NIS2-klar på 90 dage: Køreplanen for produktionsvirksomheder
·
Kategori: Compliance
De første NIS2-tilsyn rammer danske produktionsvirksomheder nu. Jeres kontor-IT er sandsynligvis dækket af Microsoft 365 og en firewall – men fabriksgulvets PLC’er, SCADA-systemer og usikrede maskinleverandør-adgange? Det er der, auditen fejler. Denne køreplan viser, hvordan I lukker de kritiske NIS2-gaps på 90 dage via en MSP – uden at ansætte en CISO til over en million kroner om året.
Det vigtigste fra denne artikel
- 90 dage er nok til en audit-klar baseline – ikke fuld kulturændring, men dokumenteret governance, logning og OT-segmentering.
- Jeres fabriksgulv er det svage led – NIS2 kræver netværkssegmentering mellem IT og OT, et opdateret aktivregister og sikker fjernadgang for leverandører.
- En virtuel CISO (vCISO) via en MSP koster en brøkdel – og ENISA bekræfter, at CISO-funktionen må outsources, så længe ledelsen beholder det juridiske ansvar.
- 24-timers rapportering er ufravigeligt – jeres MSP skal kunne sende “early warning” til CFCS inden for 24 timer, detaljeret rapport inden 72 timer og slutrapport inden 1 måned.
- Dokumentation vinder kontrakter – tyske OEM-kunder kræver allerede NIS2-bevis i forsyningskæden. MSP-genereret compliance-dokumentation er jeres adgangsbillet.

Hvorfor fabriksgulvet dumper NIS2-auditen
De fleste produktionsvirksomheder har styr på kontorets Microsoft 365-miljø. MFA er slået til, mails filtreres, og backup kører. Men NIS2 skelner ikke mellem kontor og fabrik. Loven kræver “basic cyber hygiene” på tværs af hele virksomheden – og det inkluderer jeres OT-miljø.
Konkret betyder det tre ting, som de fleste SMV’er mangler:
- OT-aktivregister: I skal dokumentere hver PLC, sensor og SCADA-enhed på netværket. Rockwell Automation påpeger, at et opdateret asset inventory er et hårdt NIS2-krav for produktionsvirksomheder (Rockwell Automation, 2026).
- Netværkssegmentering: IT og OT skal adskilles i zoner. Cisco understreger, at Zero-Trust-arkitektur og segmentering mellem kontor og fabrik nu er et eksplicit krav (Cisco, 2025).
- Sikker fjernadgang: Maskinleverandører, der logger ind via TeamViewer eller åbne VPN-tunneler, bryder NIS2-kravene. Hver ekstern adgang skal logges og kontrolleres.
Før: Maskinleverandøren ringer, får et fælles password og logger direkte ind på PLC’en via en åben port.
Efter: Leverandøren autentificerer sig via MFA, får tidsbegrænset adgang til én specifik zone, og sessionen logges i et manipulationssikret system. Resultat: I kan dokumentere hver eneste fjernadgang ved tilsyn.
Sådan ser 90-dages køreplanen ud – uge for uge
90 dage handler ikke om at blive perfekt. Det handler om at etablere en baseline, der holder til et tilsyn. Her er planen opdelt i tre faser:
Fase 1: Kortlægning (uge 1–4)
| Uge | Opgave | Ansvarlig | Output |
|---|---|---|---|
| 1 | Gap-analyse: Kortlæg IT- og OT-aktiver, nuværende sikkerhedsniveau, manglende politikker | MSP + intern IT | Risiko-rapport med prioriteret handlingsplan |
| 2 | OT-aktivregister: Dokumentér alle PLC’er, sensorer, SCADA-enheder og deres netværksforbindelser | MSP + produktionschef | Komplet asset inventory |
| 3 | Leverandør-audit: Gennemgå alle eksterne adgange (maskinleverandører, softwareudbydere) | MSP | Leverandør-risikomatrix |
| 4 | Governance-struktur: Definér roller – hvem ejer risiko, hvem eksekverer, hvem rapporterer | Ledelse + MSP | RACI-matrix og ansvarsaftale |
Fase 2: Implementering (uge 5–10)
| Uge | Opgave | Ansvarlig | Output |
|---|---|---|---|
| 5–6 | Segmentér netværket: Opret zoner mellem IT og OT med firewall-regler og VLAN | MSP | Dokumenteret zone-model |
| 7 | Udrul logning: Implementér immutable logs på tværs af IT og OT – krav fra CFCS | MSP | Central log-platform (fx Microsoft Sentinel) |
| 8 | Hændelsesrespons-plan: Skriv og godkend proceduren for 24/72-timers rapportering | MSP + ledelse | Dokumenteret incident response plan |
| 9–10 | Patch- og sårbarhedsstyring: Etablér kontinuerlig scanning – ikke kun årlige tests | MSP | Automatiseret sårbarhedsrapport |
Fase 3: Test og dokumentation (uge 11–13)
| Uge | Opgave | Ansvarlig | Output |
|---|---|---|---|
| 11 | Tabletop exercise: Simulér et ransomware-angreb på en produktionslinje og test hele kæden | MSP + ledelse + produktion | Testrapport med forbedringsforslag |
| 12 | Dokumentationspakke: Saml alle politikker, logs, test-resultater og leverandøraftaler | MSP | Audit-klar compliance-mappe |
| 13 | Ledelsesgennemgang: Direktionen godkender risikoaccept og resterende gaps | Ledelse | Underskrevet ledelseserklæring |
Hvad MSP’en overtager – og hvad direktøren hæfter for
ENISA slår fast, at CISO-funktionen kan outsources til en MSP (ENISA, 2025). Men der er en skarp grænse. Her er fordelingen:
MSP’en (vCISO) ejer:
- Daglig overvågning og drift af sikkerhedsværktøjer (SIEM, EDR, firewall)
- Patch management og kontinuerlig sårbarhedsscanning
- Logning, opbevaring og beskyttelse af audit trails
- Teknisk hændelsesrespons og rapportering til CFCS inden for 24 timer
- Kvartalsvis compliance-rapportering til ledelsen
Ledelsen ejer (kan ikke outsources):
- Godkendelse af risikoacceptniveau
- Underskrift på sikkerhedspolitikker
- Beslutning om budgetallokering til sikkerhed
- Juridisk ansvar ved manglende overholdelse – inkl. personligt ledelsesansvar
Før: Ingen formel ansvarsfordeling. IT-manden “tager sig af sikkerhed” ved siden af alt andet. Ved tilsyn kan ingen dokumentere, hvem der besluttede hvad.
