
NIS2 bestyrelsesansvar: Sådan beviser I compliance med Microsoft Secure Score
·
Kategori: IT-sikkerhed
NIS2 placerer et direkte personligt ansvar hos ledelsen og bestyrelsen, hvis IT-sikkerheden fejler. Mange IT-ansvarlige mangler et sprog til at oversætte komplekse firewalls og politikker til noget, direktøren forstår. Læs hvordan I bruger Microsoft Secure Score til at bygge et visuelt dashboard, der dokumenterer jeres compliance sort på hvidt.
- Forstå det personlige ledelsesansvar i NIS2 og hvorfor teknisk dokumentation ikke længere er nok.
- Brug Microsoft Secure Score som jeres primære KPI over for bestyrelsen.
- Kortlæg jeres nuværende sikkerhedsniveau og sæt et realistisk mål for kvartalet.
- Opsæt et automatiseret compliance dashboard direkte i Microsoft 365.
Hvorfor NIS2 bestyrelsesansvar kræver en ny type IT-rapportering
Med NIS2-direktivets ikrafttræden i Danmark i juli 2025 blev spillereglerne ændret for danske SMV’er. Ifølge data fra Netdk (2026) risikerer “Vigtige Enheder” bøder på op til 7 millioner EUR eller 1,4 procent af den globale omsætning. Men den største ændring ligger i Artikel 21, som fastslår, at ledelsesmedlemmer kan holdes personligt ansvarlige, hvis de ikke aktivt godkender og overvåger virksomhedens cybersikkerhedsforanstaltninger.
Dette skaber en massiv kommunikationsudfordring mellem IT-afdelingen og ledelsesgangen. Bestyrelsen har brug for at kende virksomhedens reelle risikoprofil uden at skulle forstå forskellen på Entra ID og en lokal Active Directory.
Før: IT-afdelingen sender en lang PDF med tekniske logfiler og opdateringsstatusser, som bestyrelsen scroller forbi uden at kunne træffe beslutninger ud fra dataen.
Efter: Ledelsen får ét samlet tal fra 0 til 100 procent, der viser præcis, hvor godt virksomheden er beskyttet mod cyberangreb, og hvilke investeringer der hæver scoren mest.

Sådan oversætter I IT-sikkerhed til ledelsessprog
Microsoft Secure Score er et indbygget værktøj i Microsoft 365, der løbende vurderer jeres sikkerhedstilstand. Værktøjet analyserer jeres opsætning på tværs af identiteter, data, enheder og apps. Hver gang I implementerer en anbefalet sikkerhedsfunktion, stiger jeres score.
For bestyrelsen fungerer dette som et termometer for jeres NIS2-compliance. Hvis scoren falder, ved ledelsen, at der er opstået nye sårbarheder, der kræver handling eller budget. Hvis scoren stiger, beviser I, at de allokerede IT-budgetter skaber reel værdi og reducerer virksomhedens risiko.
Tjekliste: Byg jeres NIS2 compliance dashboard
For at give bestyrelsen det rette overblik, skal I strukturere jeres data. Følg denne model for at klargøre jeres rapportering.
- Auditér jeres nuværende licenser: Tjek om I benytter Microsoft 365 Business Premium eller E3/E5. Business Premium indeholder de nødvendige Defender-funktioner til at beregne en retvisende score for de fleste SMV’er.
- Aktivér multifaktorgodkendelse (MFA) overalt: Dette er det absolut vigtigste skridt. Håndhæv MFA for alle brugere, især administratorkonti. Dette giver det største umiddelbare hop i jeres Secure Score.
- Fjern ubrugte administratorrettigheder: Gennemgå alle brugere med admin-adgang. Tildel kun rettigheder efter “least privilege” princippet. Log ændringerne som bevis på dataminimering.
- Segmentér enheder i Defender: Sørg for at alle firmatelefoner og bærbare computere er rullet ind i Intune og overvåges af Defender for Endpoint.
- Opsæt automatisk rapportering: Brug Power BI eller de indbyggede eksportfunktioner i Defender-portalen til at trække en månedlig rapport, der kun viser score-udvikling og de tre vigtigste udestående opgaver.
Fejl der koster dyrt i jeres NIS2-dokumentation
En typisk faldgrube for danske virksomheder er misforståelsen af delt ansvar (shared responsibility). Mange SMV’er tror fejlagtigt, at de kan outsource hele deres NIS2-ansvar til en ekstern IT-partner. Selvom I køber drift og hosting eksternt, er det stadig jeres bestyrelse, der bærer det juridiske ansvar for, at partneren leverer den aftalte sikkerhed.
Før: Virksomheden tror, at deres IT-partner bærer hele NIS2-ansvaret gennem en standard driftsaftale, og ledelsen stiller ingen kontrolspørgsmål.
Efter: Der foreligger en klar ansvarsmatrix, hvor bestyrelsen ved præcis, hvilke risici de selv ejer, og hvilke kontroller IT-partneren dokumenterer via Secure Score.

FAQ om NIS2 ledelsesansvar og Microsoft 365
Hvad er bestyrelsens ansvar i NIS2?
Bestyrelsen skal godkende virksomhedens risikostyringstiltag og føre tilsyn med implementeringen. De kan gøres personligt ansvarlige og pålægges midlertidige ledelsesforbud ved grov forsømmelse af IT-sikkerheden.
Hvordan forbedrer man Microsoft Secure Score hurtigst?
Den hurtigste metode er at aktivere MFA for alle brugere, blokere for forældet godkendelse (legacy authentication) og fjerne globale administratorrettigheder fra daglige brugerkonti.
Hvad er en god Secure Score for en SMV?
Gå efter en score på minimum 65 procent. Dette niveau indikerer, at I har implementeret de mest basale og kritiske sikkerhedsforanstaltninger, som NIS2 kræver af en gennemsnitlig virksomhed.
Kan ledelsen straffes under NIS2?
Ja. Myndighederne har beføjelser til at suspendere ledelsesmedlemmer midlertidigt fra deres poster, hvis de gentagne gange ignorerer påbud om at udbedre kritiske sikkerhedsbrister.
Hvordan dokumenterer man NIS2 compliance løbende?
Brug de automatiske rapporter fra Microsoft Defender og Purview. Træk historiske data fra Secure Score for at bevise over for myndigheder og bestyrelse, at I aktivt overvåger og forbedrer jeres sikkerhed måned for måned.
Konkrete skridt til jeres næste bestyrelsesmøde
Gør jeres IT-rapportering handlingsorienteret allerede i dag ved at følge disse fire skridt:
- Log ind i Microsoft Defender portalen (security.microsoft.com) og aflæs jeres nuværende Secure Score.
- Identificér de tre mest kritiske sikkerhedshuller, som systemet foreslår under “Recommended actions”.
- Udarbejd et kort slide til ledelsen, der viser jeres nuværende score, branchegennemsnittet og jeres mål for næste kvartal.
- Tildel interne eller eksterne ressourcer til at lukke de tre identificerede huller inden næste statusmøde.