NIS2 og bestyrelsens ansvar:

Hvad loven kræver, hvad markedet tilbyder - og hvad et kursus bør gøre jer i stand til

Siden 1. juli 2025 har cybersikkerhed ikke længere været noget, bestyrelsen kunne delegere til IT. Med NIS2-loven er det blevet et personligt ledelsesansvar - og for et sted mellem 15.000 og 30.000 danske bestyrelses- og direktionsmedlemmer er deltagelse i cyberuddannelse nu en pligt, de hæfter personligt for.

Men ikke alle kurser, der kalder sig „NIS2-uddannelse for bestyrelser“, ruster faktisk bestyrelsen til det, loven kræver. Vi har gennemgået markedet og målt udbuddet mod Styrelsen for Samfundssikkerheds (SAMSIK) egne krav til ledelsen. Her er, hvad vi fandt - og hvad en bestyrelse bør kræve, før den vælger.

Hvorfor det haster: truslen er flyttet ind i bestyrelsesrummet

World Economic Forums Global Cybersecurity Outlook 2026 tegner et billede, der gør NIS2's logik konkret. 94 % kalder AI den vigtigste drivkraft for forandring i cybersikkerhed i 2026. 73 % af lederne er selv eller via deres netværk blevet ramt af cyber-aktiveret svindel i 2025 - deepfake-baseret CEO- og CFO-bedrageri har overhalet ransomware som ledelsens topbekymring. Og 91 % af de største organisationer har ændret cyberstrategi på grund af geopolitisk uro.

Fællesnævneren er, at cyberrisiko ikke længere er en teknisk fejl, men en beslutning truffet under pres. Et deepfake-CFO-bedrageri rammer direkte ind i bestyrelsens eget mandat: hvem må godkende hvad? En AI-model, der tages i brug uden sikkerhedsvurdering, er en forretningsbeslutning - ikke en konfiguration. Det er præcis derfor, NIS2 placerer ansvaret hos ledelsesorganet og ikke hos CISO'en.

Et tal er værd at huske: omkring 70 % af kriser forværres ikke af selve hændelsen, men af, hvordan ledelsen reagerer i de første 72 timer. Beredskabet skal sidde i bestyrelsen - før telefonen ringer.

Hvad loven og SAMSIK faktisk kræver af ledelsen

NIS2-loven (lov nr. 434 af 6. maj 2025) stiller i § 7 tre krav til ledelsesorganet: det skal godkende virksomhedens cybersikkerhedsforanstaltninger, føre tilsyn med deres gennemførelse, og deltage i relevant uddannelse om styring af cybersikkerhedsrisici. Efterleves pligterne ikke, kan ledelsen i særlige tilfælde holdes personligt ansvarlig (§ 23).

SAMSIK har i vejledningen Ledelsens rolle og opgaver (maj 2025) gjort det konkret, hvad det betyder i praksis. Det er ikke nok at godkende et budget eller en politik én gang. Ledelsen skal blandt andet:

·       føre løbende tilsyn - ikke bare godkende én gang

·       kortlægge og vurdere risici på tværs af hele organisationen, ikke kun IT

·       kunne dokumentere beslutninger og deltagelse til protokol og tilsyn

·       tage ansvar for leverandør- og forsyningskæderisiko

·       kende sin rolle i et hændelsesberedskab - rapporteringsfrister, og hvem der beslutter

·       forstå det personlige ansvar efter § 23

·       forankre cyber i den samlede risikostyring frem for som et særskilt teknisk spor

·       tilskynde til uddannelse af medarbejdere

Det er den målestok, et NIS2-bestyrelseskursus bør holdes op imod. Spørgsmålet, tilsyn og forsikringsselskab vil stille, er enkelt: Kan bestyrelsen dokumentere, at den er i stand til at træffe informerede beslutninger om cyberrisiko?

Hvad markedet tilbyder - et anonymiseret overblik

Markedet har svaret med et hurtigt voksende udbud. Vi gennemgik et udsnit af de mest synlige NIS2-bestyrelsesforløb på det danske marked og målte dem mod SAMSIK's otte krav. Forløbene er anonymiseret her - formålet er at vise markedets mønstre, ikke at udstille enkelte udbydere (og vores eget forløb indgår på lige fod). Tre mønstre træder frem:

Formen spænder vidt - fra et 3-timers webinar til en hel dag. Flere forløb berører de fleste af SAMSIK's emner på papiret. Men de korteste tikker emnerne af uden at klæde bestyrelsen på til at handle. Bred dækning er ikke det samme som beredskab.

Prisen siger intet om kvaliteten. Forløbene spænder fra ca. 4.900 til knap 15.000 kr. pr. deltager - uden nogen klar sammenhæng mellem pris og, hvor godt forløbet dækker lovens krav til ledelsen.

