Den hastige digitale transformation og anvendelse af fx kunstig intelligens skaber nye muligheder og forretningsmodeller, men medfører også en række risici. Trusselslandskabet udvikler sig markant med både nye aktører og mere komplekse cybertrusler, som øger risikoen for virksomheder, økonomisk stabilitet og samfundet.
Øget fokus på digital robusthed i danske virksomheder
Seneste vurdering af cybertruslen mod Danmark fra Styrelsen for Samfundssikkerhed (SAMSIK) af november 2025 viser, at truslen fra cyberkriminalitet og -spionage er ”meget høj”. Rapporten fastslår også, at cybertruslen mod Danmark er alvorlig og udgør en del af det mest alvorlige risiko- og trusselsbillede siden Anden Verdenskrig. PwC’s Cybercrime Survey 2025 illustrerer også, at 52 % er mere bekymrede for cybertrusler i dag end for 12 måneder siden.
Desto mere vi bliver afhængige af vores teknologi, desto mere udsatte bliver vi for cyberangreb. Cybertruslen er derfor blevet et grundvilkår, som virksomheder i langt højere grad bliver nødt til at forholde sig til.
For at imødegå disse cyberrisici har EU vedtaget NIS2-direktivet (”The Network and Information Security Directive”). I Danmark er NIS2-direktivet implementeret gennem NIS2-loven (herefter ”NIS2”), der trådte i kraft den 1. juli 2025.
Mange organisationer er usikre på, om de er omfattet af NIS2 eller har svært ved at acceptere, at de er det, fordi de ikke traditionelt ser sig selv som ”samfundskritiske". Er du i tvivl om, din organisation er omfattet af NIS2? Så læs mere her.
Eventrække om NIS2
Sådan efterlever du kravene og skaber forretningsværdi.
Sådan implementerer du NIS2-kravene
Hent vores trin-for-trin-guide.
Cybersikkerhed bliver et direkte ansvar i topledelsen
Der har været stor opmærksomhed på NIS2, hvis formål er at styrke cybersikkerheden og modstandsdygtigheden overfor cybertrusler på tværs af EU. NIS2 omfatter virksomheder inden for en lang række sektorer og for offentlige myndigheder, som anses for at være kritiske for økonomien og samfundet.
Mange ledere oplever kravene som komplekse og omkostningstunge, og har svært ved at forstå og omsætte dem i praksis. Det er ikke overraskende, for cybersikkerhed har traditionelt været set som en teknisk og operativ disciplin, som it-afdelingen eller CISO’en tog sig af og ikke som et strategisk fokuspunkt i ledelsen.
Vi oplever, at det for mange organisationer er første gang, at topledelsen skal forholde sig direkte til cybersikkerhed som en del af styrings- og governance-ansvaret. Mange organisationer er desuden usikre på, om de faktisk er omfattet af NIS2 eller har svært ved at acceptere, at de er det, fordi de ikke traditionelt ser sig selv som ”samfundskritiske”.
Det afspejles tydeligt i, at kun 1.889 virksomheder gennemførte deres NIS2-registrering inden fristen den 1. oktober 2025 – langt færre end forventet af Ministeriet for Samfundssikkerhed og Beredskab, som gentagne gange har opfordret organisationer til at afklare deres NIS2-status og registrere sig.
Digitale trusler er ikke kun tekniske risici, men også forretningskritiske
Det er afgørende at forstå, at motivationen for at styrke cybersikkerheden ikke bør udspringe af regulering alene. Verden har ændret sig markant. Trusselsniveauet er højt og konstant i udvikling, og nye risici opstår i takt med den teknologiske udvikling.
Cybersikkerhed handler derfor ikke kun om at leve op til et regelsæt, men om at beskytte virksomhedens drift, omdømme og det samfund, som virksomhederne er en del af. Cybersikkerhed er derfor ikke længere blot en teknisk risiko, men også en forretningsrisiko.
For at undgå, at NIS2 udelukkende bliver en compliance-øvelse, bør organisationer se NIS2 som et værktøj til at reducere forretningsrisiko, styrke kriseberedskabet og øge den samlede resiliens. Fokus skal være på at sikre forretningskontinuitet og de produkter og services, som virksomhederne leverer til samfundet.
En risikobaseret tilgang med udgangspunkt i forretningen
Efterlevelse af NIS2 - og reel resiliens - kræver en risikobaseret tilgang, der er forankret i forretningens prioriteringer. Organisationen skal systematisk identificere og prioritere kritiske aktiver på tværs af værdikæden og sikre, at essentielle processer er beskyttet.
