IT-governance er et ledelsesansvar
Mange virksomheder er omfattet af NIS2 uden at vide det – og risikerer at blive ramt af konsekvenser.
Da GDPR trådte i kraft i 2018, talte alle om persondata. Bestyrelser, direktioner og fagområder som HR, IT og marketing havde det på agendaen. Sådan har det ikke været med NIS2.
Direktivet blev vedtaget af EU i 2022 og implementeret i dansk lovgivning i 2025. Den 1. oktober 2025 skulle berørte virksomheder og organisationer have registreret sig hos myndighederne.
Ved fristens udløb havde under 2.000 virksomheder og organisationer registreret sig. Det er markant færre end de cirka 3.000, Ministeriet for Samfundssikkerhed og Beredskab forventede.
Det betyder, at myndighederne fortsat mangler overblik over en del af de virksomheder, der leverer samfundsvigtige ydelser.
Mange er omfattet – uden at vide det
“En væsentlig årsag er usikkerhed. NIS2’s definitioner er komplekse og bygger på anden EU-lovgivning. Samtidig lever en misforståelse om, at loven kun gælder de største og mest samfundskritiske aktører. Det er ikke korrekt,” siger Martin Brogaard Nielsen, Partner og Head of IT Risk, Assurance & Advisory i Grant Thornton.
NIS2 omfatter virksomheder og organisationer i 18 sektorer af samfundskritisk betydning – herunder energi, transport, sundhed, bank, digital infrastruktur og offentlig forvaltning.
Reglerne gælder som udgangspunkt mellemstore og store virksomheder med over 50 ansatte eller 10 mio. EUR i omsætning eller balancesum.
I visse tilfælde gælder reglerne også mindre virksomheder – herunder virksomheder uden for de 18 sektorer, hvis de leverer ydelser, der er kritiske for andre.
Definitionerne kan være vanskelige at afkode. Men det fritager ikke virksomheden for ansvar.
Konsekvenserne rækker ud over bøder
Hvis virksomheden ikke efterlever NIS2, kan konsekvenserne blive mærkbare. Myndighederne kan udstede betydelige administrative bøder, give påbud og føre skærpet tilsyn.
Men sanktionerne er kun én del af billedet.
NIS2 placerer ansvaret direkte hos ledelsen. Direktion og bestyrelse skal kunne dokumentere, at virksomheden arbejder systematisk med risikovurdering, hændelseshåndtering og leverandørstyring. Cybersikkerhed er ikke længere et IT-spørgsmål – det er et ledelsesansvar.
”Meget peger på, at tilsynsmyndighederne vil håndhæve NIS2 konsekvent og ikke tøve med at gribe ind over for virksomheder, der ikke lever op til kravene,” siger Martin Brogaard Nielsen og uddyber:
”Formålet med reglerne er at styrke samfundets modstandsdygtighed – og det står højt på den politiske dagsorden. Derfor forventer jeg, at vi kommer til at se flere sanktionssager efter cybersikkerhedsloven, end vi gjorde under GDPR”.
NIS2 er mere end et sanktionsregime
NIS2 bør ikke kun ses som et bødesystem. Direktivet kan fungere som en anledning til at styrke virksomhedens samlede styring af cybersikkerhed og risici.
For direkte omfattede virksomheder betyder det, at arbejdet med risikovurderinger, beredskab, leverandørstyring og dokumentation skal struktureres og forankres i ledelsen.
Kravene stopper ikke ved de direkte omfattede. De bevæger sig ud i værdikæden. Leverandører vil i stigende grad møde krav om dokumentation, erklæringer og certificeringer.
Virksomheder, der arbejder proaktivt med NIS2, styrker derfor ikke kun deres compliance. De styrker deres robusthed, reducerer leverandørafhængighed og står stærkere i dialogen med kunder og myndigheder.
Spørgsmålet er ikke kun, om man undgår sanktioner – men om man bruger reguleringen til at beskytte og udvikle sin forretning.
“Derfor bør man betragte NIS2 som andet end et sanktionsregime udstukket af myndighederne. NIS2 er i virkeligheden en modenhedstest af virksomhedens cybersikkerhed og governance. Det er ikke et IT-projekt – det er et ledelsesanliggende,” lyder der fra Martin Brogaard Nielsen.
Er I omfattet af NIS2 – Og hvad gør du herfra?
Hvor GDPR handlede om data, handler NIS2 om robusthed, governance og beredskab.
Start med at stille jer selv tre afklarende spørgsmål:
- Opererer I i en af de 18 sektorer?
- Har I over 50 ansatte eller 10 mio. EUR i omsætning/balance?
- Leverer I tjenester, der er kritiske for andre virksomheder eller samfundsfunktioner?
Hvis svaret er ja – eller måske – bør I reagere.
Har I ikke registreret jer endnu, og er I omfattet, bør I handle nu. Forpligtelsen gælder fortsat. I skal leve op til kravene og kunne dokumentere jeres indsats.
Sådan kan Grant Thornton hjælpe
Grant Thorntons specialister inden for cybersikkerhed og IT-regulering kan hjælpe jeres virksomhed eller organisation med at afklare, om I er omfattet – og hvad der konkret skal til for at leve op til kravene.
Vi rådgiver også virksomheder og organisationer, der indirekte er omfattet – samt SMV’er, der ønsker at styrke IT-compliance uden at være direkte underlagt lovgivningen.
Vi kan blandt andet bistå med
- Gap-analyse, der afdækker, hvor jeres cybersikkerhed står i dag, og hvad der skal til for at opnå compliance.
- Oerativ støtte i implementeringen af de nødvendige processer og kontroller
- Etablering og styrkelse af governance, beredskab og dokumentation
- Målrettet kompetenceløft, så jeres virksomhed eller organisation er rustet til de nye krav – og til at håndtere IT-governance, beredskab og dokumentation fremover.
