NIS2 bestyrelsesansvar: Bevis compliance med Secure Score

Bestyrelsesmøde hvor IT-chefen præsenterer Microsoft Secure Score på en skærm for ledelsen

NIS2 bestyrelsesansvar: Sådan beviser I compliance med Microsoft Secure Score

Af Sten Albert Person A-one Solutions ·
·
Kategori: IT-sikkerhed

NIS2 placerer et direkte personligt ansvar hos ledelsen og bestyrelsen, hvis IT-sikkerheden fejler. Mange IT-ansvarlige mangler et sprog til at oversætte komplekse firewalls og politikker til noget, direktøren forstår. Læs hvordan I bruger Microsoft Secure Score til at bygge et visuelt dashboard, der dokumenterer jeres compliance sort på hvidt.

  • Forstå det personlige ledelsesansvar i NIS2 og hvorfor teknisk dokumentation ikke længere er nok.
  • Brug Microsoft Secure Score som jeres primære KPI over for bestyrelsen.
  • Kortlæg jeres nuværende sikkerhedsniveau og sæt et realistisk mål for kvartalet.
  • Opsæt et automatiseret compliance dashboard direkte i Microsoft 365.

Hvorfor NIS2 bestyrelsesansvar kræver en ny type IT-rapportering

Med NIS2-direktivets ikrafttræden i Danmark i juli 2025 blev spillereglerne ændret for danske SMV’er. Ifølge data fra Netdk (2026) risikerer “Vigtige Enheder” bøder på op til 7 millioner EUR eller 1,4 procent af den globale omsætning. Men den største ændring ligger i Artikel 21, som fastslår, at ledelsesmedlemmer kan holdes personligt ansvarlige, hvis de ikke aktivt godkender og overvåger virksomhedens cybersikkerhedsforanstaltninger.

Dette skaber en massiv kommunikationsudfordring mellem IT-afdelingen og ledelsesgangen. Bestyrelsen har brug for at kende virksomhedens reelle risikoprofil uden at skulle forstå forskellen på Entra ID og en lokal Active Directory.

Før: IT-afdelingen sender en lang PDF med tekniske logfiler og opdateringsstatusser, som bestyrelsen scroller forbi uden at kunne træffe beslutninger ud fra dataen.

Efter: Ledelsen får ét samlet tal fra 0 til 100 procent, der viser præcis, hvor godt virksomheden er beskyttet mod cyberangreb, og hvilke investeringer der hæver scoren mest.

Graf der viser en stigning i Microsoft Secure Score over tid i et dashboard

Sådan oversætter I IT-sikkerhed til ledelsessprog

Microsoft Secure Score er et indbygget værktøj i Microsoft 365, der løbende vurderer jeres sikkerhedstilstand. Værktøjet analyserer jeres opsætning på tværs af identiteter, data, enheder og apps. Hver gang I implementerer en anbefalet sikkerhedsfunktion, stiger jeres score.

For bestyrelsen fungerer dette som et termometer for jeres NIS2-compliance. Hvis scoren falder, ved ledelsen, at der er opstået nye sårbarheder, der kræver handling eller budget. Hvis scoren stiger, beviser I, at de allokerede IT-budgetter skaber reel værdi og reducerer virksomhedens risiko.

Tjekliste: Byg jeres NIS2 compliance dashboard

For at give bestyrelsen det rette overblik, skal I strukturere jeres data. Følg denne model for at klargøre jeres rapportering.

