NIS2-tjekliste for SMV: Ledelsesansvar, audit og drift
·
Kategori: Compliance
Jeres NIS2-politikker ligger klar i en mappe. Problemet er, at tilsynet ikke spørger, om I har skrevet dem — de spørger, om I kan bevise, at I følger dem. Ifølge NetDK (2026) er operationalisering det største problem for danske SMV’er lige nu. Her er den eksekverbare NIS2-tjekliste, der lukker hullerne mellem jeres dokumenter og jeres faktiske IT-drift.
Det vigtigste fra denne tjekliste
- Ledelsen hæfter personligt. Selskabsloven er ændret — direktionen kan idømmes ledelsesforbud ved grov forsømmelse af cyber-tilsyn. Dokumentér kvartalsvis stillingtagen til cyber-risici.
- 34% af SMV’er mangler basale krav. Fuld MFA og log-overvågning er et minimumskrav i loven, men kun en tredjedel har det på plads (Industriens Fond, 2026).
- Jeres kunder auditer jer nu. 73% af store virksomheder har opsagt eller overvejer at opsige leverandører uden NIS2-dokumentation (ENISA, 2026).
- Microsoft Compliance Manager har opdaterede danske NIS2-templates, der automatisk overvåger jeres tenant-konfiguration.
- 24-timers rapportering håndhæves stramt. Digital indberetning via Virk.dk — ingen undtagelser for virksomheder uden 24/7-overvågning.

Hvorfor ledelsesansvaret rammer hårdere end bøderne
De fleste taler om NIS2-bøder. Det reelle pres ligger et andet sted. Selskabsloven er ændret, så bestyrelse og direktion hæfter personligt for manglende cyber-tilsyn (Copla, 2026). Konsekvensen ved grov forsømmelse er ikke kun en bøde — det er ledelsesforbud.
Ifølge BDO Danmark (2026) skal ledelsen dokumentere, at den aktivt har taget stilling til cyber-risici mindst kvartalsvist. Det betyder konkret: En rapport hvert kvartal, underskrevet af direktionen, der viser hvilke risici der er identificeret, og hvad der er gjort ved dem.
Før: Direktøren nikker til en årlig IT-gennemgang og stoler på, at “IT-folkene har styr på det.”
Efter: Direktøren modtager en kvartalsrapport med Secure Score, åbne sårbarheder og handlingsplan — og underskriver den. Tidsforbruget falder fra ad hoc-bekymring til 45 minutters struktureret gennemgang pr. kvartal.
Tjekliste: 8 krav jeres SMV skal kunne dokumentere ved audit
Denne tjekliste dækker de krav, der oftest fejler ved tilsyn og leverandøraudits. Hvert punkt kobler lovkrav til en konkret handling.
| # | NIS2-krav | Hvad I skal kunne fremvise | Microsoft 365-løsning |
|---|---|---|---|
| 1 | Risikovurdering (Art. 21) | Dokumenteret risikovurdering, opdateret min. kvartalsvist | Compliance Manager NIS2-template |
| 2 | Adgangsstyring | MFA på alle konti + Conditional Access-politikker | Entra ID Conditional Access |
| 3 | Hændelseshåndtering | Beredskabsplan med navngivne roller + 24-timers rapporteringsproces | Defender XDR + Sentinel-alarmer |
| 4 | Log-overvågning | Min. 6 måneders logning af brugeraktivitet og sikkerhedshændelser | Unified Audit Log + Purview |
| 5 | Leverandørstyring | Risikovurdering af kritiske leverandører + kontraktuelle sikkerhedskrav | Compliance Manager leverandør-assessment |
| 6 | Backup og genopretning | Immutable backup + dokumenteret og testet genopretningsplan | Azure Backup med immutability |
| 7 | Endpoint-beskyttelse | Alle enheder administreret og beskyttet centralt | Intune + Defender for Business |
| 8 | Ledelsens tilsyn | Kvartalsvis ledelsesrapport med underskrift | Secure Score-rapport + Compliance Manager-dashboard |

