NIS2 stiller nye krav til bestyrelsen. Hvad gør du nu?
Siden 1. juli 2025 kan bestyrelsen personligt holdes ansvarlig for, at jeres virksomhed lever op til de nye NIS2 krav til cybersikkerhed. For tusindvis af danske virksomheder inden for 18 kritiske sektorer betyder det én ting: cybersikkerhed er ikke længere en teknisk opgave, det er et bestyrelsesansvar.
Bøder op til 75 millioner kroner. Personligt ledelsesansvar. En 24-timers frist for at rapportere sikkerhedshændelser. Kravene er reelle, konsekvenserne er mærkbare, og tidsvinduet for at handle er nu.
Men her er den gode nyhed: NIS2-compliance behøver ikke være uoverskueligt. Med det rigtige framework og det rigtige værktøj kan du gå fra lovtekst til konkret handlingsplan, og vi viser dig hvordan.
Denne artikel giver dig tre ting:
- Et klart overblik over hvad NIS2 krav og der kræves af din virksomhed
- CIS 18 Controls som din praktiske roadmap til compliance
- Automatiseret pentest som metoden til at bevise, at dine foranstaltninger faktisk virker
NIS2 krav kort fortalt: personligt ansvar og stramme deadlines
NIS2 (Network and Information Security Directive 2) er EU’s opgraderede cybersikkerhedsdirektiv, der erstatter det oprindelige NIS1. I Danmark blev loven vedtaget enstemmigt af Folketinget den 29. april 2025, og Styrelsen for Samfundssikkerhed fører tilsyn.
Hvem er omfattet?
Virksomheder i 18 sektorer, fra energi, transport og sundhed til fødevarer, fremstilling og digitale udbydere. Afgørende er tre kriterier:
- Sektor: Er du i en af de 18 omfattede sektorer?
- Størrelse: Mellemstore (50+ ansatte eller 10M+ EUR omsætning) og store virksomheder er automatisk omfattet
- Samfundskritisk funktion: Visse enheder er omfattet uanset størrelse (fx DNS-udbydere, cloud-infrastruktur, tillidstjenester)
Er du i tvivl om NIS2 krav? Tjek nis2tjek.sikkerdigital.dk, det tager fem minutter.
Artikel 21: De 10 krav du skal leve op til
Kernen i NIS2 er Artikel 21, der kræver passende og proportionale foranstaltninger inden for minimum 10 områder:
| # | Krav | Kort forklaring |
|---|---|---|
| (a) | Risikoanalyse og sikkerhedspolitikker | Politikker for risikovurdering og informationssikkerhed |
| (b) | Hændelseshåndtering | Processer til at detektere, håndtere og lære af hændelser |
| (c) | Forretningskontinuitet | Backup, disaster recovery og krisestyring |
| (d) | Forsyningskædesikkerhed | Sikkerhedskrav til leverandører og tjenesteydere |
| (e) | Sikkerhed i anskaffelse og udvikling | Sårbarhedshåndtering i systemer og software |
| (f) | Vurdering af effektivitet | Test og evaluering af sikkerhedsforanstaltninger |
| (g) | Cyberhygiejne og uddannelse | Awareness-træning og basale sikkerhedspraksisser |
| (h) | Kryptografi | Politikker for brug af kryptering |
| (i) | Adgangskontrol og asset management | Personalesikkerhed og styring af adgangsrettigheder |
| (j) | MFA og sikker kommunikation | Multi-faktor autentifikation og sikret kommunikation |
Ledelsesansvar: det nye i NIS2 kravene
Her adskiller NIS2 krav sig markant fra det meste foregående regulering: bestyrelsen og den øverste ledelse er direkte og personligt ansvarlig for at godkende og føre tilsyn med cybersikkerhedsforanstaltningerne.
Det betyder konkret:
- Ledelsesmedlemmer kan pådrage sig personlige sanktioner
- Mulige konsekvenser inkluderer midlertidigt forbud mod at bestride ledelsesfunktioner
- Ledelsen skal gennemgå cybersikkerhedsuddannelse
- Manglende overholdelse kan offentliggøres
Det er ikke længere nok at delegere cybersikkerhed til IT-afdelingen og håbe det bedste.
