Hvordan dokumenterer du, at din NIS2-compliance faktisk virker, uden at bruge en formue på konsulenter? Denne artikel giver dig en konkret plan til at validere din NIS2-compliance selv, med gratis frameworks, automatiseret pentest og de rigtige værktøjer.
NIS2-konsulenter er dyre. Men du behøver dem ikke til alt.
Lad os starte med elefanten i rummet: NIS2-compliance er blevet en guldgrube for konsulentbranchen.
Gap-analyser til 150.000 kr. Compliance-roadmaps til 200.000 kr. Implementeringsprojekter der let løber op i en halv million. Og så er vi ikke engang begyndt at tale om den årlige pentest til 250.000-400.000 kr.
For en mellemstor dansk virksomhed med 80 ansatte og en IT-afdeling på 3-5 mennesker er det tal, der får budgettet til at hvine. Især når bestyrelsen spørger: “Hvad får vi egentlig for pengene?”
Her er sandheden: Du kan selv gøre en stor del af arbejdet. Ikke alt, men nok til at komme langt. Og nok til at de penge, du bruger på ekstern hjælp, bliver brugt rigtigt.
NIS2 compliance: Hvad du kan selv, og hvad der kræver hjælp
NIS2 trådte i kraft i Danmark 1. juli 2025. Artikel 21 definerer 10 områder, din virksomhed skal have styr på, fra risikoanalyse og hændelseshåndtering til kryptografi og adgangskontrol. Men direktivet siger kun hvad du skal gøre. Ikke hvordan.
Det er her, CIS 18 Critical Security Controls kommer ind i billedet.
CIS 18 er et internationalt, community-drevet framework med 153 konkrete sikkerhedstiltag, såkaldte safeguards, fordelt på 18 kontrolområder. Det er gratis, det er handlingsorienteret, og CIS har selv lavet en officiel mapping til NIS2-direktivet.
Og det bedste: CIS 18 er designet til at skalere via Implementation Groups (IG):
- IG1: Små virksomheder, begrænset IT (56 safeguards)
- IG2: Mellemstore, regulerede virksomheder (130 safeguards inkl. IG1)
- IG3: Store virksomheder med dedikerede sikkerhedsteams (153 safeguards inkl. IG1+IG2)
IG1 er din essentielle cyberhygiejne, det minimum enhver organisation bør have på plads. IG2 tilføjer det ekstra lag, der typisk er nødvendigt for at leve op til NIS2’s krav om “passende og proportionale foranstaltninger.”
Det her kan du selv:
- Gap-analyse mod CIS 18 IG1/IG2. Gennemgå hver safeguard og vurdér: Har vi det? Delvist? Slet ikke? Det kræver ikke en konsulent, det kræver en IT-chef, der kender sit eget miljø.
- Implementering af basale controls. De fleste IG1-safeguards handler om ting som asset inventory, adgangsstyring, MFA, backup-procedurer og sikker konfiguration. Det er dine systemer. Du ved, hvordan de skal konfigureres.
- Dokumentation af politikker. NIS2 kræver skriftlige politikker for risikoanalyse, hændelseshåndtering og forretningskontinuitet. Skabeloner findes online, og den, der kender forretningen bedst, er dig selv.
- Security awareness-træning. CIS Control 14 handler om at træne dine medarbejdere. Det behøver ikke koste en formue, der findes gode platforme fra få hundrede kroner per medarbejder per år.
Gratis NIS2 compliance ressourcer, der giver dig et forspring
Du behøver ikke starte fra nul. Her er de vigtigste gratis ressourcer:
CIS 18 Controls Framework
Selve frameworket er gratis tilgængeligt på cisecurity.org/controls. Download det, print det ud, gå det igennem med dit team. CIS har også udgivet en officiel mapping til NIS2, et whitepaper der viser præcis, hvilke controls der dækker hvilke NIS2-krav.
Sikkerdigitals NIS2-tjek
På nis2tjek.sikkerdigital.dk kan du tjekke, om din virksomhed overhovedet er omfattet af NIS2. Det tager 5 minutter. Start her, hvis du er i tvivl.
Styrelsen for Samfundssikkerheds vejledninger
samsik.dk har udgivet fire officielle vejledninger til NIS2-implementering i Danmark: vejledning om anvendelsesområdet, vejledning om ledelsens rolle og opgaver, vejledning om foranstaltninger, og vejledning om hændelsesunderretning. Det er den danske stats egen fortolkning af, hvad der forventes.
Er du klar til NIS2?
Book en gratis demo og se hvordan NodeZero validerer din NIS2-compliance automatisk.
NIS2 compliance med automatiseret pentest
Her kommer vi til det punkt, hvor det virkelig bliver interessant.
NIS2 Artikel 21, litra (f) kræver:
“Politikker og procedurer til at vurdere effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici.”
Læs den sætning igen. Du skal ikke bare have sikkerhedstiltag, du skal bevise, at de virker.
