NIS2 og IT-support: Det skal danske virksomheder have styr på

NIS2 er det reviderede EU-direktiv om net- og informationssikkerhed, som trådte i kraft i Danmark gennem cybersikkerhedsloven i begyndelsen af 2025. Direktivet udvider kraftigt kredsen af virksomheder der skal leve op til konkrete sikkerhedskrav. Det handler ikke længere kun om kritisk infrastruktur som energi og telekommunikation. NIS2 omfatter også fødevareproducenter, transportvirksomheder, affaldshåndtering, digitale tjenesteudbydere og en lang række andre sektorer som de fleste danske virksomheder enten tilhører eller leverer til.

Hvem er omfattet af NIS2? Reglen er at I er omfattet hvis I opererer i en af de identificerede sektorer og har mere end 50 medarbejdere eller en omsætning over 75 millioner kr. Sektorerne er opdelt i "væsentlige" og "vigtige" enheder, hvor de væsentlige har skærpet tilsyn og højere bøder. I praksis betyder det at langt flere virksomheder end under det gamle NIS-direktiv skal dokumentere deres IT-sikkerhed på et nivåu de aldrig har gjort før. Selv hvis I ikke er direkte omfattet, kan jeres kunder pålægge jer NIS2-lignende krav fordi de selv er omfattet og har ansvar for hele leverandørkæden.

De konkrete krav falder i 10 områder. Risikoanalyse og IT-sikkerhedspolitik. Hændelseshåndtering med rapporteringspligt inden for 24 timer ved alvorlige hændelser. Forretningskontinuitet og krisestyring. Forsyningskædesikkerhed, hvor I skal vurdere risici hos jeres egne leverandører. Sikkerhed ved erhvervelse, udvikling og vedligeholdelse af systemer. Politikker for vurdering af sikkerhedsforanstaltninger. Grundlæggende cyberhygiejne og sikkerhedstræning. Kryptering hvor det er relevant. Personalsikkerhed, adgangskontrol og asset management. Multi-faktor-autentificering og kontinuerlige autentificeringsløsninger.

Bøderne er voldsomme. For væsentlige enheder kan bøder nå op til 10 millioner euro eller 2% af den globale årsomsætning, alt efter hvad der er højest. For vigtige enheder er det 7 millioner euro eller 1,4%. Til sammenligning kostede de fleste GDPR-bøder under en million kr. for danske SMV'er. NIS2 spiller i en helt anden liga, og direktoratet for samfundssikkerhed har lov til at idømme bøder efter en konkret vurdering af forsætlighed og skade.

Hvor kommer jeres IT-leverandør ind? For de fleste virksomheder er det IT-supportleverandøren der i praksis skal levere størstedelen af de tekniske foranstaltninger. Patch management, MFA-udrulning, endpoint security, monitorering og logning, backup og disaster recovery, dokumentation af systemer. Alt sammen hører hjemme i en moderne managed services-aftale. Spørgsmålet er om jeres aftale faktisk dækker disse områder eller bare henviser til "best effort". Bed leverandøren om en konkret NIS2-mapping, hvor de viser hvilke af de 10 krav de leverer på, og hvor I selv har ansvaret.

Hændelsesrapportering inden for 24 timer er en af de mest praktiske udfordringer. Det betyder at I skal kunne opdage en alvorlig sikkerhedshændelse, vurdere dens omfang og sende en første indberetning til Center for Cybersikkerhed inden for et døgn. Det kræver overvågning der faktisk fanger noget, en proces for hurtig vurdering, og navne på folk der kan tage ansvar uden for arbejdstid. Få danske SMV'er har dette på plads i dag, og det er den hyppigste årsag til at NIS2-projekter kører af sporet i implementeringsfasen.

Forsyningskæden er det skjulte minefelt. NIS2 kræver at I vurderer risici hos jeres egne leverandører af IT-tjenester. Det betyder at I skal kunne dokumentere at jeres CRM-leverandør, jeres hostingudbyder og jeres IT-supportpartner har egne sikkerhedsforanstaltninger. Mange leverandører er ikke vant til denne form for spørgsmål og har ikke materialet klar. Start tidligt med at bede om SOC 2-rapporter, ISO 27001-certifikater eller en udfyldt sikkerhedsspørgeguide. Hvis leverandøren ikke kan levere, er det et rødt flag uanset hvor god relationen ellers er.

Sådan kommer I igang. Bestil først en NIS2-gap-analyse hos en uvildig konsulent eller en IT-leverandør med dokumenteret kompetence på området. Forvent en pris i størrelsesordenen 50.000-150.000 kr. for en grundig gennemgang af en SMV. Resultatet er en handlingsplan med prioritering af tiltag. Kombiner det med en opdateret IT-supportaftale der adresserer de tekniske krav, og en intern proces for hændelseshåndtering der involverer ledelse, jura og kommunikation. Det er ikke et IT-projekt alene, det er et organisationsprojekt med IT som største komponent.