7 områder NIS2 kræver ledelsens aktive engagement – og hvordan du får det

NIS2-direktivet gør cybersikkerhed til ledelsens ansvar. Her får du 7 områder, hvor ledelsen skal på banen, og hvordan du får dem med.

Publiseringsdato: 
25/4/25
Jacob Høedt Larsen
PR & PA

Læs mere fra forfatteren

De gode råd kommer fra ekspert i informationssikkerhed Marie Bjerre Simonsen fra Wired Relations i et webinar: Sådan bygger du et robust NIS2-program.

1: Ledelsen har ansvaret

NIS2-direktivet giver ledelsen et skærpet ansvar for cyber- og informationssikkerheden. I yderste konsekvens kan ledelsen blive personligt ansvarlig, hvis virksomheden ikke overholder NIS2.

“ Det er direkte nævnt i NIS2, at vi skal have ledelsen med om bord. De skal kunne træffe beslutninger på et oplyst grundlag.”

2: Fastlæggelse af risikoappetit

Sikkerhedspolitikken skal fastlægges på baggrund af organisationens risikoappetit. NIS2 lægger et bundniveau, som man ikke kan fravige, men det er vigtigt, at ledelsen involveres i at beslutte, hvor store risici, virksomheden ønsker at tage. 

“Vi er nødt til at have ledelsen med til at fastlægge risikoappetitten.”

3: Risikostyring og -opfølgning

I forlængelse af fastlæggelsen af risikoappetitten skal ledelsen også involveres i  udarbejdelsen af risikomodellen. Derudover er det ledelsen, som helt konkret skal acceptere risikobilledet.

4: Godkendelse og opbakning til politikker

Politikker kan skabe klarhed og retning - men kun, hvis ledelsen er involveret, godkender og bakker op.

‘“Det er også vigtigt, at man har ledelsen med i sin informationspolitik, hvor der defineres roller og ansvar,”

{{factbox-dark}}

5: Beredskab- og hændelseshåndtering

NIS2 er ikke blot et forsøg på at sikre vigtige og væsentlige virksomheder mod hackerangreb. Virksomhederne skal også have et beredskab, så de hurtigt igen kan levere deres varer og tjenester. Sådan skaber man ægte modstandsdygtighed.

“Når  jeg  kigger  ned  i  beredskabsplaner,  vil  det  jo  også  være på  ledelsesniveau, det skal løftes,  hvis  der  er  noget,  der  går  galt. Og  de  her  planer  skal  jo  testes. Det  er  ledelsen  også  nødt  til  at  være  med til.”

6: Evaluering og optimering

Informationssikkerheden må ikke ende som et projekt i organisationen. Det er og bliver en driftsopgave. Og det er overordnet ledelsens ansvar, at det bliver sådan.

“ Det er et krav, at vi følger op på, om det så også går, som det skal. Så det her med at få kontrolleret, at det er effektivt, det er super-vigtigt.  Og så få rettet til hen ad vejen.” 

7: Ressourcer og prioritering

For langt de fleste virksomheder og organisationer vil NIS2 koste penge og ressourcer. Det er i realiteten kun ledelsen, som kan træffe beslutninger om, hvor meget der skal bruges på det. 

“Det kan jo også være, at nogle af de her ting koster penge.”

Med andre ord; ledelsen skal med ombord, når NIS2 skal håndteres i organisationen. Men hvordan gør man så det?

5 hurtige bud på ledelsesinvolvering fra webinaret:

  • Brug politikker og planer som samtaleværktøjer
  • Giv ledelsen et oplyst grundlag at træffe beslutninger på
  • Skab struktur og klare kommunikationslinjer for dialogen:
  • Inviter til deltagelse, ikke bare godkendelse
  • Brug eksterne til at facilitere dialogen 

Flere gode ressourcer:

Vil du sikre, at din ledelse bakker op om NIS2?

Så lad os tage en snak om, hvordan du gør informationssikkerhed til en naturlig del af ledelsens agenda.

👉 Book en demo med vores eksperter og få sparring om din strategi.

Få sparring om din strategi

Måske er dette også noget for dig

Trend: Glemmer vi de registrerede i GRC?

Trend: Vil du med ved bordet? Så skal GRC forstå forretningen

Trend: Hvorfor du aldrig er med, når der bliver købt systemer – og hvad du kan gøre ved det