NIS2 er ikke længere noget, organisationer kun forholder sig til på et strategisk niveau. De fleste er allerede i gang. De har kortlagt systemer, gennemført gap-analyser og udarbejdet politikker.
Fokus har flyttet sig fra planlægning til implementering – og i stigende grad til drift. Det betyder, at organisationen ikke længere kun skal dokumentere tilgangen, men reelt få sikkerhedsforanstaltningerne til at fungere i hverdagen.
Samtidig tegner der sig et tydeligt billede i 2026: Mange organisationer har fået styr på rammerne, men mangler at omsætte dem til handling.
Typisk ser vi, at:
- scope er defineret, men uden reel prioritering
- leverandørkrav er etableret, men svære at håndtere i praksis
- risikostyring er beskrevet, men ikke aktivt brugt i beslutninger
Det efterlader tre udfordringer, som mange organisationer står med netop nu:
- Hvordan afgrænser man scope?
- Hvordan håndterer man leverandører uden at drukne i krav?
- Hvordan etablerer man en risikostyring, der fungerer i praksis?
NIS2: Fra planlægning til operationel virkelighed
Arbejdet med NIS2 har ændret karakter i 2026. Det handler ikke længere om, hvad organisationen skal gøre, men om at få kravene til at fungere i praksis. Sikkerhedsforanstaltninger skal være operationelle, anvendes konsekvent og være forankret i klare roller og ansvar.
Det stiller skærpede krav til governance. Ansvar skal være tydeligt placeret, og arbejdet skal tage udgangspunkt i en risikobaseret prioritering, hvor indsatsen fokuseres på de mest kritiske systemer og afhængigheder.
Det er i den fase, mange organisationer møder de største udfordringer – ikke fordi kravene er uklare, men fordi de skal omsættes til konkrete processer i en kompleks driftssituation.
Billedet er ofte, at:
- kontroller er beskrevet, men ikke anvendes konsekvent
- roller er defineret, men ikke forankret i organisationen
- prioriteringer sker ad hoc frem for risikobaseret
NIS2 stiller ikke kun krav til tekniske foranstaltninger, men også til forankring i organisationen. Uden tydelig ledelsesforankring bliver arbejdet fragmenteret og svært at drive frem.
Resultater er, at ansvaret for risici er uklart placeret, og beslutninger træffes uden et fælles risikobillede.
God governance indebærer blandt andet:
- tydeligt ejerskab i ledelsen
- klare roller og ansvar på tværs af organisationen
- en fælles tilgang til risikobaseret beslutningstagning
Når governance er på plads, bliver det muligt at prioritere indsatsen og sikre fremdrift i arbejdet med NIS2 – særligt i forhold til scoping, leverandørstyring og risikostyring.
Scoping: Hvad er egentlig omfattet af NIS2?
Scoping er et af de steder, hvor mange organisationer mister overblikket.
NIS2 tager udgangspunkt i begrebet network and information systems. Det dækker bredere end klassiske IT-systemer og omfatter alle aktiver, der kan påvirkes af cybertrusler, herunder:
- systemer og applikationer
- netværk og infrastruktur
- databaser og dataplatforme
- digitale services
De typiske fejl er at behandle alle systemer ens og at udarbejde omfattende systemlister uden prioritering. Resultatet er en spredt indsats, hvor de mest kritiske områder ikke får tilstrækkeligt fokus.
Derfor er klassificering afgørende, og systemer bør vurderes ud fra deres betydning for:
- organisationens kerneydelser
- leveringen af de services, der er omfattet af NIS2
- konsekvensen ved nedbrud eller kompromittering
Det giver grundlag for at prioritere indsatsen og sikre, at ressourcerne bruges dér, hvor risikoen er størst.
Og det samme princip gælder for leverandører.
Ikke alle leverandører er relevante i en NIS2-sammenhæng. Fokus bør være snævert og rettet mod de leverandører, der faktisk påvirker sikkerheden.
En praktisk tilgang til scoping
En enkel tilgang til scoping er:
- kortlæg systemer og leverandører
- klassificer dem efter kritikalitet og risiko
- prioriter indsatsen på de højeste risici
Formålet er ikke at reducere scope, men at skabe overblik og retning i arbejdet.
Leverandørstyring i NIS2: Få styr på krav og niveau
Leverandørstyring fylder markant i NIS2, og det er samtidig et område, hvor mange organisationer overimplementerer.