Sanktioner
- Væsentlige enheder: Op til €10 mio. eller 2% af global årsomsætning
- Vigtige enheder: Op til €7 mio. eller 1,4% af global årsomsætning
- I dansk kontekst: bøder op til 75 millioner DKK
Incident reporting: Stramme tidsfrister
Når en væsentlig hændelse opstår, tæller uret:
| Frist | Hvad skal rapporteres? |
|---|---|
| 24 timer | Early warning, første underretning, herunder om hændelsen skyldes en ondsindet handling |
| 72 timer | Incident notification, vurdering af alvor, påvirkning og indicators of compromise |
| 1 måned | Final report. detaljeret beskrivelse, root cause og afhjælpningstiltag |
24 timer er ikke lang tid. Uden etablerede processer og værktøjer er det næsten umuligt at overholde.
Problemet: NIS2 krav siger hvad: men ikke hvordan
Her rammer mange virksomheder muren.
NIS2’s Artikel 21 er klar på hvad der kræves: risikoanalyse, hændelseshåndtering, forsyningskædesikkerhed, effektivitetsvurdering og så videre. Men direktivet siger meget lidt om hvordan du konkret implementerer det.
Resultatet? Virksomheder sidder med en lov, der stiller klare krav, men ingen handlingsplan for at opfylde dem. Mange ender i ét af to scenarier:
- Compliance-panik: Dyre konsulentforløb der producerer politikdokumenter, men ikke reelt forbedrer sikkerheden
- Analyselammelse: Kravene virker uoverskuelige, og intet sker
Begge scenarier er dyre, enten i konsulentregninger eller i risiko.
Det, virksomheder har brug for, er et konkret, prioriteret framework der oversætter NIS2’s lovkrav til specifikke tekniske og organisatoriske handlinger, og et værktøj der validerer implementeringen løbende. Frameworket eksisterer allerede. Værktøjet gør også.
Vil du se hvad en angriber ser i jeres netværk?
NodeZero kører en fuld pentest på under 4 timer. Ingen agents, ingen forpligtelser.
CIS 18 Controls: Din praktiske roadmap til NIS2-compliance
CIS Critical Security Controls (CIS 18) version 8.1 er et sæt af 18 sikkerhedskontroller med 153 specifikke safeguards, udviklet af Center for Internet Security. Hvor NIS2 beskriver hvad organisationer skal, beskriver CIS 18 hvordan de styrker deres cybersikkerhed.
Hvorfor CIS 18?
- Handlingsorienteret: Hver kontrol har konkrete, implementerbare safeguards
- Officiel NIS2-mapping: CIS har selv udgivet en mapping fra CIS Controls v8.1 til NIS2, det er ikke noget vi opfinder
- Skalerbart: Tre Implementation Groups gør det realistisk for virksomheder i alle størrelser
- Målbart: Safeguards er designet til at kunne måles, afgørende for NIS2’s krav om effektivitetsvurdering
- Baseret på virkeligheden: Opdateret løbende baseret på faktiske angrebsmønstre, ikke akademisk teori
- Gratis tilgængeligt: Ingen licensomkostninger for frameworket selv
CIS 18 er et stærkt udgangspunkt, men i praksis skal de fleste virksomheder forholde sig til flere frameworks samtidig: NIS2, GDPR, DORA, ISO 27001 og andre. Med OpinioSec Compliance & Security Portal (OCSP) mappes NodeZero-fund automatisk til over 250 frameworks på én gang via et live compliance-dashboard. Du vælger dit regime, og rapporterne justeres derefter, klar til tilsyn på under 60 sekunder.
