top of page

Et år med NIS2. I har taget kurset. Er I klædt på til krisen?

Den 1. juli 2025 trådte NIS2-loven i kraft i Danmark. Ét år efter er det tid til et ærligt regnskab - ikke af, hvor mange virksomheder der har registreret sig, men af noget langt mere ubehageligt: hvor mange bestyrelser og direktioner der reelt kan handle klogt, den dag en kritisk hændelse rammer dem.


Svaret er: for få. Og det er ikke, fordi ledelserne ikke har gjort noget. Det er, fordi de har gjort det forkerte.


Året, hvor "vi har taget et kursus" blev svaret

I løbet af det seneste år har tusindvis af danske bestyrelses- og direktionsmedlemmer sat kryds ved NIS2 på deres uddannelsesliste. Et halvdags webinar her. En opdatering på et bestyrelsesmøde der. En e-læringsmodul, der blev klaret mellem to andre møder.

Og alligevel - når man taler med de samme ledere seks eller tolv måneder senere, kommer den samme sætning igen og igen, sagt med en ærlighed, der burde bekymre flere end den gør: "Jeg har stadig ikke rigtig overblik."

Det er ikke en kritik af den enkelte leder. Det er et symptom på et strukturelt problem: markedet har leveret compliance, hvor loven kræver kompetence - og de to er ikke det samme.

Det bekræftes af tallene. En europæisk undersøgelse blandt 670 erhvervsledere fra slutningen af 2025 viste, at kun 16% af virksomhederne følte sig fuldt forberedt på NIS2 - over et halvt år efter loven var trådt i kraft. 11% af de omfattede organisationer vidste stadig ikke præcis, hvad NIS2 overhovedet var. Og i Danmark specifikt pegede undersøgelsen på et særligt mønster: 55% af de danske respondenter - den højeste andel i undersøgelsen - mente, at der simpelthen er for mange reguleringer. Det er ikke et tegn på, at NIS2 er forstået og accepteret. Det er et tegn på regulatorisk træthed, der gør det fristende at klare pligten billigst muligt frem for grundigst muligt.


Hvad loven rent faktisk kræver - og hvorfor det er en fælde

Her er den detalje, næsten ingen kurser fortæller jer højt: NIS2-loven (lov nr. 434 af 6. maj 2025) foreskriver hverken et bestemt timetal eller en bestemt certificering. § 7, stk. 2 siger blot, at ledelsesorganet skal deltage i "relevante kurser om styring af cybersikkerhedsrisici."


Det lyder som en lempelse. Det er det ikke. Det er en fælde for enhver bestyrelse, der forveksler "vi har deltaget i noget, der hedder et NIS2-kursus" med "vi opfylder loven."

For loven stopper ikke ved deltagelse. § 7, stk. 1 kræver derudover, at ledelsesorganet:

  • godkender virksomhedens cybersikkerhedsforanstaltninger - hvilket forudsætter, at ledelsen rent faktisk forstår, hvad den godkender

  • fører løbende tilsyn med, at foranstaltningerne bliver gennemført - ikke ét blik én gang om året

  • kan dokumentere sine beslutninger og sin deltagelse, hvis et tilsyn eller en forsikring spørger

Styrelsen for Samfundssikkerhed (SAMSIK) har uddybet dette i sin vejledning "Ledelsens rolle og opgaver" (maj 2025), og formuleringen er værd at læse langsomt: det er ikke nok at godkende et budget eller en politik én gang. Ledelsen skal løbende kunne redegøre for sin risikoforståelse - ikke bare fremvise et kursusbevis.


Med andre ord: et deltagerbevis fra et halvdags-webinar er ikke det samme som den kompetence, loven forudsætter, at I har. Det er dokumentation for, at I var til stede. Det er ikke dokumentation for, at I kan handle rigtigt, når det gælder.


Det store spørgsmål, næsten ingen stiller sig selv

Her er spørgsmålet, dette år burde have lært jer at stille, men som de fleste bestyrelser stadig undgår:

Hvad sker der, hvis I oplever en kritisk hændelse - og I ikke er klædt ordentligt på?

Ikke i teorien. Konkret, denne uge, hvis telefonen ringer klokken 22 en fredag, og nogen fortæller jer, at jeres systemer er krypteret.

