
11 October 2023
EU’s nye NIS2-direktiv bliver nu implementeret i dansk lovgivning. Det stiller skærpede krav til cybersikkerheden i flere tusind danske virksomheder og organisationer, der beskæftiger sig med kritisk infrastruktur.
De første skridt hen imod NIS2-compliance er at skabe et klart overblik over graden af modenhed, kritiske systemer og aktiver, de eksisterende sikkerhedsforanstaltninger samt dokumentation. Det er fundamentet for at kunne træffe de rette beslutninger om fremtidige sikkerhedsinvesteringer.
Som international cybersikkerhedspartner hjælper vi alle slags organisationer med at navigere i kravene – både strategisk og operationelt. Gennem rådgivning og støtte til implementering hjælper vi med at gøre vejen til NIS2-compliance kortere og mere overskuelig. Med de rigtige prioriteringer kan cybersikkerhed gøres til et indsatsområde, der bidrager direkte til virksomhedens robusthed, konkurrenceevne, vækst og udvikling.
Efter flere udskydelser træder den danske implementering af NIS2-lovgivningen i kraft den 1. juli 2025. Det vil medføre flere forandringer i arbejdet med cybersikkerheden hos alle danske virksomheder, der arbejder med kritisk infrastruktur. Især fordi de fremover skal overholde en række bindende og skærpede cybersikkerhedskrav. Det gælder ikke alene internt, men også hos virksomhedernes leverandører, som ligeledes skal udvide deres fokus på bl.a. risikostyring, hændelseshåndtering og rapportering af sikkerhedshændelser.
”NIS2 er ikke bare "endnu et compliancekrav" – det er en markant skærpelse af ansvaret for cybersikkerhed, som især retter sig mod topledelsen og gør kendte best practices til et lovkrav for virksomheder og organisationer, der beskæftiger sig med kritisk infrastruktur. Omfanget af NIS2 kan være en stor udfordring – især for mindre og mellemstore virksomheder, fordi de nu skal forholde sig til nye krav og ansvar. Men NIS2 er også en anledning til at løfte cybersikkerhed op på strategisk niveau, hvor sikkerhedsindsatsen ikke alene handler om beskyttelse, men også om udvikling af en mere robust forretning. Hos Orange Cyberdefense hjælper vi virksomheder med at skabe overblik, prioritere indsatsen og omsætte kravene til konkrete løsninger, der styrker både sikkerheden og forretningen”, siger Ulrik Ledertoug, Director of Business Development and Services hos Orange Cyberdefense Danmark.
Som cybersikkerhedspartner for store private og offentlige organisationer oplever vi ofte, at de kunder vi rådgiver, har en stor usikkerhed om, hvad NIS2 helt konkret kommer til at betyde for dem.
”Vi er naturligvis enige med både myndigheder og brancheorganisationer i, at cybersikkerhed er blevet forretningskritisk. Men mange virksomheder står stadig med en lang række uafklarede spørgsmål om NIS2, for eksempel: Er vi overhovedet omfattet? Hvor starter vi? Hvad er den mest direkte vej til compliance? Det er præcis her, vi kan gøre en forskel”, fortæller Bo Drejer, GRC Manager hos Orange Cyberdefense Danmark – og fortsætter:
”Samtidig synes jeg, det er meget positivt, at Ministeriet for Samfundssikkerhed og Beredskab nu har lanceret værktøjet NIS2-tjek, som er tænkt som en hjælp til de organisationer, der er i tvivl om, hvorvidt de er omfattet af den nye NIS2-lovgivning.”
Værktøjet er et stort skridt i den rigtige retning, men som det også understreges fra ministeriets side, er det kun vejledende. Virksomhederne har stadig selv det endelige ansvar for at afklare, om de er omfattet af den nye lovgivning.