De 18 Controls i overblik
| # | Control | Fokus |
|---|---|---|
| 1 | Inventory of Enterprise Assets | Kend din hardware |
| 2 | Inventory of Software Assets | Kend din software |
| 3 | Data Protection | Beskyt dine data |
| 4 | Secure Configuration | Hærd dine systemer |
| 5 | Account Management | Styr brugerkonti |
| 6 | Access Control Management | Styr adgangsrettigheder |
| 7 | Continuous Vulnerability Management | Find og fix sårbarheder løbende |
| 8 | Audit Log Management | Log og overvåg |
| 9 | Email and Web Browser Protections | Beskyt mod phishing og web-trusler |
| 10 | Malware Defenses | Stop malware |
| 11 | Data Recovery | Backup og gendannelse |
| 12 | Network Infrastructure Management | Sikr dit netværk |
| 13 | Network Monitoring and Defense | Overvåg og forsvar |
| 14 | Security Awareness Training | Træn dine medarbejdere |
| 15 | Service Provider Management | Styr leverandørsikkerhed |
| 16 | Application Software Security | Sikr dine applikationer |
| 17 | Incident Response Management | Håndtér hændelser |
| 18 | Penetration Testing | Test om det hele virker |
Implementation Groups: Start der hvor du er
CIS 18 er designet til at være skalerbart. Du behøver ikke implementere alt på én gang:
- IG1 (56 safeguards): Essentiel cyberhygiejne. Det absolutte minimum enhver organisation bør have. Passer til mindre virksomheder med begrænset IT-ekspertise.
- IG2 (130 safeguards totalt): For mellemstore organisationer med flere afdelinger og compliance-behov. Her befinder de fleste NIS2-omfattede virksomheder sig.
- IG3 (153 safeguards totalt): For store organisationer med dedikerede sikkerhedsteams og behov for at modstå sofistikerede angreb.
Implementation Groups er kumulative, IG2 inkluderer alt fra IG1, og IG3 inkluderer alt fra IG2. Du bygger ovenpå, ikke om.
Den konkrete mapping: CIS 18 → NIS2 Artikel 21
Her bliver det praktisk. CIS har udgivet en officiel mapping mellem deres controls og NIS2-direktivet. Det betyder, at du kan tage hvert NIS2-krav og se præcis hvilke CIS-kontroller der adresserer det:
| NIS2 Art. 21 Krav | Primære CIS Controls | Hvad det betyder i praksis |
|---|---|---|
| (a) Risikoanalyse & sikkerhedspolitikker | CIS 1, 2, 3, 4, 5, 6 | Kend dine assets, beskyt dine data, hærd dine systemer |
| (b) Hændelseshåndtering | CIS 17 | Etablér incident response-plan og øv den |
| (c) Forretningskontinuitet | CIS 11 | Backup-strategi med test af gendannelse |
| (d) Forsyningskædesikkerhed | CIS 15 | Evaluér og styr leverandørers sikkerhed |
| (e) Sårbarhedshåndtering | CIS 7, 16 | Løbende scanning, patching og sikker udvikling |
| (f) Vurdering af effektivitet | CIS 18, 7 | Pentest og løbende sårbarhedsvalidering |
| (g) Cyberhygiejne & uddannelse | CIS 4, 9, 10, 14 | Træning, sikker konfiguration, phishing-beskyttelse |
| (h) Kryptografi | CIS 3 | Kryptering af data i transit og at rest |
| (i) Adgangskontrol & asset management | CIS 1, 2, 5, 6 | Asset inventory og stram adgangsstyring |
| (j) MFA & sikker kommunikation | CIS 6, 12 | MFA på alle kritiske systemer, sikret kommunikation |
Denne tabel er din oversættelsesnøgle. Tag den med til næste bestyrelsesmøde.
Artikel 21(f): Det oversete NIS2 krav der kræver bevis
Lad os zoome ind på ét specifikt krav, der ofte overses, men som kan blive afgørende ved et tilsyn.
Artikel 21, stk. 2, litra (f) kræver:
“Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici”
Med andre ord: Det er ikke nok at have sikkerhedsforanstaltninger. Du skal bevise, at de virker.
Du kan have verdens bedste firewall-politik, den mest detaljerede incident response-plan og MFA på alle systemer. Men hvis du ikke systematisk tester og dokumenterer, at disse foranstaltninger faktisk stopper angreb, opfylder du ikke kravene.
Hvordan beviser du effektivitet?
Der findes flere metoder, sårbarhedsscanning, audits, tabletop-øvelser, men penetration testing er den mest anerkendte og direkte metode til at vurdere, om dine sikkerhedskontroller holder i praksis.
En pentest simulerer et reelt angreb mod din infrastruktur. Den viser ikke bare teoretiske sårbarheder, den beviser, om en angriber faktisk kan udnytte dem, hvor langt de kan komme, og om dine forsvarsmekanismer opdager og stopper angrebet. Og når fund mappes direkte til dine kontrolkrav, ikke bare som CVE-numre, men som kontroller der fejler, får du auditerbare rapporter, der fungerer som konkret compliance-bevis over for tilsyn og revision.
