NIS2

Compliance reducerer ikke risiko. Governance gør det.

NIS2-loven er trådt i kraft. Men compliance uden governance er kun papir. Her er, hvorfor styring afgør, om I lever op til kravene.

Kim Borg
Kim Borg Grundlægger & CEO
6 min læsning
  1. 24%
    af svenske organisationer havde en cybersikkerhedsstrategi forankret i ledelsen ved NIS2-ikrafttrædelsen
    MSB
  2. 68%
    af sikkerhedshændelser skyldes manglende efterlevelse af eksisterende politikker
    Verizon DBIR 2025
  3. 15.
    januar 2026 trådte den svenske cybersikkerhedslov (SFS 2025:1506) i kraft
    Riksdagen
CEO in conversation with board member about governance

Jeg har haft den samme samtale med tre forskellige ledelsesteams den seneste måned. Alle har investeret. Alle har værktøjer. Alle har hyret konsulenter og påbegyndt certificeringsarbejde. Men ingen af dem kunne svare på et simpelt spørgsmål: Hvor er vores alvorligste svagheder?

NIS2-loven er trådt i kraft. Mange organisationer er ikke klar. Ikke fordi de mangler budget, ikke fordi de mangler værktøjer, men fordi governance aldrig har eksisteret i praksis.

Min erfaring er klar: Compliance reducerer ikke risiko. Governance gør det. De organisationer, der klarer kravene, er dem, hvor styring er en del af, hvordan beslutninger træffes, ikke hvordan dokumenter arkiveres.

Tre investeringer, der ikke hjælper uden governance

Organisationer investerer i tre ting, der alle ser godt ud på papiret, men som ikke skaber sikkerhed uden fungerende governance.

Værktøjer uden efterlevelse

SIEM, EDR, sårbarhedsscanning. Værktøjskasserne vokser. Men 68 % af sikkerhedshændelser skyldes, at eksisterende politikker ikke følges, ikke at der mangler værktøjer. Et værktøj, som ingen bruger korrekt, er kun en udgift. Spørgsmålet er ikke "Har vi købt de rigtige værktøjer?" men "Følger nogen faktisk de sikkerhedsforanstaltninger, vi har?"

Certificeringer uden liv

ISO 27001-certifikater. SOC 2-rapporter. Imponerende på papiret. Men hvis ledelsessystemet lever i en mappe, som ingen åbner mellem revisionerne, beskytter det ingenting. En certificering beviser, at I havde governance på et tidspunkt. Den siger intet om i dag.

Konsulenter uden vidensoverdragelse

Eksterne konsulenter, der bygger rammeværket, skriver politikkerne og derefter forlader organisationen. Viden går ud ad døren med dem. Seks måneder senere husker ingen, hvorfor en kontrol blev implementeret, eller hvordan den skal vedligeholdes. Konsulenter skaber værdi, men kun hvis viden bliver i organisationen.

Hvad NIS2-loven faktisk kræver

NIS2-loven er ikke en tjekliste. Den kræver governance: at processer lever, at ledelsen er engageret, og at organisationen kan påvise, at sikkerhedsarbejdet fungerer i praksis.

NIS2-loven kræver governance, ikke blot dokumenter:

  1. Ledelsens ansvar (Artikel 20): Bestyrelsen skal godkende og overvåge, ikke blot underskrive
  2. Risikostyring (Artikel 21): Systematisk og løbende proces, ikke engangsvurdering
  3. Effektivitetsvurdering (Artikel 21.2g): Måle, om foranstaltningerne faktisk virker
  4. Uddannelse (Artikel 20.2): Ledelsen skal forstå risiciene, ikke bare have gennemført et kursus

Konsekvens: Tilsynsmyndigheden vil ikke blot undersøge, om dokumenterne findes. De vil undersøge, om governance lever.

Vi har tidligere skrevet om hvad NIS2-loven indebærer i praksis og om ledelsens specifikke ansvar. Denne artikel handler om det underliggende problem: hvorfor governance mangler, selvom værktøjerne og dokumenterne er på plads.

Hvorfor governance mangler: tre mønstre

I mine møder med ledelsesteams ser jeg de samme mønstre gentage sig. Problemet er sjældent manglende vilje. Det er, at organisationen aldrig har opbygget de strukturer, der er nødvendige.

  1. Sikkerhed har aldrig været et ledelsesanliggende Historisk har cybersikkerhed været IT-afdelingens ansvar. Det var teknisk. Det var en andens budget. Konsekvensen: når NIS2-loven kræver, at ledelsen tager ansvar, findes der ingen indarbejdede vaner. Ledelsen har aldrig haft cybersikkerhed på dagsordenen på en meningsfuld måde, og ved ikke, hvor de skal begynde.
  2. Compliance blev målet, ikke midlet Mange organisationer har optimeret for at bestå revisionen snarere end at reducere risiko. Den årlige ISO-gennemgang blev en sprint for at opdatere dokumenter, ikke en anledning til at forbedre sikkerheden. Incitamentsstrukturen belønnede rene rapporter, ikke ærlige vurderinger.
  3. Ingen ejer det samlede billede IT ejer værktøjerne. Jura ejer compliance. CISO'en, hvis der er en, sidder mellem dem uden mandat. Risikoregistre lever i forskellige systemer. Ingen har et komplet billede, og ingen er incitamenteret til at skabe et.

Grundspørgsmålet: ved vi, hvor vores alvorligste svagheder er?

Det er det spørgsmål, der afgør alt. Ikke “Opfylder vi kravene?” men “Ved vi faktisk, hvor vi er svagest?”