Typisk stilles der omfattende krav til alle leverandører, hvilket fører til:
- lange kravkataloger
- tunge processer
- manglende fremdrift
Resultatet er ofte det modsatte af intentionen: høj kompleksitet og lav effekt.
Men leverandører er ikke automatisk underlagt NIS2, medmindre de selv er direkte omfattet. Det afgørende er derfor ikke, om leverandøren er “NIS2-compliant”, men om sikkerhedsniveauet er passende i forhold til den risiko, leverandøren introducerer.
Leverandører er altså ikke “indirekte omfattet” af NIS2 gennem deres kunder. De er ansvarlige for at levere et sikkerhedsniveau, der er tilstrækkeligt i relation til den konkrete leverance.
Organisationen skal derfor differentiere – fx:
- En hostingleverandør vil typisk have omfattende tekniske sikkerhedskrav
- En konsulent med systemadgang vil have fokus på adgangsstyring og awareness
- En leverandør uden adgang til data eller systemer vil have begrænsede krav
For leverandører betyder det, at individuelle kundekrav hurtigt skaber parallelle kravsæt, som øger kompleksitet og omkostninger uden nødvendigvis at øge sikkerhedsniveauet tilsvarende.
En mere effektiv tilgang er at arbejde proaktivt:
- identificer hvilke risici jeres løsning introducerer hos kunden
- definer relevante sikkerhedsforanstaltninger
- dokumenter dem og gør dem til en del af jeres standardsetup
Det giver et klart udgangspunkt i dialogen med kunderne og reducerer behovet for at håndtere individuelle krav fra sag til sag.
Sådan arbejder I struktureret med leverandører
En praktisk tilgang kan opdeles i tre trin:
- Stil krav gennem kontrakter
- Brug leverandørens eksisterende sikkerhedssetup, hvor det er muligt
- Suppler med specifikke krav baseret på risiko
- Følg op med audit
Tilpas omfanget efter risiko:
- lav risiko → erklæring eller self-assessment
- høj risiko → certificering eller dybere audit
- Vurder den samlede risiko
- Er sikkerhedsniveauet tilstrækkeligt?
- Skal der stilles yderligere krav?
- Er der behov for alternativer?
Formålet er ikke at standardisere kravene, men at ramme det rette niveau for den enkelte leverandør.
Risikostyring i praksis
Risikostyring er kernen i NIS2. Organisationen skal kunne dokumentere, at risici er identificeret, vurderet systematisk og håndteret på et oplyst grundlag.
Mange organisationer har allerede arbejdet med risikostyring i årevis. Alligevel opstår der udfordringer, når arbejdet skal leve op til NIS2.
Typiske udfordringer er, at:
- risikovurderinger gennemføres, men ikke bruges aktivt i prioriteringer
- vurderinger foretages forskelligt på tværs af organisationen
- arbejdet bliver en dokumentationsøvelse frem for et styringsværktøj
Konsekvensen er, at risikostyring mister sin effekt i beslutningsprocesser.
En velfungerende risikostyringsproces bør som minimum indeholde:
- en klar afgrænsning af scope
- fælles risikokriterier for sandsynlighed og konsekvens
- en fast metode til vurdering og prioritering
- en tydelig tilgang til håndtering og opfølgning
Det afgørende er ikke, hvilken model der anvendes, men at den bruges konsekvent på tværs af organisationen.
Samtidig skal risikostyring være en integreret del af driften, og det kræver klare triggers for, hvornår en risikovurdering skal opdateres – fx ved:
- nye systemer eller leverandører
- ændringer i eksisterende setup
- nye trusler eller sårbarheder
Derudover kræver det involvering fra flere dele af organisationen, da risikostyring ikke er en enkelt persons ansvar – det er en fælles disciplin.
NIS2 er først lige begyndt
For mange organisationer vil 2026 føles som en milepæl. Kravene er implementeret, processerne er etableret og dokumentationen er på plads.
Men NIS2 er ikke en statisk øvelse. Trusselsbilledet ændrer sig løbende, afhængigheder bliver mere komplekse og kravene til dokumentation og governance vil udvikle sig i takt med myndighedernes tilsyn.
Det betyder, at organisationer skal bevæge sig fra et projektfokus til en vedvarende disciplin, hvor:
- risikostyring løbende opdateres og anvendes aktivt
- leverandørstyring justeres i takt med ændrede afhængigheder
- prioriteringer revurderes i takt med nye trusler og forretningsændringer
De organisationer, der lykkes, er ikke nødvendigvis dem, der implementerer flest kontroller, men dem, der formår at tilpasse sig og træffe de rigtige beslutninger over tid.
