NIS2 forklaret: Cybersikkerhed flytter fra IT til ledelsen

NIS2 forklaret: I mange år blev cybersikkerhed betragtet som et teknisk anliggende. Det var forankret i IT‑afdelingen, hos CISO’en eller hos en ekstern leverandør. Hvis systemerne var beskyttet, backups fungerede, og sikkerhedsværktøjer var på plads, antog mange ledelser, at organisationen var rimeligt godt forberedt.

Den antagelse er ikke længere tilstrækkelig.

Det opdaterede EU-direktiv gør det klart, at cyberrisici ikke længere kun er et operationelt IT‑anliggende – det er et ledelsesansvar. Direktion og bestyrelse skal forstå, hvordan organisationen er eksponeret, hvordan hændelser håndteres, og om leverandører og samarbejdspartnere lever op til de nødvendige sikkerhedskrav.

Spørgsmålet er ikke længere kun: Håndterer IT sikkerheden?
Det er også: Kan ledelsen dokumentere, at virksomheden er forberedt?

En bredere ramme for trusselsbilledet

NIS2 er en opdatering af EU’s direktiv om net- og informationssikkerhed fra 2016. Formålet er at styrke cybersikkerheden og den digitale modstandsdygtighed i hele Europa, og det omfatter både organisationer i den offentlige og den private sektor.

Direktivet er især relevant for sektorer som bank- og finanssektoren, transportsektoren, digital infrastruktur, operatører, netværksvirksomheder, offentlige tjenester og andre organisationer med kritiske funktioner. Men en af de vigtigste ændringer er, at anvendelsesområdet nu rækker langt ud over de mest oplagte kritiske infrastrukturer. Leverandører er også en del af ligningen.

En virksomhed, der leverer ydelser til en bank, en transportudbyder, en offentlig organisation eller en kritisk infrastrukturoperatør, kan nu blive mødt med højere krav til cybersikkerhed. Den kan også blive pålagt at understøtte indberetning af hændelser.

I praksis betyder det, at NIS2 kan berøre organisationer, der måske ikke umiddelbart ser sig selv som en del af kritisk infrastruktur, men som alligevel betjener kunder, der er det. Derfor går direktivet relevant langt ud over IT-afdelingen. Det påvirker kontrakter, forsyningskædesikkerhed, rapporteringsrutiner, databehandling, adgangsstyring og de daglige arbejdsgange.

Cybersikkerhed kan outsources – ansvar kan ikke

Den største ændring med NIS2 er ikke kun, hvad virksomhederne skal gøre – men hvem har ansvaret.

Ledelser og bestyrelser forventes at sikre, at cybersikkerhedsrisici forstås, håndteres og følges op. Det betyder ikke, at ledere skal være tekniske eksperter. Men de skal vide, om organisationen har de rette processer, politikker, procedurer og ressourcer.

De skal forstå, hvilke systemer der er kritiske.
De skal vide, hvor følsomme data befinder sig.
De skal have overblik over, hvem der har adgang til hvad.
Og de skal kende deres kritiske leverandører – og deres sikkerhedsniveau.

Dette gælder også, når IT er outsourcet. En virksomhed kan benytte en managed service provider, en cloud-partner eller en sikkerhedsrådgiver, men ansvaret kan ikke outsources. Hvis en leverandør har adgang til systemer, infrastruktur eller følsomme data, bliver leverandøren en del af virksomhedens risikobillede.

Med andre ord: Opgaver kan delegeres, men ansvaret kan ikke.

Forsyningskæden er nu en del af angrebsfladen

En af de vigtigste erfaringer fra de seneste cyberhændelser er, at angribere ikke kun retter deres angreb mod hovedorganisationen. De leder også efter svage led omkring den. »Leverandører og underleverandører bliver ofte indgangspunktet – derfor skal man kontrollere hele kæden, ikke kun sin egen organisation,« siger Robin Frantzen, Cloud Business Development Manager hos NetNordic.

En virksomhed kan have en stærk intern sikkerhed, men stadig være eksponeret via leverandører, supportprocesser, dårligt styrede cloud-miljøer eller utilstrækkelige kontroller hos partnere. Derfor stiller NIS2 større krav til forståelse og styring af forsyningskæden.

For virksomheder, der leverer til sektorer som finans, transport, offentlige tjenester eller digital infrastruktur, kan modenhed inden for cybersikkerhed blive et kommercielt krav. Kunder vil i stigende grad efterspørge dokumentation, processer, hændelsesrutiner og beviser for modenhed. Organisationer, der ikke kan dokumentere dette, kan få svært ved at operere i bestemte markeder. NIS2 er dermed ikke kun et regulatorisk spørgsmål – men også et forretningskritisk aspekt.

