Du kender dem efterhånden. NIS2. GDPR. DORA. Cyber Resilience Act. AI Act. Cybersäkerhetslagen (den svenske cybersikkerhedslov). Seks regelsæt, hvert med sine krav, sine frister og sine tilsynsmyndigheder.
Hver for sig håndterbare. De fleste organisationer er i gang med noget: en GDPR-kortlægning her, en NIS2-udredning der, måske en AI-politik som nogen fik til opgave at skrive.
Men her er det, ingen siger højt: de overlapper alle i præcis de samme krav.
Seks regelsæt, fem fælles krav
Risikostyring. Ledelsesinvolvering. Dokumentation. Rapportering. Leverandørkontrol.
Fem forventninger, der går igen i hvert regelsæt. De fleste organisationer håndterer dem i separate spor. Separate ansvarlige. Separate tidsplaner. Dokumentsamlinger, som ingen har overblik over.
Fem krav som alle seks regelsæt deler:
- Systematisk risikostyring. NIS2, GDPR, DORA, CRA og AI Act kræver alle, at risici identificeres, vurderes og håndteres løbende.
- Dokumenteret ledelsesansvar. Direktion og bestyrelse skal godkende, overvåge og kunne begrunde sine prioriteringer.
- Hændelsesrapportering. Snævre frister, tydelige eskaleringsveje, dokumenterede processer.
- Leverandørkontrol. Tredjepartsvurdering ved indkøb og løbende opfølgning.
- Sporbar dokumentation. Hvem besluttede hvad, hvornår og hvorfor. Den tråd søger revisorer altid.
Resultatet af at håndtere disse i separate spor? Parallelle compliance-initiativer, som ingen har helhedsbilledet over. Dobbeltarbejde. Modstridende prioriteringer. En ledelsesgruppe, der tror, at alt er under kontrol, fordi hvert enkelt spor rapporterer grønt.
En SAFEict/HarmonyQ-undersøgelse fra februar 2026 viser det samme mønster for Nederlandene og Belgien. Et integreret ledelsessystem mindsker dobbeltarbejdet: de samme kontroller kan påvises for flere regelsæt samtidig. Vores guide om kontrolmapping for multi-framework compliance beskriver fremgangsmåden trin for trin.
Hvorfor det ikke er et IT-problem
Det er fristende at delegere reguleringshåndteringen til IT-afdelingen. Det er jo “tekniske” regelsæt.
Kravbilledet peger i en anden retning. NIS2 og Cybersäkerhetslagen fastslår eksplicit ledelsesansvar. Direktion og bestyrelse skal dokumentere deres involvering. Risikovurderinger skal forankres på ledelsesniveau. Ressourceallokering skal kunne begrundes.
Det kan en IT-chef ikke løse alene. Det kræver, at organisationens styringsstruktur er tydelig og afprøvet. Hvem beslutter hvad, hvornår og på hvilket grundlag?
Beata Kaminski, cybersikkerhedsekspert med fokus på NIS2-strategi for små og mellemstore virksomheder, opsummerer det i sin analyse af den danske reguleringsbevægelse. Den væsentligste ændring er ikke teknisk kompleksitet. Det er governance-kompleksitet.
Den observation gælder hele Norden. Vi har skrevet mere om ledelsens specifikke ansvar under NIS2.
Sveriges specifikke situation
I Sverige trådte Cybersäkerhetslagen (SFS 2025:1506) i kraft den 15. januar 2026. Den implementerer NIS2-direktivet og indebærer en skærpelse i forhold til tidligere lovgivning.
Cybersäkerhetslagen kræver blandt andet:
- Systematisk risikostyring baseret på en allrisikotilgang
- Hændelsesrapportering med snævre frister
- Leverandørkontrol som en del af risikostyringen
- Dokumenteret ledelsesansvar, hvor bestyrelse og direktion skal kunne vise deres involvering
Læs mere i vores gennemgang af fem ting du skal vide om Cybersäkerhetslagen.
Parallelt nærmer AI Acts frister sig. Organisationer, der anvender AI-systemer i højrisikokategorier, skal have governance-strukturer på plads. GDPR-praksis skærpes løbende. Og for finanssektoren tilføjer DORA yderligere krav til digital operationel resiliens.
Din organisation er berørt. Spørgsmålet er, om jeres svar er struktureret nok.
Fem tegn på, at jeres styring ikke holder
Disse mønstre dukker op i organisation efter organisation. Genkender du tre eller flere, er det tid til at handle.
I har en GDPR-ansvarlig, en NIS2-ansvarlig og nogen, der "tager AI". Men ingen, der ser, hvordan kravene hænger sammen, og kan koordinere indsatserne.
I stedet for per forretningsproces. Den samme risiko dokumenteres tre gange i tre systemer med tre forskellige vurderinger.
Politikker godkendes på ledelsesmødet. Men ingen i lokalet kan beskrive, hvilke risici der begrundede beslutningerne.
Leverandører granskes ved kontraktindgåelse. Systematisk opfølgning i kontraktperioden mangler.
Jeres hændelseshåndtering er en plan i en mappe, ikke en afprøvet proces. Ingen ved, om rapporteringsfristerne holder, før det virkelig brænder på.
Hvert enkelt punkt kan afhjælpes. Men tilsammen afslører de noget dybere: fraværet af en fælles styringsstruktur. Præcis det, som reguleringsbølgen 2026 tester.
