Et lidt provokerende spørgsmål, der sparkede dagen i gang, da Molt Wengel og Lakeside samlede til formiddagsarrangementet X-RAY: NIS2 & Cybersikkerhed. Og svaret? Tja… det var nej: Men du kan godt komme langt – hvis du ved, hvor og hvordan du skal begynde.
Sikkerhedsekspert Mette Thøgersen fra Lakeside lagde for og leverede et skarpt og praksisnært oplæg, hvor hun understregede det vigtigste først: NIS2-compliance er ikke noget, du bare kan udlicitere. Det er virksomhedens opgave og ansvar – og det starter hos ledelsen.
Der er nemlig tale om en kulturændring, hvor organisationens øverste ledelse har det endelige ansvar. Det gælder uanset, om det er en privat virksomhed, en offentlig institution eller en kritisk leverandør.
Mette førte deltagerne gennem, hvordan arbejdet med NIS2-krav i praksis sjældent er lineært. I stedet kræver det en iterativ tilgang, hvor du gentagne gange vender tilbage til tilstandsrapporten, justerer strategien, vurderer risici og tilpasser procedurer.
Hun gjorde det klart, at en risikovurdering ikke kan stå alene. Den skal bygge på et solidt overblik over organisationens sårbarheder.
”Start med fortegnelser og politikker. Så kan du bedre prioritere og lave en handlingsplan. Et årshjul er ikke bare en god idé – det er en nødvendighed,” lød det fra scenen.
Et centralt punkt i NIS2-direktivet er håndtering og indberetning af hændelser. Her blev forskellen mellem en almindelig hændelse og en væsentlig hændelse gennemgået.
En væsentlig hændelse er defineret som noget, der kan medføre alvorlige driftsforstyrrelser, betydelige økonomiske tab og/eller skade på andre – fysisk, juridisk eller samfundsmæssigt.
Mette mindede om, at det ikke nødvendigvis kun er konsekvensen, der afgør alvoren. Det kan sagtens være det forhold, at et infrastrukturelt it-system er nede, hvor der så er krav om indberetning inden for 24 timer via virk.dk samt løbende opdatering efter 72 timer. Desuden skal hændelsen følges op med en evalueringsrapport senest en måned efter, at systemet har været nede.
Advokat Kathrine Ahrenholt fra Molt Wengel tog herefter stafetten og skiftede fokus fra hændelser til udbud og kontraktkrav. For hvordan får du egentlig implementeret NIS2 i dine leverandøraftaler?
Kathrine gennemgik, hvordan du som organisation bør stille krav til dine kritiske leverandører – og ikke bare til tekniske foranstaltninger, men også til hændelseshåndtering, beredskabsøvelser, inddragelse i tilsyn og ejerskab af data.
Kathrine gav konkrete eksempler på, hvordan krav kan skrives ind i udbudsmateriale – med henvisning til standarder som ISO/IEC 27001 og krav om logning, backup, adgangskontrol og beredskabsplaner. Hun gennemgik forskellen på mindstekrav, evalueringskrav og optioner – og hvordan hver kategori har betydning for leverandørens ansvar:
”Det handler ikke om at skyde med spredehagl, men om at være præcis: Hvilke risici skal adresseres? Hvilke hændelser skal håndteres? Og hvad forventer vi af vores samarbejdspartnere, når det brænder på?”
Efter oplæggene blev der åbnet op for spørgsmål fra publikum. Og debatten var livlig. Deltagerne kunne efterfølgende gå hjem med et klart billede af, hvor NIS2 ikke blot er et isoleret lovkrav; men en del af en større bevægelse mod øget cybersikkerhed, robusthed og ansvarlighed i hele værdikæden.
Og nej – du kan ikke købe dig til compliance. Men med de rette processer, det rigtige mindset og gode samarbejdspartnere kan du bygge et cybersikkert fundament for din organisation – ét skridt ad gangen.
Kontakt Kathrine Ahrenholt på mail ka@mowe.dk eller tlf.: 5180 8078, og kom godt i gang med implementeringen af NIS2-lovkravet – helt fra start i dine projekter.
12-05-25
Den 1. juli 2025 træder NIS2-loven i kraft og pålægger bl.a. offentlige myndigheder skærpede krav og forpligtelser.
Læs indlægget, om, hvad bygherrer nu skal tænke ind i udbudsmaterialet.
19-02-25
Det spørgsmål fik EU-Domstolen lejlighed for at tage stilling til i en sag, hvor den tjekkiske skattemyndighed havde tildelt IBM en direkte ordre uden forudgående udbudsrunde. Dét mente den tjekkiske konkurrencemyndighed var i modstrid med reglerne.
Udfyld felterne nedenfor:
