NIS2-direktivet - Guide for Danske Virksomheder

Hvad er NIS2?

NIS2 (Network and Information Security Directive 2) er EU's nye direktiv for cybersikkerhed, der afløser det oprindelige NIS-direktiv fra 2016^[1]. Direktivet trådte i kraft i januar 2023, og medlemsstaterne skal have implementeret det nationalt senest 17. oktober 2024. Dette markerer et betydeligt skift i hvordan EU håndterer cybersikkerhed på tværs af kritiske sektorer.

Direktivet udvider dramatisk antallet af virksomheder og sektorer, der er omfattet af cybersikkerhedskrav. Hvor det oprindelige NIS-direktiv fra 2016 kun omfattede cirka 300 danske virksomheder, forventes NIS2 at omfatte over 3.000 virksomheder i Danmark alene. Dette skyldes både en udvidelse af de omfattede sektorer og lavere tærskler for virksomhedsstørrelse.

En af de mest markante ændringer er indførelsen af personligt ansvar for ledelsen. Tidligere kunne virksomheder som juridiske enheder blive holdt ansvarlige, men nu kan ledelsesmedlemmer personligt straffes for manglende efterlevelse af sikkerhedskravene. Dette placerer cybersikkerhed direkte på bestyrelsens dagsorden og sikrer topledelsens engagement i sikkerhedsarbejdet.

NIS2 indfører også markant hårdere sanktioner med bøder på op til 10 millioner euro eller 2% af virksomhedens årlige globale omsætning - det højeste beløb anvendes. Derudover stilles der skærpede krav til anmeldelse af sikkerhedshændelser, hvor virksomheder nu skal afgive en tidlig advarsel inden for 24 timer ved betydelige hændelser, efterfulgt af en detaljeret rapport inden for 72 timer og en afsluttende rapport efter maksimalt én måned.

Hvem er omfattet af NIS2?

NIS2-direktivet anvender en kombination af størrelseskriterier og sektorbaserede krav for at definere, hvilke virksomheder der er omfattet. Det fundamentale princip er, at virksomheder skal have mindst 50 medarbejdere og en årlig omsætning på minimum 10 millioner euro for at være omfattet. Begge kriterier skal være opfyldt samtidig, medmindre virksomheden opererer i en særligt kritisk sektor, hvor strengere regler kan gælde.

Direktivet opdeler de omfattede virksomheder i to hovedkategorier med forskellige krav og sanktionsniveauer. Væsentlige enheder (Essential Entities) omfatter de mest kritiske sektorer for samfundet, herunder energiforsyning som elektricitet, olie, gas og fjernvarme. Transportsektoren er også stærkt repræsenteret med luftfart, jernbane, vandtransport og vejinfrastruktur. Banker og finansiel markedsinfrastruktur betragtes som væsentlige, ligesom hele sundhedssektoren, drikkevands- og spildevandsforsyning. Digital infrastruktur som DNS-udbydere, top-level domain registre og cloud service-udbydere er naturligvis også omfattet, sammen med offentlig administration og rumfartsindustrien.

Vigtige enheder (Important Entities) udgør den anden kategori og omfatter sektorer, der er betydningsfulde men ikke helt så kritiske for samfundets fundamentale funktioner. Dette inkluderer post- og kurertjenester, affaldshåndtering, produktion af kritiske produkter som medicin, elektronik og fødevarer. Udbydere af digitale tjenester som e-handel og sociale medier falder i denne kategori, ligesom forsknings- og udviklingsorganisationer samt kemikalieindustrien. Forskellen mellem de to kategorier ligger primært i sanktionsniveauet og tilsynets intensitet, hvor væsentlige enheder er underlagt strengere kontrol.

Er din virksomhed omfattet?

Nøglekrav i NIS2

Risikostyring og informationssikkerhed

Risikostyring udgør fundamentet for NIS2-compliance og kræver en systematisk tilgang til identifikation, vurdering og håndtering af cybersikkerhedsrisici^[1][3]. Virksomheder skal etablere omfattende politikker for risikoanalyse og informationssikkerhed, der dækker hele organisationen. Dette indebærer ikke blot at identificere tekniske sårbarheder, men også at forstå forretningsmæssige konsekvenser og sandsynligheden for forskellige trusselscenarier.

En central del af risikostyringen er håndtering af sikkerhedshændelser gennem etablering af klare procedurer for detektering, reaktion og gendannelse. Virksomheder skal kunne demonstrere, at de har effektive processer til at håndtere både mindre sikkerhedshændelser og større cyberangreb. Business continuity-planlægning er ligeledes kritisk, hvor virksomheder skal sikre, at kritiske forretningsfunktioner kan opretholdes selv under et større cyberangreb.

Supply chain security har fået særlig opmærksomhed i NIS2, da cyberangreb ofte sker gennem svage led i leverandørkæden. Virksomheder skal systematisk vurdere deres leverandørers sikkerhedsniveau og stille kontraktlige krav om overholdelse af passende sikkerhedsstandarder. Dette gælder især for kritiske leverandører, der har adgang til følsomme systemer eller data. Endelig kræves der løbende effektivitetsvurdering af alle risikostyringsforanstaltninger for at sikre, at de forbliver relevante i takt med det skiftende trusselsbillede.

Cyber hygiejne og grundlæggende sikkerhed

Cyber hygiejne refererer til de grundlæggende sikkerhedspraksisser, som alle virksomheder skal have på plads. Multifaktor-autentifikation (MFA) er nu et absolut minimumskrav for alle systemer, der behandler følsomme data. Dette betyder, at simple password-login ikke længere er tilstrækkeligt, og virksomheder skal implementere mindst én ekstra verifikationsmetode som SMS-koder, authenticator-apps eller biometrisk verifikation.

Krypterede kommunikationskanaler skal anvendes konsekvent, både for intern og ekstern kommunikation. Dette omfatter ikke kun e-mail-kommunikation, men også alle former for dataoverførsler mellem systemer og til cloud-tjenester. En robust backup-strategi er essentiel, hvor data skal sikkerhedskopieres regelmæssigt til geografisk adskilte lokationer, helst med offline copies der er immune over for ransomware-angreb.

Adgangskontrol og privilegiestyring handler om at implementere princippet om "least privilege" - medarbejdere skal kun have adgang til de systemer og data, de rent faktisk behøver for at udføre deres arbejde. Regelmæssige sikkerhedsopdateringer af alle systemer er fundamentale, og virksomheder skal have processer til hurtigt at implementere kritiske patches. Endelig er medarbejdertræning i cybersikkerhed afgørende, da menneskelige fejl fortsat er hovedårsagen til mange sikkerhedsbrud.

Incident response og anmeldelsespligt

NIS2 indfører strenge krav til håndtering og anmeldelse af sikkerhedshændelser med specificerede tidsfrister^[1]. Ved en betydelig sikkerhedshændelse skal virksomheder afgive en tidlig advarsel til de relevante myndigheder inden for 24 timer efter opdagelsen. Dette giver myndighederne mulighed for at vurdere, om hændelsen kan påvirke andre organisationer eller kritisk infrastruktur.

Inden for 72 timer skal virksomheden indsende en mere detaljeret hændelsesrapport, der beskriver arten af sikkerhedshændelsen, de berørte systemer og data, samt de umiddelbare tiltag der er iværksat. Denne rapport skal også inkludere en foreløbig vurdering af hændelsens alvorlighed og potentielle konsekvenser for brugere og samfundet.

Efter maksimalt én måned skal en afsluttende rapport foreligge, der indeholder en komplet analyse af hændelsen, dens årsager, den fulde omfang af skaden, samt de langsigtede tiltag der implementeres for at forhindre lignende hændelser i fremtiden. Manglende eller forsinket anmeldelse kan medføre betydelige bøder, hvilket understreger vigtigheden af at have etableret klare incident response-processer før en hændelse indtræffer. Virksomheder bør derfor investere i både teknologi til tidlig detektering og træning af personale i korrekt håndtering af sikkerhedshændelser.

Incident Response Tidslinje

Ledelsesansvar og governance

En af de mest revolucionerende ændringer i NIS2 er indførelsen af direkte personligt ansvar for virksomhedens ledelse. Dette markerer et fundamentalt skift fra tidligere regulering, hvor kun virksomheden som juridisk enhed kunne holdes ansvarlig. Nu kan bestyrelsen og direktionen personligt straffes for manglende efterlevelse af NIS2-kravene, hvilket placerer cybersikkerhed direkte på toppen af den strategiske dagsorden.

Ledelsen har pligt til at godkende alle væsentlige risikostyringsforanstaltninger og skal aktivt involvere sig i virksomhedens cybersikkerhedsstrategi. Dette er ikke blot et formalitetskrav - ledelsen skal demonstrere en reel forståelse af virksomhedens sikkerhedsrisici og de tiltag, der implementeres for at håndtere dem. Som en del heraf skal ledelsesmedlemmer deltage i regelmæssig cybersikkerhedstræning, så de har den nødvendige kompetence til at træffe informerede beslutninger.