Som en tysk sikkerhedsekspert formulerer det: “NIS2 kræver ikke eksplicit penetration testing, men direktivet stiller krav, der næppe er gennemførlige eller verificerbare uden det.”
CIS 18 er enig til Control 18 er dedikeret specifikt til penetration testing som den ultimative validering af alle øvrige kontroller.
Og netop her ligger en vigtig pointe: compliance er et minimum, ikke et mål i sig selv. Du kan krydse af i alle skemaer og stadig være sårbar. Reel sikkerhed kræver, at du går fra checkbox til validering, at du tester, om dine foranstaltninger faktisk stopper et angreb, ikke bare om de er dokumenteret.
Traditionel vs. automatiseret pentest: Hvad passer til NIS2 krav?
Når vi taler om pentest som NIS2-compliance-metode, er det vigtigt at forstå forskellen mellem den traditionelle tilgang og den automatiserede.
Sammenligning
| Aspekt | Traditionel pentest | Automatiseret pentest |
|---|---|---|
| Frekvens | 1-2 gange årligt | Ugentligt eller dagligt |
| Varighed per test | 1-3 uger | Timer |
| Pris | 150.000-400.000+ DKK per test | Fast abonnement, ubegrænsede tests |
| Scope | Begrænset af tid og budget | Fuld infrastruktur, hver gang |
| Konsistens | Varierer med testerens erfaring | Reproducerbart og konsistent |
| Rapport | PDF leveret uger efter test | Real-time dashboard med fix-vejledning |
| Verifikation af fixes | Kræver ny test (ny omkostning) | Inkluderet, gentest samme dag |
| Dækning over tid | 1-2 snapshots om året | Kontinuerlig |
| Kreativitet | Høj (menneskelig intuition, social engineering) | Voksende (AI-drevet angrebslogik) |
364 dage blind
Her er den ubehagelige sandhed om den traditionelle tilgang: Hvis du pentester én gang om året, har du ét øjebliksbillede af din sikkerhed. De resterende 364 dage opererer du uden validering.
Nye sårbarheder offentliggøres dagligt. Konfigurationer ændrer sig. Medarbejdere skifter job, og deres konti forbliver aktive. En pentest fra marts fortæller dig intet om din sikkerhedstilstand i november.
For NIS2 krav om løbende vurdering af effektivitet er et årligt snapshot et minimum, men det matcher ikke direktivets ånd.
Hvad automatiseret pentest leverer
Moderne automatiserede pentest-platforme fungerer som en autonom angriber, der tester din infrastruktur på samme måde som en reel threat actor:
- Intern pentest: Tester internt netværk for lateral movement, privilege escalation og misconfigurations
- Ekstern pentest: Evaluerer din eksterne angrebsflade
- Cloud-pentest: Tester AWS, Azure og hybrid-miljøer
- Web-applikationstest: Simulerer angreb mod webapplikationer
- AD-audit: Verificerer password-politikker og Active Directory-sikkerhed
Vigtigst: Platformen leverer detaljeret fix-vejledning per fund og mulighed for at genvalidere rettelser uden at køre en fuld ny test.
Kombination er bedst
Den stærkeste tilgang kombinerer begge metoder:
- Automatiseret pentest som din løbende baseline, ugentlige eller månedlige tests der holder dig ajour
- Årlig manuel pentest erstattes af kontinuerlig automatiseret validering, der dækker langt mere end et årligt snapshot
Denne kombination giver dig både bredde (kontinuerlig dækning) og dybde (ekspertdrevet kreativitet). og tilfredsstiller NIS2’s krav om løbende effektivitetsvurdering.
NodeZero: Platformen bag automatiseret pentest hos OpinioSec
Hos OpinioSec bruger vi NodeZero fra Horizon3.ai. Og lad os være helt klare: NodeZero er ikke en sårbarhedsscanner. Har du Qualys eller Tenable, har du en CVE-liste. NodeZero er en autonom angriber, der kæder svagheder sammen, udnytter dem og dokumenterer hele vejen fra initial access til domain compromise. Det er en helt anden liga.
Hvad gør NodeZero anderledes?
