NIS2 har flyttet cybersikkerhed fra IT-afdelingen og helt op på ledelsesniveau. Det betyder, at ledelsen ikke længere kan nøjes med at godkende politikker og tage orienteringer til efterretning. Den skal forstå risikobilledet, følge op på sikkerhedsindsatser og træffe beslutninger på et oplyst grundlag.
Samtidig stiller det skærpede krav til dig, der rapporterer til ledelsen. For hvad er det konkret, ledelsen skal have indsigt i? Hvor detaljeret skal rapporteringen være? Og hvordan sikrer du, at den ikke bare bliver en compliance-øvelse, men et reelt styringsværktøj?
NIS2 stiller krav til din rapportering
Med NIS2-direktivet er ledelsen blevet direkte ansvarlig for organisationens cybersikkerhed. I Danmark er direktivet implementeret gennem NIS2-loven, som stiller konkrete krav til, hvad din rapportering skal indeholde, og hvordan den skal bruges i praksis.
NIS2-loven stiller blandt andet krav om, at ledelsen:
-
godkender cybersikkerhedsforanstaltninger
-
fører aktivt tilsyn med implementeringen
-
gennemgår relevant træning
Når ledelsen har et formelt og personligt ansvar, er det ikke længere tilstrækkeligt at levere statusopdateringer og dokumentation. Du skal kunne give et klart beslutningsgrundlag, der gør det muligt at prioritere, handle og følge op.
LÆS OGSÅ: NIS2 i 2026: Når compliance møder eksekvering
Hvad skal ledelsen reelt have indsigt i?
For at kunne træffe beslutninger under NIS2 har ledelsen brug for et prioriteret og operationelt overblik. Din opgave er at omsætte sikkerhedsdata til indsigt, der gør det muligt at vurdere risiko, prioritere indsatser og følge fremdrift.
Nedenfor er de centrale områder, din rapportering bør dække:
Status på NIS2-implementering
Ledelsen skal kunne se, hvor organisationen står, og hvor den er på vej hen.
Det indebærer:
-
-
Identificerede gaps
-
Fremdrift på implementering
-
Plan og prioritering fremadrettet
-
Formålet er at give et klart billede af, om indsatsen er tilstrækkelig både i tempo og retning.
Risici og trusselsbillede
Rapporteringen skal give indsigt i det aktuelle risikoniveau og udviklingen over tid.
Det omfatter:
-
Overordnet risikobillede
-
Væsentlige ændringer i trusselslandskabet
-
Effekt af implementerede sikkerhedsforanstaltninger
Fokus er på de risici, der kan få konsekvenser for forretningen – fx nedetid, databrud eller manglende efterlevelse.
Sikkerhedshændelser og sårbarheder
Ledelsen skal have overblik over hændelser og kritiske svagheder, og hvordan de håndteres.
Det indebærer:
-
Oversigt over væsentlige hændelser
-
Status på håndtering og opfølgning
-
Kritiske sårbarheder og deres konsekvens
Det afgørende er ikke registrering, men konsekvens og læring.
Leverandørrisici
Tredjeparter er en central del af risikobilledet og skal fremgå tydeligt i rapporteringen.
Ledelsen bør have indsigt i:
-
Kritiske leverandører og deres adgang til systemer og data
-
Identificerede risici i leverandørkæden
-
Status på vurderinger og kontroller
Formålet er at synliggøre risici uden for organisationen.
Ledelsesrapportering under NIS2 – hvad er god praksis?
Når indholdet er på plads, afgøres værdien af, om ledelsen kan bruge rapporteringen til at træffe beslutninger. Det kræver en klar struktur og et konsekvent niveau i både overblik og detaljer.
1) Skab et klart overblik
Ledelsen skal hurtigt kunne aflæse tre ting – gerne visuelt:
-
Hvor står vi lige nu?
-
Hvad er de største risici?
-
Går udviklingen den rigtige vej?
Hvis det ikke er tydeligt, hvor organisationen er eksponeret, bliver prioritering tilfældig og opfølgning reaktiv.
2) Underbyg med dokumentation
Overblikket kan ikke stå alene. Derfor bør rapporteringen være opdelt i to niveauer:
-
Et kort beslutningslag
-
Et dokumentationslag med data, analyser og detaljer
Det gør det muligt at gå fra konklusion til årsag uden at drukne ledelsen i information.
3) Vis udviklingen over tid
Enkeltstående status giver begrænset værdi. Ledelsen skal kunne se, om indsatsen virker.
Det kræver:
-
Faste målepunkter
-
Sammenlignelig rapportering over tid
-
Synlig fremdrift (eller mangel på samme)
Uden det bliver tilsyn i praksis umuligt.
4) Kobling mellem information og handling
Rapportering skaber først værdi, når den fører til handling. Derfor skal det være tydeligt, hvilke beslutninger der forventes på baggrund af rapporteringen.