”For mange organisationer vil værktøjet ikke være nok. De har brug for konkret rådgivning – især i forhold til risiko- og trusselsvurdering samt hjælp til at prioritere deres operationelle cybersikkerhedsarbejde. Det handler om at få strategien omsat til praksis, så de både er tilstrækkeligt sikret i det daglige og forberedte på at kunne reagere effektivt i tilfælde af en hændelse eller krise”, fortæller Bo Drejer.
Den nye NIS2-lovgivning stiller ikke bare øgede krav om dokumentation og registrering, men også til governance, risikostyring, hændelseshåndtering og tekniske sikkerhedsforanstaltninger.
”Mange virksomheder står midt i en omfattende digitalisering, men cybersikkerheden er ikke nødvendigvis fulgt med. Når de så ovenikøbet selv skal afklare, om de er omfattet af NIS2 – og hvordan de i så fald lever op til kravene – bliver opgaven uoverskuelig. Derfor oplever vi ofte, at vores kunder har stort behov for hjælp til at etablere et strategisk overblik og få det til at gå hånd i hånd med den operationelle sikkerhed”, forklarer Bo Drejer.
Implementeringen af NIS2-kravene i dansk lovgivning har været en kompliceret og langstrakt proces. Den nye lovgivning er blevet udskudt med cirka ni måneder. Det betyder også, at vejledningen til virksomhederne er blevet forsinket. Derfor er mange organisationer ikke tilstrækkeligt forberedt.
”Lovgivningen fra EU’s side har været klar i flere år, men det har taget lang tid at behandle direktivet i Danmark og få det implementeret i dansk lovgivning. Vi har også ventet på konkrete vejledninger i meget lang tid, og det har hverken gjort opgaven nemmere eller mere overskuelig”, siger Ulrik Ledertoug og tilføjer:
”Det er samfundskritisk, at vi får styrket cybersikkerheden på grund af den ustabile geopolitiske situation i verden, som medvirker til at øge cybertruslen markant. Men så længe den danske NIS2-lovgivning ikke var på plads, og de berørte virksomheder og organisationer ikke var forpligtede til at styrke deres cyberforsvar ved lov, har mange direktioner og bestyrelser fokuseret på andre opgaver, hvilket jo ikke er så mærkeligt. Desværre gør det ikke udfordringerne mindre nu, hvor vi nærmer os deadline den 1. juli. Nu kan det blive svært at nå, hvis man ikke har interne ressourcer, for efterspørgslen på eksterne konsulenter og NIS2-eksperter er stor, og markedet er allerede ved at være støvsuget.”
Hos Orange Cyberdefense har vi konsulenter og cybersikkerhedseksperter, som hjælper både private virksomheder og offentlige organisationer med at omsætte de komplekse NIS2-krav til konkrete handlinger og løsninger, der løfter cybersikkerheden på de områder, som lovgivningen foreskriver.
Med vores Managed Security Services (MSS) baseret på indsamling og analyse af enorme mængder af sikkerheddata fra hele verden, tilbyder vi operationel cybersikkerhed, der styrker cyberforsvaret, beskytter alle lag i organisationen og genererer den dokumentation og transparens, der skal til for at overholde NIS2-kravene.
Vi leverer Managed Security Services til over 50.000 kunder. Herunder:
”Flere af vores MSS-kunder fortæller, at de tidligere har manglet overblik over deres sikkerhedsniveau og sårbarheder, fordi deres tilgang til cybersikkerhed mest var baseret på en mavefornemmelse. Det går ikke længere – hverken i forhold til det aktuelle trusselsbillede, eller i forhold til de nye NIS2-krav”, siger Ulrik Ledertoug – og fortsætter:
”Gennem vores Managed Security Services kan man få det overblik og den sikkerhedsmæssige robusthed, som NIS2 kræver. Ved at kombinere trusselsefterretninger, hændelseshåndtering og dokumentation i én samlet løsning gør vi det muligt for organisationer at skifte fra reaktiv til proaktiv sikkerhed. Det skaber ikke alene compliance, men også bedre risikostyring, rapportering og dokumentation til ledelse, bestyrelse og myndigheder.