Det personlige ansvar betyder også, at ledelsen skal sikre tilstrækkelige ressourcer til cybersikkerhedsarbejdet. Argumentet om, at cybersikkerhed er for dyrt eller ikke prioriteret i budgettet, holder ikke længere. Ledelsen kan blive holdt personligt ansvarlig, hvis manglende ressourcetildeling resulterer i et sikkerhedsbrud eller manglende compliance. Dette skaber et stærkt incitament til at investere proaktivt i cybersikkerhed snarere end at reagere efter et angreb er sket.

Forskelle mellem NIS og NIS2

Direktivet markerer en væsentlig udvidelse og skærpelse sammenlignet med den oprindelige NIS-lovgivning. Hvor det første NIS-direktiv fra 2016 kun omfattede syv sektorer, dækker NIS2 nu atten forskellige sektorer, hvilket afspejler den voksende digitalisering og gensidige afhængighed i samfundet. Antallet af omfattede danske virksomheder stiger dramatisk fra omkring 300 til over 3.000, hvilket gør cybersikkerhed relevant for langt flere organisationer.

Ledelsesansvaret er fundamentalt anderledes under NIS2. Tidligere var ansvaret indirekte og lå primært hos virksomheden som juridisk enhed, men nu er der direkte og personligt ansvar for ledelsesmedlemmer. Dette placerer cybersikkerhed på bestyrelsens dagsorden på en måde, der ikke var tilfældet tidligere. Sanktionsrammen er også blevet betydeligt skærpet, og supply chain-kravene er blevet væsentligt udvidet fra begrænsede krav til omfattende forpligtelser omkring leverandørvurdering og -styring.

Sanktioner og bøder

NIS2 indfører klare og betydelige økonomiske sanktioner for virksomheder, der ikke overholder kravene^[1]. Bødeniveauet er differentieret afhængigt af, om virksomheden er klassificeret som en væsentlig eller vigtig enhed, hvilket afspejler den forskellige grad af samfundskritikalitet.

For væsentlige enheder kan bøderne nå op på 10 millioner euro eller 2% af virksomhedens årlige globale omsætning - det højeste beløb anvendes. Dette betyder, at for store multinationale virksomheder kan bøderne blive ekstremt høje, potentielt hundredvis af millioner euro for de største spillere. For vigtige enheder er maksimumssanktionen sat til 7 millioner euro eller 1,4% af den årlige globale omsætning.

Det er væsentligt at forstå, at disse bøder ikke blot er teoretiske maksimumbeløb. EU-myndigheder har vist sig villige til at udstede betydelige bøder for overtrædelser af cybersikkerhedslovgivning, og med det øgede fokus på cybertrusler forventes håndhævelsen at blive skærpet. Bøderne kan kombineres med andre sanktioner, herunder påbud om at implementere specifikke sikkerhedsforanstaltninger, suspension af certifikater eller i ekstreme tilfælde forbud mod at drive visse forretningsaktiviteter.

Almindelige overtrædelser

Implementeringsplan: Fra 0 til NIS2-compliant

Implementering af NIS2-compliance er en omfattende proces, der typisk tager mellem seks og tolv måneder, afhængigt af virksomhedens eksisterende sikkerhedsniveau og kompleksitet. Det er afgørende at starte tidligt og følge en struktureret tilgang gennem seks hovedfaser.

Den første fase handler om vurdering og omfatter en grundig afklaring af, om virksomheden faktisk er omfattet af NIS2. Mange virksomheder er usikre på deres status, og det kræver en detaljeret gennemgang af både virksomhedens størrelse, omsætning og sektor. Samtidig skal den nuværende sikkerhedsstatus kortlægges fuldstændigt, hvilket indebærer en systematisk gennemgang af alle systemer, dataflows og eksisterende sikkerhedsprocedurer. Dette danner grundlag for en gap-analyse, der identificerer forskellen mellem det nuværende sikkerhedsniveau og NIS2-kravene. Endelig skal der etableres en solid projektorganisation med klart mandat fra ledelsen, da succesfuld implementering kræver tværorganisatorisk samarbejde og betydelige ressourcer.