- Autonom angrebslogik: NodeZero kæder sårbarheder sammen, ligesom en menneskelig angriber. Den finder ikke bare én svaghed, den viser hele angrebsvejen fra initial access til domain compromise.
- Proof of exploitation: Hvert fund dokumenteres med bevis for, at det faktisk kan udnyttes, ikke bare en teoretisk risikoscore.
- Fix-vejledning med prioritering: Hvert fund kommer med konkret vejledning til udbedring, prioriteret efter faktisk impact, ikke CVSS-scores i et vakuum.
- 1-click verify: Når du har rettet en sårbarhed, kan du genvalidere med ét klik. Ingen ny fuld test nødvendig.
- Kontinuerlig compliance-dokumentation: Hver test genererer rapporter der dokumenterer din sikkerhedspostur, klar til NIS2-tilsyn.
NodeZero og NIS2 Artikel 21(f)
NodeZero løser det problem, som mange virksomheder kæmper med: løbende, dokumenteret bevis for at sikkerhedsforanstaltningerne virker. Kør en test i dag, få resultaterne i morgen, ret fundene, verificér rettelserne. og gentag næste uge. Det er præcis den kontinuitet der kræves af NIS2 kravene.
Din roadmap: 3 trin til NIS2-compliance
Nok teori. Her er din konkrete handlingsplan.
Trin 1: Gap-analyse mod CIS 18
Start med at kortlægge hvor du står i dag.
- Vælg din Implementation Group: De fleste NIS2-omfattede virksomheder bør sigte mod IG2 som minimum
- Gennemgå hvert CIS-control mod din nuværende praksis: Hvad har du? Hvad mangler du? Hvad er delvist implementeret?
- Prioritér gaps baseret på risiko og NIS2-kravene i Artikel 21
- Dokumentér resultatet. dette bliver din baseline og din compliance-evidens
En struktureret gap-analyse tager typisk 2-4 uger, afhængig af organisationens størrelse og kompleksitet.
Resultat: Et klart billede af din modenhed og en prioriteret liste over hvad der skal gøres.
Trin 2: Implementér prioriterede controls (IG1 → IG2 → IG3)
Med din gap-analyse i hånden, implementer systematisk:
Start med IG1-fundamentet:
- Asset inventory (CIS 1, 2), du kan ikke beskytte hvad du ikke kender
- Secure configuration (CIS 4), hærd dine systemer ud fra anerkendte baselines
- Account og access control (CIS 5, 6), MFA, least privilege, stram adgangsstyring
- Data recovery (CIS 11), backup der faktisk er testet
- Security awareness (CIS 14), træn dine medarbejdere
Byg videre med IG2:
- Continuous vulnerability management (CIS 7)
- Audit log management (CIS 8)
- Network monitoring (CIS 13)
- Service provider management (CIS 15)
- Incident response (CIS 17)
Avanceret med IG3:
- Application software security (CIS 16)
- Penetration testing (CIS 18)
- Avanceret netværksforsvar (CIS 13, udvidede safeguards)
Hvert trin bygger oven på det forrige. Du behøver ikke nå IG3 på dag ét, men du skal have en plan og kunne dokumentere progression.
Resultat: Konkrete sikkerhedsforbedringer der mapper direkte til NIS2-kravene.
Trin 3: Validér kontinuerligt med NodeZero
Det sidste trin lukker cirklen, og opfylder det kritiske krav i Artikel 21(f).
- Kør NodeZero regelmæssigt, ugentligt eller månedligt som minimum
- Brug resultaterne aktivt: Prioritér remediering baseret på faktisk exploiterbarhed, ikke kun CVSS-scores
- Genvalidér rettelser med 1-click verify for at sikre at de faktisk lukker hullerne
- Dokumentér alt, NodeZero’s rapporter via OCSP udgør din compliance-evidens
- Dokumentér alt, NodeZero’s rapporter, remedieringshandlinger og genvalideringer udgør din compliance-evidens
Resultat: Løbende, dokumenteret bevis for at dine sikkerhedsforanstaltninger virker, præcis hvad NIS2 kræver.
Fra krav til handling
NIS2 er ikke en papirtiger. Med personligt ledelsesansvar, bøder op til 75 millioner DKK og stramme rapporteringsfrister er konsekvenserne reelle. Men compliance behøver ikke være uoverskueligt.