Loven har et præcist svar, og det er værd at kende, før man har brug for det:

  • 24 timer til en tidlig varsling af myndighederne, efter I er blevet opmærksomme på en væsentlig hændelse.

  • 72 timer til en mere fyldestgørende underretning med en første vurdering af hændelsens alvor.

  • En måned til den endelige rapport med årsagsanalyse og afhjælpende tiltag.


De frister venter ikke på, at bestyrelsen finder overblikket, den ikke fik fra sit halvdags-kursus. De løber, uanset om I er klar.


Og konsekvenserne, hvis ledelsen har forsømt sine pligter, er ikke symbolske. NIS2-lovens § 23 giver tilsynsmyndigheden ret til, som en sidste udvej, midlertidigt at forbyde et ledelsesmedlem at udøve sine ledelsesfunktioner - indtil manglerne er udbedret. Bøderne for virksomheden kan nå op til 10 millioner euro eller 2% af den globale årsomsætning for væsentlige enheder, 7 millioner euro eller 1,4% for vigtige enheder - alt efter, hvad der er højst. Det er ikke en advarsel, man ryster af sig. Det er en personlig karriererisiko, koblet direkte til, om ledelsen faktisk forstod det, den skulle godkende.


Spørg jer selv ærligt: hvis en journalist, et tilsyn eller en forsikringssagsbehandler i morgen spurgte jeres bestyrelse, hvem der beslutter hvad i de første 24 timer af et angreb — kunne I svare med andet end et kursusbevis?


Compliance beskytter jeres papirspor. Det beskytter ikke jeres beslutning.

Det er her, det bliver ærligt ubehageligt: et halvdags online-kursus kan sagtens gøre jer compliant på papiret - I har deltaget, I har fået jeres certifikat, I har krydset boksen af. Men loven spørger ikke, om I krydsede en boks. Den spørger, om I kan godkende, føre tilsyn og træffe informerede beslutninger under pres. Det er tre forskellige færdigheder, og ingen af dem læres ved at se en skærm i tre timer, mens man samtidig svarer på mails.


Det er præcis den forskel, der afgør, hvad der sker den dag, hændelsen rammer: om jeres bestyrelse husker et budskab fra et webinar for seks måneder siden — eller om den har øvet den samme beslutning under realistisk pres og derfor handler uden at tøve.

Hvad et år med NIS2 faktisk burde have lært dansk erhvervsliv

  1. Deltagelse er ikke det samme som kompetence. Loven kræver begge dele, men kun den ene lader sig dokumentere med et certifikat.

  2. Der findes ingen nedre grænse for, hvor lidt der skal til - og det betyder, at markedet vil blive ved med at sælge jer den billigste vej til et deltagerbevis, medmindre I selv stiller et højere krav.

  3. Krisen tester ikke jeres IT-afdeling. Den tester jeres ledelse. Og ledelsens beslutningsevne under pres er den ene kompetence, intet e-læringsmodul kan give jer.

  4. Dokumentationen, der beskytter jer personligt under § 23, kommer ikke fra et kursusbevis - den kommer fra en protokol, der viser, at I rent faktisk godkendte, førte tilsyn og var i stand til at handle.

Og der er mere på vej: EU AI Act overhaler jer indenom

Mens I stadig arbejder på at få NIS2 til at sidde ordentligt, nærmer sig en anden forpligtelse sig med samme hastighed - og de færreste bestyrelser har opdaget, at den ikke er en separat opgave. Den er den samme opgave, i en anden klædning.

EU's AI-forordning (2024/1689) stiller skærpede krav til AI-systemer i den såkaldte høj-risiko-kategori. Det er ikke enhver brug af AI - det er AI, der bruges til noget, der reelt kan skade mennesker eller samfundskritiske funktioner, hvis det fejler eller er skævt. Konkret dækker det blandt andet AI-systemer, der bruges til:

  • rekruttering og medarbejdervurdering - CV-screening, forfremmelser, opsigelser

  • kreditvurdering og forsikringsprisfastsættelse - adgang til lån, forsikring og andre essentielle finansielle ydelser

  • biometrisk identifikation - ansigtsgenkendelse og lignende

  • kritisk infrastruktur - styring af el-, vand- eller transportnet

  • adgang til uddannelse - optagelse, eksamensbedømmelse

  • retshåndhævelse, migration og grænsekontrol

Fristerne for de skærpede krav er under Digital Omnibus-pakken (endeligt vedtaget juni-juli 2026) rykket til 2. december 2027 for selvstændige høj-risiko-systemer og 2. august 2028 for AI indlejret i allerede regulerede produkter. Det lyder som god tid. Det er det ikke, hvis man husker, hvor lang tid det tog jer bare at få styr på NIS2's dokumentationskrav.