Det indebærer, at:
-
væsentlige risici kobles til konkrete tiltag
-
ansvar og ejerskab er tydeligt placeret
-
opfølgning indgår som en fast del af rapporteringen
Alternativt forbliver rapporteringen en status – ikke et styringsværktøj.
LÆS OGSÅ: Kom i gang med NIS2
Sådan bruger ledelsen rapporteringen
Formålet med rapporteringen er at understøtte ledelsens prioriteringer og opfølgning. Når risici, hændelser og fremdrift er tydeligt præsenteret, kan ledelsen:
-
prioritere indsatser og ressourcer
-
vurdere, hvilke risici der skal håndteres – og hvilke der kan accepteres
-
følge, om iværksatte tiltag reducerer risikoniveauet
Cybersikkerhed er dermed ikke en isoleret disciplin, men en del af den samlede forretningsstyring. Rapporteringen skal gøre konsekvenser og udvikling så klare, at der kan træffes beslutninger uden at dykke ned i tekniske detaljer.
Typiske udfordringer i ledelsesrapportering under NIS2
Manglende buy-in fra ledelsen
Manglende opbakning fra ledelsen kan være et spørgsmål om manglende relevans.
Hvis rapporteringen opleves som teknisk, abstrakt eller løsrevet fra forretningen, bliver den nedprioriteret. Derfor skal den tage udgangspunkt i konsekvenser.
Du skal aktivt oversætte risici til forretningspåvirkning: Hvad betyder det konkret, hvis en given sårbarhed udnyttes? Hvad er konsekvensen for drift, kunder eller compliance? Det kan fx være nedetid på kritiske systemer, som stopper produktionen eller leverancer, databrud der udløser underretningspligt og potentielle bøder eller manglende efterlevelse af NIS2, som kan føre til tilsynssager og sanktioner.
Når ledelsen kan spejle sig i scenarierne, ændrer dialogen sig fra orientering til stillingtagen.
Hvornår er en hændelse væsentlig?
Vurderingen af, hvornår en hændelse er væsentlig, er ikke entydig. Den samme hændelse kan have vidt forskellig betydning afhængigt af kontekst. Et kortvarigt systemnedbrud kan være ubetydeligt i én organisation, men kritisk i en anden, hvis det rammer produktion, kundevendte systemer eller samfundskritiske funktioner.
Derfor bør rapporteringen ikke kun beskrive hændelsen, men også konsekvensen. Hvad betyder hændelsen konkret for forretningen? Har den påvirket drift eller leverancer? Har den medført brud på databeskyttelsesregler eller krav under NIS2? Og er der risiko for gentagelse?
Supplerer du vurderingerne med klare, interne kriterier for, hvornår noget er væsentligt, giver du ledelsen et bedre grundlag for at forstå hændelsens betydning, prioritere indsatsen og træffe beslutninger om nødvendige tiltag.
I denne forbindelse er det vigtigt at skelne mellem den interne rapportering til ledelsen og den lovpligtige hændelsesunderretning. Ledelsesrapporteringen skal give ledelsen et retvisende billede af organisationens risici, konsekvenser og behov for handling, mens hændelsesunderretningen skal sikre, at myndighederne informeres om væsentlige hændelser inden for de lovbestemte rapporteringsfrister.
Leverandørrisici under NIS2
Tredjeparter er en væsentlig del af risikobilledet, men ofte et område, hvor rapporteringen bliver for overfladisk.
For at give ledelsen et reelt overblik skal rapporteringen synliggøre, hvilke leverandører der er kritiske, hvilken adgang de har og hvor der er identificeret risici. Det kan fx være leverandører med adgang til centrale IT-systemer, udviklingsmiljøer eller driftsplatforme eller leverandører, som organisationen er afhængig af for at kunne opretholde kritiske forretningsprocesser og levere sine tjenester. Hvis deres sikkerhedsniveau ikke er tilstrækkeligt, bliver det en direkte risiko for din egen organisation.
Først når det er tydeligt, hvor organisationen er eksponeret uden for egne systemer, kan ledelsen prioritere indsatsen og stille de nødvendige krav til leverandørerne.
Cybersikkerhed som en ledelsesdisciplin
Cybersikkerhed bevæger sig i retning af at blive en fast del af den løbende forretningsstyring på linje med økonomi, drift og compliance. Med NIS2 er forventningen, at organisationer kan dokumentere deres indsats og udvikle den over tid.
Fremadrettet vil de organisationer, der lykkes bedst, være dem, der formår at integrere cybersikkerhed i deres eksisterende styringsmodeller, hvor risici, prioriteringer og opfølgning håndteres som en naturlig del af ledelsesarbejdet.
Samtidig vil kravene til transparens og dokumentation fortsætte med at stige. Det betyder, at rapportering ikke kun skal fungere internt, men også kunne danne grundlag for dialog med tilsynsmyndigheder, revisorer og samarbejdspartnere.
I den kontekst bliver ledelsesrapportering en disciplin, der løbende skal udvikles i takt med organisationens risikobillede, teknologiske afhængigheder og regulatoriske krav. Det er her, næste modenhedsniveau ligger.