  1. Auditér jeres nuværende licenser: Tjek om I benytter Microsoft 365 Business Premium eller E3/E5. Business Premium indeholder de nødvendige Defender-funktioner til at beregne en retvisende score for de fleste SMV’er.
  2. Aktivér multifaktorgodkendelse (MFA) overalt: Dette er det absolut vigtigste skridt. Håndhæv MFA for alle brugere, især administratorkonti. Dette giver det største umiddelbare hop i jeres Secure Score.
  3. Fjern ubrugte administratorrettigheder: Gennemgå alle brugere med admin-adgang. Tildel kun rettigheder efter “least privilege” princippet. Log ændringerne som bevis på dataminimering.
  4. Segmentér enheder i Defender: Sørg for at alle firmatelefoner og bærbare computere er rullet ind i Intune og overvåges af Defender for Endpoint.
  5. Opsæt automatisk rapportering: Brug Power BI eller de indbyggede eksportfunktioner i Defender-portalen til at trække en månedlig rapport, der kun viser score-udvikling og de tre vigtigste udestående opgaver.
Få en gratis Secure Score analyse og se, hvad I skal præsentere på næste bestyrelsesmøde. Vi gennemgår jeres Microsoft 365 miljø og giver jer en konkret handlingsplan. Book analysen her.

Fejl der koster dyrt i jeres NIS2-dokumentation

En typisk faldgrube for danske virksomheder er misforståelsen af delt ansvar (shared responsibility). Mange SMV’er tror fejlagtigt, at de kan outsource hele deres NIS2-ansvar til en ekstern IT-partner. Selvom I køber drift og hosting eksternt, er det stadig jeres bestyrelse, der bærer det juridiske ansvar for, at partneren leverer den aftalte sikkerhed.

Før: Virksomheden tror, at deres IT-partner bærer hele NIS2-ansvaret gennem en standard driftsaftale, og ledelsen stiller ingen kontrolspørgsmål.

Efter: Der foreligger en klar ansvarsmatrix, hvor bestyrelsen ved præcis, hvilke risici de selv ejer, og hvilke kontroller IT-partneren dokumenterer via Secure Score.

Tabel der viser ansvarsfordelingen mellem en IT-partner og en SMV under NIS2

FAQ om NIS2 ledelsesansvar og Microsoft 365

Hvad er bestyrelsens ansvar i NIS2?

Bestyrelsen skal godkende virksomhedens risikostyringstiltag og føre tilsyn med implementeringen. De kan gøres personligt ansvarlige og pålægges midlertidige ledelsesforbud ved grov forsømmelse af IT-sikkerheden.

Hvordan forbedrer man Microsoft Secure Score hurtigst?

Den hurtigste metode er at aktivere MFA for alle brugere, blokere for forældet godkendelse (legacy authentication) og fjerne globale administratorrettigheder fra daglige brugerkonti.

Hvad er en god Secure Score for en SMV?

Gå efter en score på minimum 65 procent. Dette niveau indikerer, at I har implementeret de mest basale og kritiske sikkerhedsforanstaltninger, som NIS2 kræver af en gennemsnitlig virksomhed.

Kan ledelsen straffes under NIS2?

Ja. Myndighederne har beføjelser til at suspendere ledelsesmedlemmer midlertidigt fra deres poster, hvis de gentagne gange ignorerer påbud om at udbedre kritiske sikkerhedsbrister.

Hvordan dokumenterer man NIS2 compliance løbende?

Brug de automatiske rapporter fra Microsoft Defender og Purview. Træk historiske data fra Secure Score for at bevise over for myndigheder og bestyrelse, at I aktivt overvåger og forbedrer jeres sikkerhed måned for måned.

Konkrete skridt til jeres næste bestyrelsesmøde

Gør jeres IT-rapportering handlingsorienteret allerede i dag ved at følge disse fire skridt:

  1. Log ind i Microsoft Defender portalen (security.microsoft.com) og aflæs jeres nuværende Secure Score.
  2. Identificér de tre mest kritiske sikkerhedshuller, som systemet foreslår under “Recommended actions”.
  3. Udarbejd et kort slide til ledelsen, der viser jeres nuværende score, branchegennemsnittet og jeres mål for næste kvartal.
  4. Tildel interne eller eksterne ressourcer til at lukke de tre identificerede huller inden næste statusmøde.

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

IT support firma medarbejder hjælper erhvervskunde med teknisk løsning

Skal vi tage et kig på jeres IT?

Skriv jer op — vi kontakter dig inden for én arbejdsdag med en uforpligtende vurdering?