Som en af Europas førende leverandører af cybersikkerhedsløsninger, ved vi, hvad der skal til for at sikre alle typer organisationer og virksomheder i forhold til teknologi, processer og mennesker. Derfor er vores GRC-rådgivning (Governance, Risk & Compliance) en naturlig del af vejen til NIS2-compliance.
Rådgivningen fra vores GRC-team tager udgangspunkt i forretningsorienteret risikovurdering. Hvad er jeres mest kritiske aktiver? Hvad skal beskyttes bedst? Og hvad kan forretningen for en kort periode køre videre uden? Den vurdering bør afspejle sig i prioriteringen af jeres sikkerhedsinvesteringer.
Vores team stiller derfor skarpt på jeres arbejds- og beslutningsprocesser, investeringsplaner og hvordan jeres cybersikkerhed passer ind i jeres overordnede forretningsstrategi. Efterfølgende hjælpe vi også med den praktiske implementering af alle anbefalinger.
Vi hjælper bl.a. med:
Ifølge Bo Drejer er der en klar tendens i stort set alle danske virksomheder og organisationer:
”Langt de fleste organisationer og virksomheder, jeg kommer hos, er meget modne, når det gælder digitalisering. De har teknologierne, men mangler den governance, der skal til for at blive NIS2-compliant”, forklarer Bo Drejer – og uddyber:
”Med vores GRC-rådgivning sørger vi for, at cybersikkerhed ikke bare er produkter og services – men en reel ledelsesdisciplin, som styrker hele organisationen og forretningen. Vi hjælper med at matche hensigterne med NIS2-kravene med virksomhedernes hverdag, så der er overensstemmelse mellem organisationernes sikkerhedspraksis og den nye lovgivning. Det gør en reel forskel, fordi vi sikrer, at der kommer styr på processerne og at de tilgængelige ressourcer udnyttes optimalt – både på den korte og lange bane.”
Fra NIS2 træder i kraft den 1. juli 2025 har alle berørte organisationer og virksomhederne tre måneder til at registrere sig som omfattet af den nye lovgivning.
”For de fleste organisationer er NIS2-kravene meget omfattende, og de kan derfor ikke implementeres fra den ene dag til den anden. Jo hurtigere man sørger assistance fra en kompetent sikkerhedspartner, jo bedre – og vi er klar til at hjælpe. Både som rådgiver, sparringspartner og som leverandør af de cybersikkerhedsløsninger, der skal bruges i praksis”, siger Ulrik Ledertoug og Bo Drejer følger op:
”I Orange Cyberdefense ser vi ikke NIS2 som endnu en compliance-øvelse, men som en oplagt anledning til at styrke jeres brand som troværdig og effektiv leverandør og samarbejdspartner – samtidig med at jeres cyberrisiko reduceres. Det gør vi ved at forankre jeres cybersikkerhedsstrategi og sikkerhedspraksis i jeres overordnede forretningsstrategi, så det sikrer jer optimal værdi på lang sigt. NIS2-compliance handler ikke kun om at undgå sanktioner – det handler om at styrke organisationens troværdighed, modstandsdygtighed og evne til at reagere hurtigt og effektivt på trusler og i værste fald store cyberangreb.”
NIS2 er mere end krav og lovgivning – det er en gennemtænkt og velstruktureret ramme for at tage cybersikkerhed alvorligt, før det er for sent. Uanset om din organisation har brug for rådgivning, teknologi eller begge dele, kan vi hjælpe. Hele vejen fra den første analyse til implementering, drift og opbygning af de governance-processer som sikrer, at I lever op til gældende lovgivning og altid er compliant.
Hvis du har brug for rådgivning om, hvordan din virksomhed skal forholde sig til NIS2-direktivet eller DORA-forordningen, så tag kontakt til en af vores eksperter eller udfyld formularen herunder.
GRC Manager
MSS Sales Specialist
Director of Business Development & Services