Traditionelt har det betydet: Hyr en ekstern pentester til 200.000-400.000 kr., vent 2-3 uger på en PDF-rapport, og håb på at din infrastruktur ikke har ændret sig, inden blækket er tørt.
Problemet er åbenlyst:
- Én test om året er et snapshot. 364 dage er du blind.
- Scope er begrænset af budget. Jo dyrere testen er, jo mere skærer du fra.
- Rapporten er forældet, inden du når at handle. Nye sårbarheder dukker op dagligt.
- Verifikation af fixes koster ekstra. Vil du tjekke, om din patch virkede? Det er et nyt engagement.
Automatiseret pentest ændrer regnestykket
Platforme som NodeZero fra Horizon3.ai kører autonome penetration tests mod din infrastruktur, internt, eksternt, cloud, Active Directory, webapplikationer. Ikke som en sårbarhedsscanner, men som en simuleret angriber, der udnytter reelle angrebskæder.
For NIS2 Artikel 21(f) er det afgørende: Du får kontinuerlig dokumentation af, at dine foranstaltninger virker. Ikke ét datapunkt om året, men en løbende audit trail, der viser, hvornår du testede, hvad du fandt, og hvornår det blev fikset.
Hvad NodeZero konkret validerer i CIS 18
- CIS 4 (Sikker konfiguration): Finder exploitable misconfigurations
- CIS 5 (Kontostyring): Opdager default credentials, svage passwords, forældede konti
- CIS 6 (Adgangskontrol): Tester om MFA faktisk virker, finder privilege escalation-paths
- CIS 7 (Sårbarhedshåndtering): Validerer om sårbarheder er reelt exploitable
- CIS 12 (Netværksinfrastruktur): Finder segmenteringsfejl og netværkssvagheder
- CIS 18 (Penetration Testing): Direkte dækning
Step-by-step: Kør din egen NIS2 compliance med CIS 18 og NodeZero
Her er den plan, vi giver vores kunder. Den er pragmatisk, den er realistisk, og den kan gennemføres uden et konsulentbureau.
Trin 1: Afklar om du er omfattet (1 time)
Gå ind på nis2tjek.sikkerdigital.dk. Svar på spørgsmålene. Hvis du er omfattet, fortsæt. Hvis ikke, er du færdig (men overvej alligevel at bruge CIS 18 som din sikkerhedsbaseline).
Trin 2: Gap-analyse mod CIS 18 IG1/IG2 (1-2 dage)
Download CIS 18 Controls v8.1. Saml dit IT-team. Gennemgå hver safeguard i IG1 (56 stk.) og IG2 (yderligere 74 stk., 130 i alt). Score jer selv: Implementeret, Delvist eller Mangler. Brug CIS’ officielle NIS2-mapping til at se, hvilke Art. 21-krav jeres huller rammer. Det giver jer prioriteringen.
Trin 3: Luk de nemme huller (2-4 uger)
Start med IG1-safeguards, der mangler. De fleste handler om grundlæggende hygiejne:
- Asset inventory (CIS 1-2): Ved I, hvad der er på jeres netværk?
- MFA på alle administrative konti (CIS 6)
- Automatisk backup med test af restore (CIS 11)
- Sikker konfiguration/hardening (CIS 4)
- Logning aktiveret og centraliseret (CIS 8)
Trin 4: Validér med automatiseret pentest (1 dag)
Kør en NodeZero-test mod jeres infrastruktur. Den finder angrebskæder I ikke vidste eksisterede, misconfigurations der gik under radaren i gap-analysen, default credentials I glemte at ændre, og privilege escalation paths fra bruger til domain admin. Se hvordan en NodeZero pentest fungerer i praksis.
Trin 5: Fix og verificér (løbende)
Brug NodeZero’s Quick Verify til at genverificere, at jeres fixes virker, uden at køre en fuld test. Sæt automatiske tests op ugentligt eller månedligt. Nu har I den kontinuerlige effektivitetsvurdering, som Art. 21(f) kræver.
Trin 6: Dokumentér med OCSP
Saml jeres CIS 18-scorecard, jeres NodeZero-rapporter og jeres politikdokumenter. Med OpinioSec Compliance & Security Portal (OCSP) mappes fund automatisk til dit compliance-regime via et live dashboard: NIS2, GDPR, DORA, ISO 27001 eller et af 250+ andre frameworks.
OCSP leverer fem rapporttyper, fra Executive Summary til Compliance-audit, genereret on-demand på under 60 sekunder. Med kronjuvel-prioritering og 50+ auto-detektionsmønstre prioriterer du uden ekstern hjælp: dine mest kritiske assets mappet mod fundne sårbarheder giver dig en prioritering baseret på forretningsværdi, ikke bare CVSS-scores.
Når tilsynet banker på, har I noget at vise frem, ikke en støvet PDF fra sidste år, men en levende, opdateret portal med compliance-klar dokumentation.
