ledelsen og uddan medarbejdere

Et centralt element i NIS2 er ledelsesforankring. Direktivet skærper ledelsens personlige ansvar for tilstrækkelig cybersikkerhed og stiller krav om ledelsesmæssig inddragelse samt kompetenceopbygning.

  • Ledelsen: Skal involveres aktivt og dokumentere indsats for NIS2-compliance. Træning og uddannelse af ledelsen i principperne bag cybersikkerhed og NIS2 anbefales.
  • Medarbejdere: Medarbejdertræning og awareness-kampagner om informationssikkerhed, phishing og adgangskodehåndtering bliver nødvendige, da mange brud sker pga. menneskelige fejl.

Anvend evt. rapporteringsværktøjer, fx til phishing, og skab interne rutiner, der styrker cybersikkerhedskulturen.

5. Skærp leverandørstyring og kontrakter

NIS2 forpligter virksomheder til at håndtere risici forbundet med leverandører og underleverandører, både teknisk og kontraktuelt.

  • Medtag krav om cybersikkerhed i alle relevante kontrakter (fx krav om NIS2-overholdelse, hændelsesrapportering, revisioner og dokumentation).
  • Gennemgå leverandører og vurder deres sikkerhedsniveau (prøv fx spørgeskema, audits eller dokumentationsgennemgang).
  • Opdater kontrakter, så roller og ansvar – samt hændelsesrapportering – er klart og ensartet defineret.

Brug evt. skabeloner, tjeklister eller ekstern rådgivning for at sikre et godt udgangspunkt.

6. Implementér i faser og brug autoritative vejledninger

NIS2-implementering bør tilrettelægges som en trinvis proces, ikke som et enkelt projekt:

  • Prioritér de mest kritiske systemer og funktioner først.
  • Følg nationale vejledninger fra myndigheder og anerkendte standarder, fx ISO 27001 og de officielle NIS2-guides.
  • Overvej ekstern rådgivning, hvis organisationen ikke selv har de fornødne ressourcer eller kompetencer på området.

Statens It- og Telestyrelser har udgivet vejledninger og FAQ's.

Lyt også til vores podcasts

Konklusion: Kom i gang og styrk både sikkerhed og overholdelse af loven

NIS2 implementering kan umiddelbart synes kompleks, især for organisationer, der ikke tidligere har arbejdet systematisk med informationssikkerhed. Men de fleste større virksomheder har allerede mange af de nødvendige værktøjer fra fx ISO 27001 eller risikostyring.

Det afgørende er at starte processen i tide, dokumentere systematisk, forankre initiativet i ledelsen og lade implementeringen ske trinvist og risikobaseret.