De elementer, der gør viden til handling, er sjældne. Få forløb indeholder en gennemspillet krisesimulation. Få leverer en egentlig dokumentationspakke, som bestyrelsen kan lægge i protokollen og fremvise ved tilsyn. Og kun et fåtal tilbyder en struktureret opfølgning; resten slutter ved frokost, selvom NIS2 er en løbende pligt, ikke en engangsbegivenhed.

En bestyrelse, der køber et tre-timers webinar for at krydse deltagelsespligten af, risikerer at stå med et deltagerbevis - men uden det beredskab og den dokumentation, loven reelt efterspørger.

Hvad LCG leverer: fra lovkrav til beslutningsberedskab

LCG NIS2 Board & Leadership Cyber Resilience Programme er bygget til at dække alle otte SAMSIK-krav - med den dybde, dokumentation og opfølgning, hvor de fleste forløb stopper ved overblik. Det er én intensiv dag (9 timer) eller tre sessioner à tre timer, leveret for hele bestyrelsen og direktionen. Det er ikke en it-forelæsning; det er en forretningssamtale om risiko - faciliteret af rådgivere med P&L- og bestyrelseserfaring. Uafhængigt, uden leverandøragenda.

Tre moduler:

·       Modul 01 · Board Cyber Awareness. Trusselsbilledet som forretningsdagsorden: ransomware, phishing, geopolitik og AI-muliggjort bedrag - og ledelsens personlige ansvar efter §§ 6, 7 og 23, gennemgået på virkelige bestyrelsescases.

·       Modul 02 · Board Cyber Governance. Roller og ansvar mellem bestyrelse, direktion, CISO og IT. Risikovillighed på skrift, navngivning af kronjuvelerne, leverandørrisiko og den bestyrelsesrapportering (KPI'er og KRI'er), der gør tilsyn reelt.

·       Modul 03 · Board Cyber Simulation. En table-top-øvelse mod uret: et ransomware-angreb kombineret med deepfake-CFO-svindel. Hvem udtaler sig, hvem beslutter, hvem ringer til myndigheden - trænet mod NIS2's frister (24 timers tidlig varsling, 72 timers hændelsesunderretning).

Det, deltagerne tager med hjem - og kan dokumentere:

·       LCG-workbooks (Cyber Security Workbook og The Resilient Company) som varigt opslagsværk.

·       Board Handbook & Cyber Governance Framework - bestyrelsens arbejdsredskaber: skabelon til risikovillighed, kronjuvel-register, 72-timers beslutningsprotokol og rapporteringsstruktur, samt det protokol-tillæg, der dokumenterer § 7-efterlevelse i bestyrelsesreferatet.

·       Certificate of Completion med kompetencebilag - bevisfilen til tilsyn og forsikringsselskab, ikke bare et deltagerbevis.

·       Årligt Board Cyber Update (3 timer), der holder kompetencen og dokumentationen levende, år efter år.

Forskellen er enkel: Compliance er anledningen - beslutningsberedskab er værdien. En virksomhed kan købe alle de cyberprodukter, budgettet rummer, og stadig være fundamentalt uforberedt. Den er kun så stærk som ledelsens evne til at handle, når en kritisk hændelse rammer. Det er den evne, dette program bygger, træner og dokumenterer.

Kom med den 24. september 2026 på Store Kro i Fredensborg

Vi afholder et åbent hold af NIS2 Board & Leadership Cyber Resilience Programme:

·       Dato: 24. september 2026

·       Sted: Store Kro, Fredensborg

·       Format: Én intensiv dag (9 timer), tre moduler

·       Pladser: Maks. 16 deltagere - bevidst lille hold, så simulationen og samtalen bliver reel

Alternativt kan vi tilbyde til jeres virksomhed

→ Internt forløb for jeres egen bestyrelse og direktion (min. 10 deltagere): fra kr. 85.000 ekskl. moms - afholdt hos jer, om jeres virksomhed

Programmet er bygget op om Styrelsen for Samfundssikkerheds egen vejledning om ledelsens rolle - og er uafhængigt, forskningsbaseret og uden leverandørinteresser. Vi sælger ingen firewalls. Vi træner dem, der har ansvaret.

Et angreb tester ikke jeres IT. Det tester jeres ledelse.

Pligten er at deltage i relevant uddannelse. Muligheden er at blive en bestyrelse, der beslutter godt under pres. Dette program leverer begge dele - og papirsporet, der beviser det.

Reservér plads: kontakt@leadershipcapitalgroup.dk · +45 40 73 90 20 · leadershipcapitalgroup.dk eller book her:

Leadership Capital Group · Board Intelligence · Independent - no vendor agenda. Kilder: NIS2-loven (lov nr. 434 af 6. maj 2025), §§ 7 og 23 · SAMSIK, Ledelsens rolle og opgaver (maj 2025) · WEF Global Cybersecurity Outlook 2026 (udarbejdet med Accenture). Tallene er WEF's og SAMSIK's; analysen og koblingen til bestyrelsesarbejdet er LCG's egen. Markedsgennemgangen bygger på offentligt tilgængelige kursusbeskrivelser og er en vurdering, ikke en revision.