Lad os opsummere:
- NIS2 definerer hvad din virksomhed skal leve op til
- CIS 18 Controls giver dig hvordan, et prioriteret, skalerbart framework med officiel NIS2-mapping
- NodeZero beviser at det virker, løbende, dokumenteret og i overensstemmelse med Artikel 21(f)
De tre elementer tilsammen giver dig en komplet, pragmatisk vej fra lovkrav til reel cybersikkerhed.
OpinioSec giver dig værktøjet til NIS2-compliance
Vi giver danske virksomheder adgang til de værktøjer, der gør NIS2-compliance konkret og målbart, med NodeZero som omdrejningspunkt.
Med OpinioSec får du:
- NodeZero-platformen, autonom pentest der kører når du vil, så ofte du vil, leveret af Nordens mest erfarne NodeZero-partner og eneste danske Horizon3.ai Guld-partner
- OpinioSec Compliance & Security Portal (OCSP), live compliance-dashboard med automatisk mapping til NIS2, GDPR, DORA, ISO 27001 og 250+ andre frameworks
- 5 rapporttyper, Pentest-historik, Sikkerhedsposition, Kronjuvel-eksponering, Compliance-audit og Executive Summary, genereret on-demand på under 60 sekunder som PDF eller Excel
- Kronjuvel-prioritering, 50+ auto-detektionsmønstre identificerer og prioriterer fund der truer jeres mest kritiske assets
- Avanceret planlægning, 12-måneders kalendervisning med blackout-vinduer, regionale skabeloner og iCal-integration
- 13 realtids-alarmtyper, fra kritiske fund på kronjuveler til compliance-statusændringer, leveret øjeblikkeligt
- Gap-analyse mod CIS 18, vi mapper din nuværende sikkerhed til NIS2-kravene
- Manipulationssikkert audit trail, fuld logning af alle handlinger, klar til revision og tilsyn
- Manipulationssikkert audit trail, fuld logning af alle handlinger, klar til revision
NIS2 er trådt i kraft. Dit værktøj til compliance er klar.
Se hvordan automatiseret pentest validerer din NIS2-compliance, book en gratis NodeZero-demo https://horizon3.ai/
Ofte stillede spørgsmål om NIS2
Hvem er omfattet af NIS2?
Virksomheder i 18 sektorer med 50+ ansatte eller 10M+ EUR omsætning er automatisk omfattet. Visse samfundskritiske funktioner er omfattet uanset størrelse. Tjek nis2tjek.sikkerdigital.dk for at se om din virksomhed er omfattet.
Hvad er bøderne under NIS2?
Væsentlige enheder risikerer bøder op til 10 mio. EUR eller 2% af global årsomsætning. I dansk kontekst op til 75 mio. DKK. Dertil kommer personligt ledelsesansvar for bestyrelsen.
Hvordan beviser man NIS2-compliance?
NIS2 Artikel 21(f) kræver at du beviser dine sikkerhedsforanstaltninger virker. Penetrationstest er den mest direkte metode. CIS 18 Controls giver en praktisk roadmap fra lovkrav til konkret implementering.
Hvad er forskellen på NIS2 og NIS1?
NIS2 udvider antallet af omfattede sektorer fra 7 til 18, indfører personligt ledelsesansvar, strammer incident reporting til 24 timer, og kræver løbende effektivitetsvurdering af sikkerhedsforanstaltninger.
Hvad koster det at blive NIS2-compliant?
Det afhænger af virksomhedens størrelse og nuværende modenhed. Med automatiseret pentest og et framework som CIS 18 kan du opnå compliance markant billigere end med traditionelle konsulentforløb. Se prissammenligning her.
Læs også
- Kontinuerlig penetrationstest: Hvorfor årlig pentest ikke er nok
- Pentest pris: Automatiseret vs. traditionel
- Se NodeZero produktside →
- NodeZero i praksis: Sådan kører vi en autonom pentest på under 4 timer
- NIS2-compliance selv: Validér din sikkerhed uden dyre konsulenter
- IT Sikkerhedstest: 5 Metoder til at Validere Din Cybersikkerhed
Denne artikel er udgivet af OpinioSec i februar 2026. Vil du se NodeZero i aktion og forstå, hvordan automatiseret pentest kan validere din NIS2-compliance? Book en gratis demo.