Hvis en enhed er omfattet af NIS2-loven, gælder loven for hele enheden og alle de net- og informationssystemer, der bruges i dens drift og tjenestelevering. Det gælder også, selvom kun ét forretningsområde eller afdeling hører under de sektorer, der er nævnt i lovens bilag.
At hele enheden er omfattet, indebærer dog ikke, at alle dele skal have samme sikkerhedsniveau. Enheder skal anvende en risikobaseret tilgang og vurdere systemernes kritiske betydning samt de potentielle samfundsmæssige og økonomiske konsekvenser ved hændelser. Dermed kan en enhed vælge et højere sikkerhedsniveau for sine mest kritiske tjenester og et lavere niveau for mindre væsentlige aktiviteter.
NIS2 flytter cybersikkerhed fra serverrummet til bestyrelseslokalet
NIS2 sender et klart signal: cybersikkerhed er ikke længere et teknisk driftsanliggende, men et strategisk ledelsesansvar. Cybersikkerhed starter og slutter altså hos ledelsen.
Et af de primære formål med NIS2 er netop at sikre forankring af cybersikkerhed hos det øverste ledelsesorgan. Derfor anbefaler vi også, at man tidligt i forløbet sikrer sig, at ledelsen er involveret. NIS2 er en top-down forpligtelse og ikke en bottom-up forpligtelse.
Det følger af NIS2-loven, at ledelsesorganet bl.a. skal:
- Godkende organisationens risikostyring af cybersikkerhed
- Føre tilsyn med implementeringen
- Modtage regelmæssig træning inden for cybersikkerhed, som sætter dem i stand til at varetage deres opgaver og ansvar.
Dette er et markant skift. Cybersikkerhed kan ikke længere uddelegeres alene til CIO eller CISO. Det skal håndteres som enhver anden strategisk enterprise-risk med klare ansvarsfordelinger og aktiv involvering fra ledelsen.
Vores erfaring viser også, at ledelsesorganer ofte enten ikke modtager tilstrækkelig rapportering, eller at rapporteringen er for teknisk og dermed ikke giver et forståeligt og klart billede af, hvordan cybertruslerne kan påvirke virksomheden.
Det stiller også krav til CISO’en, som I højere grad skal ”oversætte” de tekniske risici til forretningsrisici, som ledelsesorganet kan forstå.
Rapporteringen skal understøtte ledelsesorganets evne til at:
- Forstå cybertruslerne, og hvordan de kan påvirke forretningen.
- Forstå hvordan centrale cybersikkerhedsforanstlatninger kan reducere de identificerede cybertrusler.
- Allokere de nødvendige ressourcer til cybersikkerhedsforanstaltningerne.
- Føre tilsyn med, at de godkendte cybersikkerhedsforanstaltninger er implementeret og effektive til at minimere cybertruslerne.
Medlemmer af ledelsesorganet kan holdes personligt ansvarlige, og derfor kræver NIS2, at de gennemgår regelmæssig træning, som sætter dem i stand til at varetage deres ansvar.
Hvad kræver transformationen?
For mange organisationer er NIS2 en væsentlig opgave. I en virkelighed hvor stort set alle forretningsprocesser er digitaliserede, er stærk cybersikkerhed vigtigere end nogensinde.
Transformationen kræver:
- opgradering af teknologi,
- en ny tilgang til cybersikkerhed,
- og en kultur, hvor sikkerhed er et fælles ansvar drevet af engageret og proaktiv ledelse.
Succes afhænger af både intelligente tekniske løsninger og en kulturel forankring, der gør cybersikkerhed til en integreret del af organisationens værdigrundlag.
Opbygning af et resilient cybersikkerhedsøkosystem
Organisationer bør styrke deres cybersikkerhedsøkosystem ved at:
- integrere avancerede intelligente teknologier,
- fremme innovation,
- og indgå i samarbejde med relevante aktører.
Datasuverænitet er også blevet mere afgørende, som følge af den geopolitiske situation, der har reduceret tilliden på tværs af grænser, og som øger behovet for kontrol over, hvor og hvordan data behandles, lagres og beskyttes.
Konklusion
NIS2 er et afgørende skridt mod en mere sikker og robust digital fremtid. Organisationer, der forstår kravene og omfavner forandringen – ikke kun af hensyn til compliance, men fordi det er en strategisk nødvendighed – vil stå stærkere, beskytte deres forretning og bidrage til et mere resilient samfund.