Løsningen: Én styringsstruktur, ikke flere tjeklister
Løsningen på reguleringsoverbelastningen er ikke flere værktøjer eller flere konsulenter. Det er at bygge et fælles fundament, der bærer alle regelsæt.
- Saml kravene i én struktur NIS2, GDPR, DORA, CRA og AI Act overlapper i kerneprocesserne: risikostyring, leverandørkontrol, hændelseshåndtering, logning og bevisførelse. I stedet for separate compliance-projekter bør disse mappes mod de samme processer, aktiver og informationsstrømme. Vores [guide til kontrolmapping](/blogg/multi-framework-compliance/) viser, hvordan det gøres.
- Forankr risikovurderinger på ledelsesniveau Ledelsen skal forstå, hvilke forretningsbeslutninger risiciene driver. De skal kunne forklare deres prioriteringer. At godkende en risikomatrix og delegere nedad er ikke nok.
- Dokumentér beslutninger systematisk Hvem besluttede hvad, hvornår og hvorfor? Det er den gyldne tråd, som revisorer og tilsynsmyndigheder søger: ubrudt sporbarhed fra forretningsprocesser til risici til kontroller. Uden den er compliance-dokumentation blot teater.
- Kortlæg informationsstrømme Du kan ikke styre det, du ikke kan se. Hvilke systemer behandler hvilken information? Hvor flyder data mellem forretningsprocesser, IT-systemer og datakilder? Den kortlægning er grundlaget for risikovurdering og regeloverholdelse. Start med en [GAP-analyse](/blogg/gap-analys-nis2-guide/) for at identificere, hvor I står.
- Test beredskabet, før tilsynet gør det Hændelseshåndtering, leverandøropfølgning, rapporteringsprocesser. Alt skal være afprøvet, ikke beskrevet i et dokument, som ingen har åbnet siden sidste revision. Organisationer, der kan dokumentere modenhed, står stærkere ved tilsyn. De vinder også udbud lettere og bygger bedre kunderelationer.
Fra omkostning til konkurrencefordel
Det er let at se reguleringsbølgen som en belastning. Mere papirarbejde. Højere omkostninger.
Men det perspektiv holder ikke længere. Cybersikkerhed og den governance, der bærer den, er en konkurrenceparameter. Offentlige udbud kræver det. Kunder forventer det.
Organisationer, der bygger en sammenhængende styringsstruktur nu, opfylder regulatoriske krav og mindsker dobbeltarbejde på samme tid. Den governance-modenhed, det giver, er synlig udadtil.
De, der ikke gør det, bygger facader. Facader holder ikke, når det blæser.
Tre spørgsmål at tage med til ledelsesgruppen
Start her. Hvis I ikke kan svare ja på alle tre, er det et tegn på, at styringsstrukturen bør gennemgås.
Behandles cyberrisiko systematisk på ledelsesniveau, eller er det delegeret til IT?
Kan I dokumentere jeres prioriteringer, beslutninger og begrundelser?
Er ansvar og beslutningsgange afprøvede, eller findes de kun på papir?
Reguleringsbølgen 2026 kommer samlet. Svaret skal være det også.
Vi har tidligere skrevet om hvorfor compliance ikke mindsker risiko uden styring og om GDPR og NIS2-integration. Denne artikel bygger videre på de indsigter.
Sådan kan Securapilot hjælpe
- Integreret compliance: NIS2, GDPR, ISO 27001 og DORA i ét system med kontrolmapping
- Fælles risikoregister: Ét risikobillede, der dækker alle regelsæt, med tydelige ejere per risiko
- Hændelsesrapportering: Automatisk tilpasning af rapporteringsproces per regelsæt og frist
- Ledelsesoverblik: Samlet risikobillede for bestyrelse og ledelse, i klart sprog
- Sporbarhed: Komplet beslutnings- og tiltagshistorik til tilsyn og revision
Book en demo og se, hvordan en samlet styringsstruktur ser ud i praksis.
Vil du starte med et overblik? Prøv vores gratis compliance-værktøj for at se, hvor I står.
Ofte stillede spørgsmål
Har vi brug for separate processer for hvert regelsæt?
Nej. NIS2, GDPR, DORA, CRA og AI Act overlapper i fem kerneprocesser: risikostyring, hændelseshåndtering, ledelsesansvar, leverandørkontrol og dokumentation. En samlet styringsstruktur med kontrolmapping dækker alle seks regelsæt uden dobbeltarbejde.
Hvilket regelsæt skal vi starte med, hvis vi ikke opfylder nogen?
Start med Cybersäkerhetslagen og NIS2, som allerede har været gældende siden januar 2026 og har tydelige sanktioner. GDPR har været gældende siden 2018. Disse tre giver et fundament, der dækker størstedelen af kravene i DORA, CRA og AI Act.
Hvad er fælles for alle seks regelsæt?
Fem kernekrav går igen i samtlige: systematisk risikostyring, dokumenteret ledelsesansvar, hændelsesrapportering, leverandørkontrol og sporbar dokumentation af beslutninger og tiltag.
Hvordan ved vi, om vores styringsstruktur holder?
Stil tre spørgsmål: Behandles cyberrisiko systematisk på ledelsesniveau? Kan I dokumentere beslutninger og begrundelser? Er ansvar og beslutningsgange afprøvede, ikke bare beskrevne? Hvis svaret på et af disse er nej, er der et hul.