Fase to fokuserer på dokumentation, som er rygraden i NIS2-compliance. En omfattende risikostyringsplan skal udarbejdes, der identificerer alle væsentlige cybersikkerhedsrisici og beskriver, hvordan de håndteres. Sikkerhedspolitikker skal dokumenteres klart og tilgængeligt for alle medarbejdere. Der skal etableres en detaljeret fortegnelse over alle IT-systemer, dataaktiver og deres klassifikation. En incident response-plan skal udarbejdes med klare roller, ansvar og eskaleringsprocesser. Endelig skal alle supply chain-processer dokumenteres, herunder hvordan leverandører vurderes, overvåges og kontrolleres.

Den tredje fase er selve implementeringen af tekniske og organisatoriske sikkerhedsforanstaltninger. Dette inkluderer udrulning af multifaktor-autentifikation på tværs af alle systemer, implementering af krypterede kommunikationskanaler og etablering af robuste backup- og recovery-procedurer. Adgangskontrol og privilegiestyring skal implementeres efter princippet om mindste privilegium, hvor hver bruger kun får adgang til præcis de ressourcer, de har brug for. Processer for leverandørstyring skal etableres med kontraktlige sikkerhedskrav og løbende overvågning. Et dedikeret incident response-team skal samles og trænes i deres roller og ansvar.

Fase fire omfatter træning af både medarbejdere og ledelse. Alle medarbejdere skal gennemgå grundlæggende cybersikkerhedstræning, der dækker emner som phishing-genkendelse, password-hygiejne og korrekt håndtering af følsomme data. Ledelsen skal have specialiseret træning i NIS2-krav, deres personlige ansvar og governance-aspekter. Kritisk vigtigt er det at gennemføre praktiske incident response-øvelser, hvor teamet træner i at håndtere forskellige sikkerhedshændelser. Al træningsaktivitet skal dokumenteres omhyggeligt som bevis for compliance.

Femte fase involverer test og validering af alle implementerede tiltag. Incident response-planen skal testes gennem realistiske scenarios for at afdække eventuelle svagheder. Et uafhængigt sikkerhedsaudit bør gennemføres for at verificere, at alle krav er opfyldt. Backup- og recovery-procedurer skal testes regelmæssigt for at sikre, at de faktisk virker når det er nødvendigt. Leverandørprocesser skal valideres, og alle testresultater skal dokumenteres grundigt.

Den sjette og løbende fase handler om at opretholde compliance over tid. Cybersikkerhed er ikke et projekt med en slutdato, men en kontinuerlig proces. Månedlige sikkerhedsopdateringer skal gennemføres systematisk på tværs af alle systemer. Kvartalsvise risikovurderinger skal sikre, at nye trusler identificeres og håndteres. Årlige ledelsesgennemgange skal evaluere den overordnede sikkerhedsstatus og justere strategien efter behov. Medarbejdertræning skal være løbende for at håndtere nye trusler og onboarding af nye medarbejdere. Endelig skal der etableres kontinuerlig overvågning af alle kritiske systemer for tidlig detektering af sikkerhedshændelser.

NIS2 og GDPR - Hvordan hænger det sammen?

Mange virksomheder er forvirrede over forholdet mellem NIS2 og GDPR, men de to regelsæt er komplementære snarere end overlappende. GDPR fokuserer primært på beskyttelse af persondata og borgernes rettigheder til privatlivs fred, mens NIS2 handler om bredere cybersikkerhed og beskyttelse af kritisk infrastruktur. En virksomhed kan sagtens være omfattet af begge regelsæt, og i mange tilfælde vil god NIS2-compliance også styrke GDPR-overholdelsen.

Fokusområderne er forskellige men relaterede. GDPR beskytter specifikke persondata som navne, adresser, CPR-numre og andre identificerbare oplysninger. NIS2 har et bredere fokus på netværks- og informationssikkerhed generelt, uanset om der er tale om persondata eller ej. En virksomhed der håndterer kritisk infrastruktur skal sikre systemernes tilgængelighed og integritet under NIS2, mens GDPR primært handler om fortrolighed af persondata.

Anmeldelseskravene er også forskellige. Under GDPR skal databrud, der indebærer høj risiko for borgernes rettigheder, anmeldes inden for 72 timer til Datatilsynet. NIS2 kræver en gradueret tilgang med tidlig advarsel inden for 24 timer ved betydelige sikkerhedshændelser, efterfulgt af en detaljeret rapport inden for 72 timer og en afsluttende rapport efter én måned. En enkelt hændelse kan udløse anmeldelsespligt under begge regelsæt.