NIS2 compliance: Hvornår du skal have ekstern hjælp
Der er ting, du ikke bør gøre selv. Spar pengene til der, hvor de virkelig gør en forskel:
- Juridisk rådgivning: NIS2-loven er ny og fortolkningen er under udvikling. Bestyrelsen kan pådrage sig personlige sanktioner. Tal med en jurist, der kender området. Læs mere om NIS2 og bestyrelsesansvar.
- Ekstern audit og certificering: ISO 27001-certificering, ISAE 3000/3402-erklæringer eller andre formelle attesteringer kræver ekstern revision.
- Social engineering og fysisk sikkerhedstest: Separate discipliner som kan adresseres gennem awareness-træning (CIS Control 14).
- Kompleks arkitektur og OT-sikkerhed: SCADA-systemer og hybrid IT/OT-arkitektur kræver specialiseret ekspertise.
Den pragmatiske sandhed om NIS2 compliance
NIS2-compliance behøver ikke være et seks-cifret konsulentprojekt. De virksomheder, der klarer sig bedst, er dem, der forstår deres eget miljø bedre end nogen ekstern konsulent, bruger anerkendte frameworks som CIS 18 til at strukturere arbejdet, automatiserer validering i stedet for at betale for point-in-time snapshots, og henter ekstern hjælp målrettet til juridik, audit og det, der kræver uafhængighed.
For i sidste ende handler det ikke om at krydse af i et skema. De bedste sikkerhedsteams vi arbejder med, har indset én ting: compliance er et minimum. Reel sikkerhed kræver, at du stopper med at spørge “opfylder vi kravene?” og begynder at spørge “virker det?”
Næste skridt
Den hurtigste vej til at se, hvor du står, er at lade din infrastruktur blive testet. Ikke som en teoretisk gap-analyse på et whiteboard, men som et reelt, simuleret angreb mod dine systemer.
Book en NodeZero-demo med OpinioSec. Vi kører en test mod jeres miljø, gennemgår resultaterne sammen, og I får et konkret billede af jeres sikkerhedsniveau mappet direkte til NIS2-kravene.
Book en gratis NodeZero-demo eller ring til os på +45 77 34 56 40.
Ofte stillede spørgsmål om NIS2 compliance
Er min virksomhed omfattet af NIS2?
Det afhænger af din branche og størrelse. Tjek det på nis2tjek.sikkerdigital.dk. NIS2 omfatter 18 sektorer, herunder energi, transport, sundhed, digital infrastruktur, offentlig forvaltning og fødevarer. Virksomheder med over 50 ansatte eller over 10 mio. euro i omsætning i disse sektorer er typisk omfattet.
Kan jeg selv lave en NIS2 gap-analyse?
Ja. Brug CIS 18 Critical Security Controls som framework og CIS’ officielle NIS2-mapping. Gennemgå de 56 IG1-safeguards (eller 130 IG2-safeguards) med dit IT-team. Det tager 1-2 dage og koster ingenting udover jeres tid.
Hvad er forskellen på CIS 18 og NIS2?
NIS2 er lovgivning. Det definerer hvad du skal gøre. CIS 18 er et framework der viser hvordan du gør det. CIS har lavet en officiel mapping der forbinder de to, så du kan bruge CIS 18 som implementeringsguide for NIS2-kravene.
Hvad koster det at blive NIS2-compliant?
Det varierer enormt. Et fuldt konsulentprojekt kan koste 400.000-800.000 kr. Men ved at gøre gap-analyse og basale implementeringer selv, og bruge automatiseret pentest til validering, kan du reducere eksterne omkostninger med 50-80%. Se prissammenligning her.
Hvordan dokumenterer jeg NIS2-compliance løbende?
Automatiseret pentest med NodeZero giver kontinuerlig dokumentation af sikkerhedseffektivitet. Med OCSP mappes fund automatisk til NIS2-krav og genererer compliance-rapporter on-demand. Det er den mest effektive måde at opfylde Artikel 21(f)’s krav om effektivitetsvurdering.
Hvad sker der, hvis vi ikke overholder NIS2?
Sanktionerne under NIS2 er betydelige. For væsentlige enheder op til 10 mio. euro eller 2% af global omsætning. For vigtige enheder op til 7 mio. euro eller 1,4% af global omsætning. Derudover kan ledelsen pålægges personligt ansvar. Læs mere om bestyrelsens ansvar under NIS2.
Læs også
- NodeZero i praksis: Autonom pentest på under 4 timer
- Kontinuerlig penetrationstest: Hvorfor årlig pentest ikke er nok
- Pentest pris: Automatiseret vs. traditionel
- NIS2 krav: Personligt ansvar for bestyrelsen
- Pen test i 2026: Derfor vælger flere automatiseret pentest
- Automatiseret penetration test med NodeZero
- IT Sikkerhedstest: 5 Metoder til at Validere Din Cybersikkerhed
OpinioSec er Nordens mest erfarne NodeZero-leverandør og eneste danske Horizon3.ai Guld-partner. Vi kombinerer licens, rådgivning og drift i en samlet løsning og hjælper danske organisationer med at styrke deres cybersikkerhed gennem automatiseret pentest og praktisk sikkerhedsarkitektur.