AI og shadow IT øger behovet for overblik

Tidspunktet for NIS2 er vigtigt. Trusselsbilledet udvikler sig hurtigt.

AI gør det billigere og lettere at skalere cyberangreb. Angribere kan automatisere identificering af sårbare systemer, teste loginoplysninger, skabe phishingindhold og finde svagheder.

Samtidig tager medarbejdere nye AI-værktøjer og cloud-løsninger i brug i høj fart – ofte hurtigere, end organisationer når at etablere klare retningslinjer. Det skaber et synlighedsproblem.

“Shadow IT og ukontrolleret brug af AI er en af de største udfordringer – fordi man mister overblikket over, hvor data egentlig ender,” pointerer Frantzen.

Mange organisationer kæmper allerede med »shadow IT«: værktøjer, applikationer og tjenester, der anvendes uden formel godkendelse. Følsomme data kan blive indtastet i ikke-godkendte systemer. Data kan blive behandlet i miljøer, som organisationen ikke har kontrol over. Nye systemer kan blive indført uden, at det står klart, hvem der har ansvaret for dem.

Derfor har ledelsen brug for bedre overblik:

• Hvilke værktøjer bruges?
• Hvem har godkendt dem?
• Hvor sendes data hen?
• Hvem bærer risikoen?

For nogle organisationer kan det kræve tydeligere roller – fx en AI-ansvarlig eller governance-funktion.

Pointen er enkel: Hvis ingen ejer værktøjerne, er der heller ingen, der ejer risikoen.

Compliance starter i hverdagen

NIS2 påvirker ikke kun politikker og bestyrelseslokalet – det påvirker daglig adfærd.

Medarbejdere skal være mere bevidste om, hvilke værktøjer de anvender, og hvilke informationer de deler. Et konkret eksempel er dokumentdeling. Mange sender stadig følsomme filer via e-mail, selv når sikrere alternativer findes.

Adgangsstyring er et andet centralt område. Organisationer skal forstå:

• hvem der har adgang til hvad
• hvorfor de har adgang
• og om adgangen stadig er nødvendig

Det gælder medarbejdere, administratorer, leverandører og eventuelle AI-agenter.

Træning skal også blive mere praksisnær. Generel awareness er ikke nok. Medarbejdere og ledere skal kunne håndtere realistiske scenarier som phishing, mistænkelig adgang, datadelingsfejl og uautoriserede værktøjer.

NIS2 skubber organisationer mod en mere proaktiv sikkerhedskultur.

Den største fejl er at vente

En klassisk fejl er at udskyde arbejdet med NIS2. Mange gjorde det samme med GDPR – og reagerede først, da sanktioner blev tydelige.

Det er en risikabel strategi.

Forsinkelser kan føre til bøder, kundekrav, driftsforstyrrelser, omdømmetab og tab af markedsadgang. Vigtigst af alt kan dårlig sikkerhed kompromittere følsomme data og skade mennesker.

En anden fejl er at behandle NIS2 som et IT-projekt. Uden ledelsesforankring risikerer man tekniske løsninger uden reel governance.

Organisationer, der går i gang tidligt, står stærkere – både over for myndigheder, kunder og samarbejdspartnere.

Start med en modenhedsvurdering

Det bedste udgangspunkt er ikke at løse alt på én gang – men at forstå sit nuværende niveau.

En modenhedsvurdering eller gap-analyse kan besvare centrale spørgsmål:

• Hvilke politikker og processer har vi allerede?
• Hvilke systemer og data er mest kritiske?
• Hvem har adgang til hvad?
• Hvilke leverandører er essentielle?
• Har vi styr på shadow IT og AI?
• Hvem ejer cybersikkerheden?
• Er vi klar til at håndtere og rapportere hændelser?

Herefter kan organisationer tage konkrete skridt: tydeliggøre ansvar, kortlægge leverandører, gennemgå adgangsrettigheder, implementere Zero Trust-principper, opdatere datasikkerhedspolitikker og træne medarbejdere.

Mindre organisationer bør fokusere på det mest kritiske først. Målet er ikke kompleksitet – men kontrol.

Fra compliance til cyberresiliens

NIS2 skal ikke kun ses som en byrde. Det er en mulighed for at styrke organisationens robusthed.

Direktivet stiller de spørgsmål, som ledelsen allerede burde stille:

• Forstår vi vores risici?
• Kender vi vores leverandører?
• Har vi kontrol over adgang?
• Ved vi, hvor vores data er?
• Er vi klar til en hændelse?
• Kan vi dokumentere vores indsats?

Cybersikkerhed er blevet et ledelsesanliggende, fordi digitale risici er blevet forretningsrisici.

Organisationer, der starter nu – med overblik, governance og indsigt i egen modenhed – vil stå stærkere i forhold til NIS2, kundekrav og det trusselsbillede, der gjorde direktivet nødvendigt.