Sanktionsniveauerne er også forskellige, hvor GDPR kan medføre bøder på op til 20 millioner euro eller 4% af den årlige globale omsætning for de alvorligste overtrædelser, mens NIS2 maksimalt kan medføre bøder på 10 millioner euro eller 2% for væsentlige enheder. Anvendelsesområdet er imidlertid forskelligt - GDPR gælder for alle virksomheder, der behandler persondata fra EU-borgere, uanset størrelse eller sektor, mens NIS2 kun omfatter specifikke sektorer og virksomhedsstørrelser.

Det positive er, at mange af de sikkerhedsforanstaltninger, som NIS2 kræver, også hjælper med GDPR-compliance. Kryptering, adgangskontrol, incident response-planer og dokumentation er alle krav under begge regelsæt. Virksomheder, der investerer i solid NIS2-compliance, vil derfor ofte opdage, at deres GDPR-sikkerhed også forbedres betydeligt.

Praktiske værktøjer og ressourcer

For virksomheder, der skal implementere NIS2, er der heldigvis et væld af ressourcer og værktøjer tilgængelige. På EU-niveau er det officielle NIS2-direktiv tilgængeligt i fuld tekst på EUR-Lex portalen, hvor man kan finde den komplette lovtekst samt alle tilhørende betragtninger og forklaringer. ENISA (European Union Agency for Cybersecurity) har udgivet omfattende implementeringsvejledninger, der giver praktiske råd om, hvordan virksomheder kan opfylde de forskellige krav. Europa-Kommissionens digitale strategi-hjemmeside tilbyder også generel information om direktivet og dets implementering på tværs af medlemsstaterne.

I Danmark er Center for Cybersikkerhed^[2] den primære myndighed for cybersikkerhed og tilbyder vejledning specifikt til danske virksomheder. De har udgivet guides og værktøjer, der hjælper virksomheder med at forstå deres forpligtelser under NIS2. Erhvervsstyrelsen^[4] spiller også en central rolle i implementeringen af direktivet i dansk lovgivning og tilbyder information om de danske regler og frister. For virksomheder i særligt kritiske sektorer kan Sikkerhedsstyrelsen tilbyde sektorspecifik vejledning.

Når det kommer til praktiske værktøjer til risikovurdering, er ENISA's Risk Assessment Tool et godt udgangspunkt, da det er udviklet specifikt med EU's cybersikkerhedslandskab i tankerne. ISO 27001-frameworket er også meget relevant, da det tilbyder en struktureret tilgang til informationssikkerhedsstyring, der i høj grad overlapper med NIS2-kravene. NIST Cybersecurity Framework fra USA er også vidt accepteret og kan bruges som supplement.

For incident response findes der flere gode ressourcer. CERT-EU tilbyder praktiske guides til håndtering af sikkerhedshændelser specifikt i en europæisk kontekst. SANS Institute's Incident Handler's Handbook er en komplet guide, der dækker alle aspekter af incident response. ENISA har også udgivet specifikke guidelines for, hvordan virksomheder skal anmelde sikkerhedshændelser i henhold til NIS2.

Supply chain security er blevet stadig vigtigere, og her tilbyder NIST omfattende vejledning i Supply Chain Risk Management. ISO 28000-standarden for supply chain security kan også være et værdifuldt værktøj for virksomheder, der skal etablere robuste processer for leverandørstyring. Disse frameworks hjælper virksomheder med at identificere kritiske leverandører, vurdere deres sikkerhedsniveau og etablere passende kontraktlige krav.

Danske virksomheders NIS2-parathed

Cybersikkerhedstrusler - hvorfor NIS2 er vigtig

Stigende trusselsbillede

Typer af cyberangreb

⚠️ Vigtigt: Gennemsnitlig omkostning ved et cyberangreb for en dansk virksomhed er €1.8 millioner. God NIS2-compliance reducerer både risiko og potentielle omkostninger.

Almindelige fejl at undgå

Den mest udbredte fejl blandt danske virksomheder er at vente for længe med at starte implementeringsprocessen. Mange virksomheder undervurderer den tid, det tager at opnå fuld NIS2-compliance. Realistisk skal der påregnes seks til tolv måneder fra start til fuld implementering, afhængigt af virksomhedens størrelse og kompleksitet. At vente til få måneder før deadline skaber unødig stress, øger risikoen for fejl og kan medføre mangelfuld implementering, der efterlader virksomheden sårbar både over for cyberangreb og regulatoriske sanktioner.

