Anmeldelse var det nemme skridt
Deadline er passeret. De fleste organisationer som omfattes af NIS2-loven har anmeldt sig til Center for Cybersikkerhed (CFCS). Formularen tog måske 20 minutter at udfylde. Godt — men anmeldelse var det administrative startskud, ikke mållinjen.
Nu begynder den fase som afgør om jeres sikkerhedsarbejde bliver reelt eller bare papir i en perm. Og det er her jeg ser at de fleste organisationer hænger fast.
Virkeligheden: Anmeldelse tog 20 minutter. Implementeringen tager 12–24 måneder. Men det betyder ikke at I kan vente — tilsynsmyndigheder kan indlede kontroller når som helst.
Tre fejl som jeg ser igen og igen
Anmeldelse er en administrativ handling, ikke et bevis på efterlevelse. Det er som at registrere et firma og tro at virksomheden dermed er i gang. Loven kræver at I faktisk implementerer sikkerhedsforanstaltninger, ikke bare at I meddeler at I omfattes.
Værktøjsfælden er virkelig. Jeg ser organisationer som investerer i GRC-platforme, SIEM-løsninger og sårbarhedsscannere før de overhovedet har kortlagt deres informationsaktiver. Værktøjer uden proces er som et kassesystem uden forretningsidé — det ser professionelt ud men giver ingen værdi.
NIS2-loven er tydelig: ledelsen er ansvarlig. Ikke IT-chefen, ikke CISO'en — ledelsen. At delegere ansvaret væk er ikke bare en dårlig strategi, det strider mod lovens intention. Bestyrelsen skal godkende politikker, sikre ressourcer og selv gennemgå uddannelse.
Hvad tilsynsmyndighederne faktisk leder efter
Det er nemt at tro at tilsyn handler om at have de rigtige dokumenter. Det gør det ikke. Tilsynsmyndighederne leder efter tre ting:
Systematik — Findes der en rød tråd? Har I identificeret hvilke informationsaktiver der er kritiske, vurderet risici mod dem, og valgt foranstaltninger baseret på den vurdering? Eller har I bare plukket kontroller fra en liste?
Sporbarhed — Kan I vise hvorfor I valgte netop de foranstaltninger I valgte? Kan I vise hvem der besluttede, hvornår, og på hvilke grundlag? Sporbarhed indebærer at hver beslutning har en dokumenteret forbindelse tilbage til en identificeret risiko.
Ledelsesengagement — Har bestyrelse og ledelse aktivt deltaget i sikkerhedsarbejdet? Findes der referater som viser at sikkerhedsspørgsmål er behandlet på ledelsesniveau? Har ledelsen gennemgået den uddannelse som loven kræver?
Dokumentation uden underliggende proces er teater.
En informationssikkerhedspolitik som ingen følger, en risikoanalyse som aldrig opdateres, en incidenthåndteringsplan som aldrig testes — det er ikke efterlevelse. Det er papir. Og tilsynsmyndigheder er trænet til at se forskellen.
Pragmatisk prioriteringsliste
I kan ikke gøre alt samtidigt. Men I kan begynde rigtigt. Her er den rækkefølge jeg anbefaler:
- Risikoanalyse Kortlæg jeres informationsaktiver, identificér trusler og sårbarheder, og vurdér risici. Uden risikoanalyse ved I ikke hvor I skal lægge ressourcer. Alt andet bygger på dette skridt.
- Sikkerhedsforanstaltninger Implementér foranstaltninger baseret på risikoanalysen — ikke baseret på hvad leverandøren sælger. Fokusér på de områder som NIS2 Artikel 21 specificerer: adgangskontrol, kryptering, netværkssikkerhed, uddannelse.
- Incidentberedskab Byg en incidenthåndteringsplan som faktisk fungerer. Definér roller, eskaleringsstrategier og rapporteringsformularer. Og test den — en plan som aldrig øves er bare en ønskeliste.
- Leverandørkontrol Identificér hvilke leverandører som har adgang til jeres kritiske informationsaktiver. Stil sikkerhedskrav og følg op. I kan ikke outsource jeres ansvar.
Fra checkliste til systematik
Der er en fundamental forskel mellem organisationer som afkrydser krav og organisationer som bygger virkelig sikkerhed. De førstnævnte har dokumenter. De sidstnævnte har processer.
| Checkliste-tænkning | Systematisk sikkerhedsarbejde |
|---|---|
| ”Vi har en politik" | "Vi har en politik som følges, gennemgås og opdateres" |
| "Vi har lavet en risikoanalyse" | "Vi laver risikoanalyser løbende og opdaterer ved ændringer" |
| "Vi har en incidentplan" | "Vi øver incidenthåndtering kvartalsvis" |
| "Vi stiller krav til leverandører" | "Vi følger op på leverandørers efterlevelse kontinuerligt” |
NIS2-loven handler ikke om at nå et slutmål. Den handler om at vise at I har et levende, systematisk sikkerhedsarbejde som udvikles i takt med virksomheden og trusselsbilledet.
Næste skridt
Begynd med at være ærlige om hvor I befinder jer. En GAP-analyse som kortlægger jeres nuværende situation mod NIS2-lovens krav er det mest effektive første skridt. Det giver jer et tydeligt billede af hvad der mangler — og hvad der allerede fungerer.
Securapilots GAP-analysemodul hjælper jer med at kortlægge præcis hvor I står i forhold til NIS2-lovens krav — uden at begynde fra nul. Tag udgangspunkt i jeres eksisterende processer og byg videre på det som allerede findes.
Ofte stillede spørgsmål
Hvad sker der efter anmeldelse til CFCS?
Anmeldelse er kun det første skridt. Organisationer skal nu implementere de sikkerhedsforanstaltninger som NIS2-loven kræver — risikostyring, incidentberedskab, leverandørsikkerhed og ledelsesengagement. Tilsynsmyndigheder kan når som helst indlede kontroller.
Hvad er de mest almindelige fejl efter NIS2-anmeldelse?
De tre mest almindelige fejl er: at tro at anmeldelse betyder at man er færdig, at begynde med at købe værktøjer i stedet for at forstå sine processer, og at delegere hele ansvaret til IT-afdelingen.
Hvordan ved jeg om min organisation opfylder NIS2-lovens krav?
Gennemfør en GAP-analyse som kortlægger nuværende situation mod lovens kravområder. Det giver et klart billede af hvad der mangler og hjælper jer med at prioritere de mest kritiske indsatser.
Kan tilsynsmyndigheden kontrollere os allerede nu?
Ja. NIS2-loven trådte i kraft 17. oktober 2024 og tilsynsmyndighederne har ret til at gennemføre kontroller. Der er ingen formel grace period for implementering.