Her er den ubehagelige pointe, næsten ingen bestyrelser har regnet igennem: de to regelsæt mødes ved jeres bord, ikke kun på papiret. Er I omfattet af NIS2 - direkte eller som leverandør til nogen, der er - og bruger I samtidig et høj-risiko-AI-system, kan ét og samme cyberangreb ramme jer under begge regimer på én gang. Bliver jeres AI-baserede rekrutteringsværktøj eller kreditvurderingssystem kompromitteret i et angreb, er det ikke længere kun en NIS2-hændelse. Det er samtidig en AI Act-sag, hvis systemets grundlæggende rettigheder eller kritiske funktion bliver berørt. To tilsyn. To dokumentationskrav. Bøder, der kan lægge sig oven i hinanden - AI Act's bødeloft er op til 7% af den globale omsætning, oveni NIS2's op til 2%. Og i begge tilfælde det samme personlige ledelsesansvar, som IT-afdelingen ikke kan bære for jer.

Pointen er ikke, at I skal frygte endnu et regelsæt. Pointen er, at I ikke kan compliance jer ud af det ene, uden at bygge præcis den governance, det andet også kræver. Ejerskab, dokumentation, tilsyn og en ledelse, der reelt forstår, hvad den godkender - det er samme fundament under begge love. Bygger I det rigtigt én gang, står I stærkere over for begge. Bygger I det forkert - endnu et halvdags-kursus, endnu et deltagerbevis - står I svagere over for begge, samtidig.

Hvad vi gør anderledes

Leadership Capital Groups NIS2 Board & Leadership Cyber Resilience Programme er bygget på præcis denne indsigt: at compliance er anledningen, men beslutningsberedskab er værdien.

Programmet er tilrettelagt efter SAMSIKs egen vejledning om ledelsens rolle - men det stopper ikke ved at gennemgå paragraffer. Det tester jer. Modul 3 er en tabletop-øvelse mod uret: et ransomware-angreb kombineret med deepfake-CFO-svindel, hvor bestyrelsen selv skal beslutte, hvem der taler, hvem der beslutter, og hvornår myndighederne underrettes - trænet direkte mod lovens 24- og 72-timers-frister.

I går hjem med mere end et kursusbevis. I går hjem med en dokumentationspakke - protokol-tillæg, kompetencematrix og certifikat - der er den bevisfil, tilsyn og forsikringsselskab rent faktisk vil bede om. Og I går hjem med noget, intet webinar kan give: erindringen om, hvordan det føles at træffe den beslutning, før I nogensinde skal gøre det for alvor.


Næste åbne hold: 24. september 2026 · Store Kro, Fredensborg · 16 pladser · 14.995 kr. ekskl. moms.


Kontakt os for et in-house-forløb eller en uforpligtende snak om, hvor jeres bestyrelse reelt står: kontakt@leadershipcapitalgroup.dk · +45 40 73 90 20 · leadershipcapitalgroup.dk

Kilder: NIS2-loven (lov nr. 434 af 6. maj 2025), §§ 7 og 23 (Retsinformation.dk) · Styrelsen for Samfundssikkerhed (SAMSIK), "Vejledning til NIS 2-loven: Ledelsens rolle og opgaver" (maj 2025) og "Vejledning til NIS 2-loven: Hændelsesunderretning" (juni 2025) · EU's AI-forordning (forordning 2024/1689), høj-risiko-kategorier (Annex III) og frister under Digital Omnibus-pakken (provisorisk aftale maj 2026, godkendt af Europa-Parlamentet 16. juni 2026) · Europæisk parathedsundersøgelse blandt 670 erhvervsledere, ultimo 2025 (sekundær kilde, gengivet via brancheanalyse juni 2026) · DNV Nordic Cyber Resilience Report 2026 · World Economic Forum, Global Cybersecurity Outlook 2026. Materialet er undervisning, ikke juridisk rådgivning i konkrete sager.

Kommentarer


bottom of page