Manglende ledelsesengagement er en anden kritisk fejl. Nogle virksomheder behandler NIS2 som et rent IT-projekt og delegerer det fuldt ud til deres tekniske personale. Men med det personlige ansvar, som NIS2 indfører for ledelsen, er dette ikke længere en holdbar tilgang. Bestyrelsen og direktionen skal være aktivt involveret i cybersikkerhedsstrategien, forstå de væsentligste risici og træffe informerede beslutninger om ressourcetildeling. Ledelsesengagement er ikke blot et compliance-krav, men også afgørende for at skabe en sikkerhedskultur i hele organisationen.

Undervurdering af dokumentationskravet er også en hyppig fejl. NIS2 kræver omfattende dokumentation af politikker, procedurer, risikovurderinger, sikkerhedsforanstaltninger og træningsaktiviteter. Mange virksomheder har gode sikkerhedspraksisser på plads, men mangler den systematiske dokumentation, der kan bevise compliance over for tilsynsmyndigheder. Dokumentation skal påbegyndes fra dag ét og vedligeholdes løbende - det er næsten umuligt at genskabe dokumentation retroaktivt.

Supply chain security overses ofte i den indledende implementering. Virksomheder fokuserer naturligt på deres egne systemer og processer, men glemmer at deres leverandører kan udgøre en betydelig sikkerhedsrisiko. Cyberangreb sker stadig oftere gennem leverandørkæden, hvor angribere udnytter svage led hos tredjepartsleverandører til at få adgang til deres egentlige mål. Alle kritiske leverandører skal identificeres, deres sikkerhedsniveau skal vurderes, og passende kontraktlige krav skal implementeres.

Endelig begår mange virksomheder den fejl ikke at teste deres incident response-planer tilstrækkeligt. En detaljeret plan ser måske god ud på papir, men er værdiløs hvis den ikke virker i praksis. Regelmæssige øvelser og simuleringer af forskellige sikkerhedshændelser er essentielle for at identificere huller i planen, træne personalet og sikre, at alle ved, hvad de skal gøre når en reel hændelse opstår. Test skal omfatte både tekniske aspekter og kommunikationsprocedurer, herunder anmeldelse til myndighederne inden for de krævede tidsfrister.

Få hjælp til NIS2-compliance

NIS2-implementering kan virke overvældende, især for virksomheder, der ikke tidligere har været underlagt omfattende cybersikkerhedsregulering. Infobits specialiserer sig i at hjælpe danske virksomheder med at navigere i kompleksiteten af både NIS2 og GDPR, og vi tilbyder skræddersyede løsninger, der passer til jeres specifikke behov og branche.

Vi starter typisk med en grundig gap-analyse og parathedsvurdering, hvor vi kortlægger jeres nuværende sikkerhedsstatus og identificerer præcis, hvad der skal implementeres for at opnå fuld compliance. Denne vurdering giver jer et klart roadmap og realistisk tidsplan for implementeringen. Vi hjælper også med den praktiske implementering af tekniske og organisatoriske sikkerhedsforanstaltninger, fra multifaktor-autentifikation og kryptering til etablering af incident response-teams og dokumentationssystemer.

En af vores kernekompetencer er GDPR og NIS2-compliant infrastruktur i EU. Vi tilbyder sikker cloud-hosting med datacentre placeret i EU, hvilket sikrer, at jeres data forbliver under europæisk jurisdiktion og er beskyttet mod udenlandske overvågningslove som USA's CLOUD Act. Vores incident response og overvågningsløsninger giver jer den tidlige detektering, der er afgørende for at kunne overholde NIS2's strenge anmeldelsesfrister.

Vi forstår, at compliance ikke er en engangsindsats, men en løbende proces. Derfor tilbyder vi løbende compliance-support, der sikrer, at jeres sikkerhedsforanstaltninger forbliver effektive i takt med det skiftende trusselsbillede og eventuelle opdateringer til lovgivningen. Vi hjælper også med leverandørvurdering og supply chain security, så I kan være sikre på, at jeres kritiske leverandører lever op til de nødvendige sikkerhedsstandarder.

Kontakt os for en uforpligtende samtale om jeres NIS2-behov. Vi tager os tid til at forstå jeres specifikke situation og kan give jer konkret vejledning om, hvordan I bedst kommer i gang med implementeringen. Send en email til [email protected] for at komme i gang.