Sådan bruger I Microsoft Compliance Manager til NIS2-dokumentation
Microsoft har opdateret Compliance Manager med danske NIS2-templates, der automatisk scanner jeres tenant og viser, hvilke krav der er opfyldt, og hvilke der mangler (Microsoft, 2026). Det erstatter ikke juraen, men det erstatter hundredevis af timer med manuelle Excel-ark.
Tre ting I skal gøre:
- Aktivér NIS2-assessment-templaten i Purview Compliance Manager. Den mapper automatisk jeres nuværende konfiguration mod lovkravene.
- Gennemgå de røde felter. Hvert manglende punkt har en konkret anbefaling — fx “Aktivér audit-logning” eller “Konfigurér DLP-politik for følsomme data.”
- Eksportér rapporten som PDF til jeres kvartalsrapport til ledelsen eller som dokumentation til en Enterprise-kundes leverandøraudit.
Før: En konsulent bruger 40 timer på at kortlægge jeres compliance-status i et regneark, der er forældet dagen efter.
Efter: Compliance Manager opdaterer status i realtid. Kvartalsrapporten genereres på minutter, og I kan dokumentere fremskridt løbende.
Mangler I overblik over jeres NIS2-status? Book 30 minutters sparring med en af vores compliance-specialister, og få en konkret plan for, hvordan jeres Microsoft 365-tenant matcher lovkravene.
Fejl der koster jer Enterprise-kunder
NIS2 Artikel 21 kræver, at virksomheder vurderer sikkerheden i deres forsyningskæde. I praksis betyder det, at jeres store kunder nu kræver dokumentation fra jer — og opsiger samarbejdet, hvis I ikke leverer.
Ifølge ENISA (2026) har 73% af store virksomheder opsagt eller overvejer at opsige SMV-leverandører uden NIS2-dokumentation. Revisorer er samtidig begyndt at udstede specifikke ISAE-lignende erklæringer for NIS2-compliance, som Enterprise-kunder kræver af deres leverandører (Focus Advokater, 2025/2026).
Vend det om: En SMV med en NIS2-dokumentationspakke klar — risikovurdering, beredskabsplan, Compliance Manager-rapport og en driftsaftale med 24/7-overvågning — vinder udbud, som konkurrenterne taber. NIS2 er ikke kun en byrde. Det er et salgsargument.

Hvorfor jeres 8-16 IT-support ikke er nok under NIS2
NIS2 kræver, at I kan opdage og rapportere en sikkerhedshændelse inden for 24 timer via Virk.dk (CFCS, 2026). Hvis jeres IT-support lukker kl. 16, og angrebet sker kl. 22, har I allerede brugt 14 af jeres 24 timer, før nogen overhovedet ser alarmen.
Det kræver enten et internt SOC (urealistisk for de fleste SMV’er) eller en co-managed driftsaftale med en partner, der overvåger jeres miljø døgnet rundt. Microsoft Sentinel og Defender XDR giver værktøjerne — men nogen skal sidde og reagere på alarmerne.
FAQ: NIS2-tjekliste for danske SMV’er
Kan direktøren få personlige bøder under NIS2?
Ja. Selskabsloven er ændret, så ledelsen hæfter personligt. Ved grov forsømmelse af cyber-tilsyn kan direktionen idømmes ledelsesforbud. Dokumentér kvartalsvis stillingtagen til cyber-risici for at reducere risikoen.
Er Microsoft 365 nok til at opfylde NIS2-kravene?
Microsoft 365 Business Premium og E5 dækker størstedelen af de tekniske krav (MFA, logning, endpoint-beskyttelse, Compliance Manager). Men teknologien alene er ikke nok — I skal også have politikker, beredskabsplan og dokumenteret ledelsestilsyn.
Skal underleverandører overholde NIS2?
Ikke nødvendigvis direkte. Men jeres Enterprise-kunder er forpligtet til at vurdere sikkerheden i deres forsyningskæde (Artikel 21). I praksis kræver de NIS2-dokumentation fra jer — og skifter leverandør, hvis I ikke kan levere den.
Hvor ofte skal vi lave risikovurdering under NIS2?
Loven siger “regelmæssigt”. BDO Danmark anbefaler minimum kvartalsvist. Brug Compliance Manager til at holde et løbende overblik og generér en rapport til ledelsen hvert kvartal.
Hvad koster det en SMV at blive NIS2-compliant?
Det afhænger af jeres udgangspunkt. Har I allerede Microsoft 365 Business Premium og basale politikker, handler det primært om konfiguration, beredskabsplan og løbende drift. En co-managed aftale med sikkerhedsovervågning er typisk billigere end at ansætte en fuldtids sikkerhedsspecialist.
Hvordan rapporterer vi en sikkerhedshændelse til CFCS?
Digital indberetning via Virk.dk. I har 24 timer til en “early warning” og 72 timer til en fuld hændelsesrapport. Hav en beredskabsplan klar med navngivne roller, så I ikke spilder tid på at finde ud af, hvem der gør hvad.
Hvad er forskellen på NIS2-compliance og en NIS2-revisionserklæring?
Compliance betyder, at I overholder loven. En revisionserklæring er en uafhængig revisors bekræftelse af det. Enterprise-kunder kræver i stigende grad den formelle erklæring — ikke bare jeres eget ord for det.
Sådan kommer I i mål: 5 konkrete skridt
- Aktivér Compliance Manager NIS2-templaten i jeres Microsoft 365-tenant. Gennemgå de røde felter og prioritér de manglende konfigurationer.
- Konfigurér MFA og Conditional Access for alle brugere via Entra ID. Slå Unified Audit Log til, og sæt retentionen til minimum 6 måneder.
- Skriv en beredskabsplan på maks 2 sider med navngivne roller, kontaktliste og trin-for-trin for de første 24 timer. Test den med en tabletop-øvelse.
- Indfør kvartalsvis ledelsesrapportering. Brug Secure Score og Compliance Manager-dashboardet som grundlag. Ledelsen underskriver rapporten.
- Få en ekstern partner til at validere. Book en NIS2-gennemgang med en compliance-specialist, der kan identificere de sidste huller — og hjælpe jer med at lukke dem, før jeres kunder eller tilsynet gør det.