CFO’ens NIS2-budget: Hvad koster NIS2 implementering for en SMV?
·
Kategori: Compliance
Mange CFO’er er trætte af skræmmekampagner om NIS2-bøder på 10 millioner euro. I mangler konkrete tal på, hvad det rent faktisk koster i licenser, tid og rådgivning at blive compliant nu, hvor loven er trådt i kraft. Her får I det faktiske regnestykke for jeres NIS2 implementering som SMV, så I kan beskytte forretningen uden at sprænge IT-budgettet.
- Udnyt eksisterende licenser: Kortlæg jeres nuværende Microsoft 365-setup, før I køber nye sikkerhedsværktøjer.
- Forstå ledelsesansvaret: Den danske lovgivning tillader specifikke sanktioner mod topledelsen, hvis I ignorerer kravene.
- Undgå supply chain-fælden: Jeres største kunder kræver beviser for jeres IT-sikkerhed i dag. Automatisér dokumentationen med Microsoft Purview.
- Håndter 24-timers reglen: Opgradér jeres hændelseshåndtering, så I kan overholde kravet om hurtig rapportering til SAMSIK.

Hvorfor NIS2 implementering i en SMV handler om mere end bøder
Den danske NIS2-lov trådte i kraft den 1. juli 2025. Der er ingen grace period længere. Revisor kræver beviser for compliance i jeres 2026-regnskab, og myndighederne fører aktivt tilsyn. Men den største økonomiske risiko for en dansk SMV er ikke nødvendigvis bøderne fra Dansk Industri’s NIS2-guide. Det er tabet af enterprise-kunder.
Før brugte I tid på at udfylde lange sikkerhedsspørgeskemaer manuelt for hver ny kunde. Efter I har implementeret de rette Microsoft-værktøjer, trækker I automatisk en compliance-rapport, der tilfredsstiller jeres kunders NIS2 leverandørkrav på fem minutter. Det fastholder omsætningen og sparer administrationstid.
Sådan lægger I et realistisk NIS2 budget
Mange virksomheder betaler for sikkerhedsværktøjer, de ikke bruger. Hvis I allerede har Microsoft 365 Business Premium, har I adgang til funktioner, der dækker en stor del af NIS2-kravene. I skal blot aktivere og konfigurere dem korrekt.
Før betalte I for dyre tredjepartsløsninger til antivirus og enhedsstyring. Efter en konsolidering bruger I Microsoft Defender og Intune, som allerede er inkluderet i jeres licens. Det reducerer jeres samlede IT-omkostninger og samler sikkerheden ét sted.

Tjekliste: 5 trin til at dokumentere jeres NIS2 compliance
Myndighederne og jeres kunder kræver beviser. Her er de konkrete krav, I skal kunne dokumentere ifølge ENISA’s tekniske retningslinjer:
- Håndhæv MFA overalt: Tjek at Multi-Factor Authentication er aktiveret for alle brugere og systemer via Entra ID. Ingen undtagelser.
- Sikr jeres endpoints: Rul Microsoft Intune ud for at styre og opdatere alle firmatelefoner og bærbare computere centralt.
- Isolér jeres backup: Test at jeres backup er fysisk og logisk adskilt fra jeres primære netværk, så ransomware ikke kan slette den.
- Log alle hændelser: Opsæt Microsoft Sentinel eller lignende til at overvåge og logge mistænkelig adfærd, så I kan overholde 24-timers rapporteringskravet.
- Automatisér bevisførelsen: Brug Microsoft Purview til at gemme audit-logs og politikker, så I altid er klar til revisors kontrol.
Betaler I for sikkerhed, I ikke udnytter?
Book et NIS2-tjek af jeres Microsoft 365-licenser hos A-one Solutions. Vi kortlægger, om I allerede har de værktøjer, der lukker jeres compliance-huller, så I undgår unødige investeringer.
Fejl der koster: CFO’ens personlige ledelsesansvar
Ifølge Beierholms tolkning af NIS2-direktivet skal topledelsen godkende sikkerhedsforanstaltningerne og føre aktivt tilsyn. Det betyder, at I ikke længere kan delegere hele ansvaret til IT-afdelingen. Den danske lovgivning åbner for, at ledelsesmedlemmer kan holdes personligt ansvarlige, hvis virksomheden groft forsømmer kravene.
I skal kræve månedlige rapporter fra jeres IT-drift eller MSP, der viser status på patch management, blokerede trusler og backup-tests. Gør IT-sikkerhed til et fast punkt på bestyrelsesmødet.

Ofte stillede spørgsmål om NIS2 krav i Danmark
Hvad koster en NIS2 implementering for en SMV?
Prisen afhænger af jeres nuværende setup. Har I allerede Microsoft 365 Business Premium, ligger den primære omkostning i konfiguration og rådgivning frem for nye licenser. Regn med en startinvestering på rådgivning og opsætning, samt et mindre løbende beløb til drift og overvågning.
Er min SMV direkte omfattet af NIS2?
Virksomheder med over 50 ansatte og en omsætning på over 10 millioner euro i kritiske sektorer er direkte omfattet. Men selvom I er mindre, rammer NIS2 leverandørkrav jer, hvis I leverer til omfattede virksomheder.
Hvilke bøder giver NIS2 i Danmark?
Bøderne kan nå op på 10 millioner euro eller 2 % af den globale omsætning. Myndighederne fokuserer dog i første omgang på påbud og krav om udbedring, hvis I kan dokumentere, at I arbejder seriøst med sikkerheden.
Hvem fører tilsyn med SAMSIK NIS2 i Danmark?
SAMSIK (Styrelsen for cybersikkerhed og informationssikkerhed) er den centrale tilsynsmyndighed. De kræver, at I kan fremvise dokumentation for jeres risikovurderinger og sikkerhedstiltag.
Dækker Microsoft 365 alle NIS2 kravene?
Microsoft 365 Business Premium dækker en stor del af de tekniske krav som MFA, enhedsstyring og databeskyttelse. Men I skal supplere med processer, politikker og medarbejdertræning for at være fuldt compliant.
Hvordan overholder vi 24-timers reglen?
I skal have et system, der automatisk opdager og advarer om sikkerhedshændelser. Det kræver typisk en SIEM-løsning som Microsoft Sentinel eller en aftale med en MSP, der overvåger jeres systemer døgnet rundt.
Sådan kommer I videre med jeres NIS2 compliance
Tiden til at forberede sig er forbi. Nu handler det om at dokumentere og vedligeholde jeres sikkerhed. Følg disse tre skridt for at sikre jeres forretning:
- Kortlæg jeres nuværende Microsoft-licenser og identificér ubrugte sikkerhedsfunktioner.
- Få udarbejdet en gap-analyse, der viser præcis, hvilke tekniske og processuelle huller I mangler at lukke.
- Aftal faste rapporteringsrutiner med jeres IT-leverandør, så I altid har beviserne klar til kunder og revisor.