Det vigtigste spørgsmål en bestyrelse kan stille sig er ikke “Er vi compliant?” men “Ved vi, hvor vores alvorligste svagheder er?” Hvis svaret er nej, eller tavshed, så har I et governance-problem, uanset hvor mange værktøjer I har købt.

Jeg ser det ofte i mine møder med ledelsesteams, der tror, de er klar, fordi de har købt en platform eller hyret en partner. Men ingen har stillet det grundlæggende spørgsmål.

Fem tegn på, at governance mangler:

  • Ledelsen kan ikke nævne de tre største risici uden at spørge IT
  • Risikoregistret blev sidst opdateret op til forrige revision
  • Hændelsesprocessen er aldrig blevet testet i en skarp situation
  • Sikkerhedspolitikken blev godkendt, men ingen ved, hvem der ejer opfølgningen
  • “Vi har det dokumenteret” er standardsvaret, men ingen kan påvise, at det efterleves

Fra compliance til governance: fem trin

At gå fra dokumentbaseret compliance til levende governance er ikke et øjebliksprojekt. Men det begynder med enkle, konkrete trin.

  1. Gennemfør en ærlig GAP-analyse Ikke kun mod kravene, men mod virkeligheden. Mål ikke kun, om dokumenterne findes, men om processerne efterleves. Tal med medarbejderne, ikke kun de ansvarlige. Vores GAP-analyseguide viser trin for trin, hvordan du gør det.
  2. Forankr hos ledelsen med risikobillede, ikke regelbog Præsentér resultatet i forretningstermer. Ikke "vi opfylder 64 % af NIS2" men "vi har tre mangler, der hver kan koste os X kroner." Ledelsen handler på risiko og konsekvens, ikke på procenttal.
  3. Udpeg ejere for hvert risikoområde Ingen risiko uden ejer. Ingen foranstaltning uden ansvarlig. Ingen deadline uden opfølgning. Governance kræver, at ansvar er personligt og sporbart, ikke kollektivt og vagt.
  4. Byg governance ind i eksisterende beslutningsprocesser Gør cybersikkerhed til et fast punkt på ledelsesgruppens dagsorden. Ikke som et separat "sikkerhedsmøde" men integreret i forretningsbeslutninger: nye leverandører, systemskift, organisationsændringer.
  5. Mål og følg op løbende Governance, der ikke måles, er ønsketænkning. Definér KPI'er. Rapportér til ledelsen kvartalsvist. Brug afvigelser som læring, ikke som fiasko.

Compliance som livsstil, ikke projekt

Organisationer, der behandler NIS2-loven som et projekt, der skal “afsluttes”, vil være tilbage på start, når det næste regelsæt kommer. Organisationer, der bygger governance ind i deres virksomhed, opdager, at nye krav bliver inkrementelle, ikke revolutionerende.

Compliance-projektet vs. Governance-modellen:

  • Compliance-projektet: Begynder ved ny lov. Slutter ved revision. Ejes af projektleder. Måles i procent opfyldt. Næste regelsæt = ny omstart.
  • Governance-modellen: Lever hele tiden. Ejes af ledelsen. Måles i risiko reduceret. Ny regulering bliver en iteration, ikke en krise.

De organisationer, jeg møder, der faktisk er klar, er aldrig dem med flest værktøjer eller flest certificeringer. Det er dem, hvor bestyrelsen kan svare på spørgsmålet: Hvor er vi svagest, og hvad gør vi ved det?

Hvordan ser det ud i din organisation? Lever governance i beslutningerne eller i dokumenterne?

Sådan kan Securapilot hjælpe

  • GAP-analyse mod virkeligheden: Kortlæg ikke blot dokumentation, men faktisk efterlevelse
  • Risikostyring med ejere: Hver risiko har en ansvarlig, hver foranstaltning en deadline
  • Ledelsesdashboard: Realtidsoverblik for bestyrelse og ledelse i forretningstermer
  • Løbende opfølgning: Automatiske påmindelser og statusopdateringer
  • Sporbarhed: Fuldstændig audit trail for tilsynsmyndigheder

Book en demo og se, hvordan governance kan blive virkelighed i jeres organisation.

Ofte stillede spørgsmål

Hvad er forskellen mellem compliance og governance?

Compliance handler om at opfylde formelle krav: afkrydse kontroller, skrive politikker, bestå revisioner. Governance handler om, at sikkerhed faktisk styrer beslutninger i hverdagen: at nogen ejer risiciene, at afvigelser følges op, og at ledelsen træffer informerede beslutninger baseret på det reelle risikobillede.

Kan man være NIS2-compliant uden reel governance?

Formelt måske, men ikke i praksis. NIS2 og NIS2-loven kræver, at ledelsen aktivt godkender, overvåger og tager ansvar. Det er ikke nok at have dokumenterne. Tilsynsmyndigheden vil undersøge, om processerne reelt fungerer.

Hvordan ved vi, om vores governance fungerer?

Stil tre spørgsmål: Ved vi, hvor vores alvorligste mangler er? Træffer ledelsen beslutninger baseret på det aktuelle risikobillede? Følges sikkerhedsforanstaltninger op regelmæssigt? Hvis svaret på nogen af disse er nej, er der et governance-gap.

Hvad er det første skridt fra compliance til governance?

Begynd med en ærlig GAP-analyse, der ikke kun kortlægger dokumentation, men måler, om processer reelt efterleves. Forankr resultatet hos ledelsen og skab en handlingsplan med tydelige ejere.

#governance#styring#NIS2-loven#NIS2#compliance#risikostyring#ledelse

Flere artikler

Vi bruger anonym statistik uden cookies for at forbedre hjemmesiden. Læs mere