Efter: En RACI-matrix definerer præcist, at MSP’en eksekverer og rapporterer, mens direktionen godkender og hæfter. Myndighederne ser en klar governance-struktur.
Få jeres NIS2-gaps kortlagt på 30 minutter
Book et uforpligtende NIS2-tjek med vores team. Vi gennemgår jeres IT- og OT-miljø, identificerer de kritiske huller og viser, hvordan en vCISO-service dækker kravene – uden at I skal ansætte. Book møde her.
Hvorfor en vCISO koster en brøkdel af en intern CISO
En fuldtids-CISO i Danmark koster over 1 mio. DKK årligt i løn, pension og efteruddannelse (Gartner, 2025). For en produktions-SMV med 50–200 ansatte er det urealistisk. En vCISO via en MSP leverer de samme NIS2-funktioner – governance, rapportering, hændelsesrespons og compliance-dokumentation – til en fast månedlig pris, der typisk ligger på 15–25 % af en fuldtidsansættelse.
Forskellen er ikke kvaliteten. Det er modellen. En vCISO deler sin tid mellem flere kunder, men bruger standardiserede frameworks (ISO 27001, NIST CSF) og automatiserede værktøjer som Microsoft Sentinel og Defender for IoT til at skalere overvågning og rapportering.

Tjekliste: Er I klar til NIS2-tilsyn?
Brug denne tjekliste til at vurdere, hvor I står. Hvert punkt svarer til et konkret NIS2-krav:
- Aktivregister: Har I en komplet liste over alle IT- og OT-enheder på netværket? (Inkl. PLC’er, sensorer, switches)
- Netværkssegmentering: Er IT og OT adskilt i separate zoner med kontrolleret trafik imellem?
- Logning: Opbevarer I logs i mindst 12 måneder i et manipulationssikret system?
- Hændelsesrespons: Har I en dokumenteret plan, der dækker 24-timers early warning, 72-timers rapport og 1-måneds slutrapport?
- Tabletop exercise: Har I testet jeres beredskab mindst én gang inden for de seneste 12 måneder?
- Leverandørstyring: Er alle eksterne adgange (maskinleverandører, softwareudbydere) dokumenteret med MFA og tidsbegrænsning?
- Sårbarhedsscanning: Kører I kontinuerlig scanning – ikke kun en årlig penetrationstest?
- Ledelsesgodkendelse: Har direktionen underskrevet en sikkerhedspolitik og risikoaccept inden for de seneste 12 måneder?
- Kryptering: Er data krypteret både i transit og at rest – også på OT-netværket?
- Backup: Tester I restore af kritiske systemer mindst kvartalsvis?
Scorer I under 7 af 10: Kontakt en MSP med NIS2-erfaring inden næste kvartal.
Ofte stillede spørgsmål om NIS2 for produktionsvirksomheder
Kan en MSP overtage hele NIS2-ansvaret for vores virksomhed?
Nej. En MSP kan overtage den operationelle eksekvering – overvågning, logning, patch management og hændelsesrespons. Men det juridiske ansvar forbliver hos ledelsen. I skal selv godkende politikker, acceptere restrisici og sikre budgetallokering. Tænk på MSP’en som jeres sikkerhedsafdeling, ikke jeres juridiske skjold.
Hvad koster en virtuel CISO sammenlignet med en fuldtids-CISO?
En fuldtids-CISO koster over 1 mio. DKK årligt (Gartner, 2025). En vCISO via en MSP ligger typisk på 15–25 % af det beløb, afhængigt af virksomhedens størrelse og kompleksitet. I får de samme NIS2-leverancer: governance, rapportering og hændelsesrespons.
Er 90 dage realistisk for fuld NIS2-compliance?
90 dage giver jer en audit-klar baseline – ikke en perfekt sikkerhedskultur. I får lukket de kritiske gaps: segmentering, logning, hændelsesrespons-plan og dokumentation. Fuld modenhed tager 12–18 måneder, men baseline er nok til at bestå et tilsyn og undgå bøder.
Hvordan håndterer MSP’en 24-timers rapporteringskravet ved et cyberangreb?
MSP’en har en foruddefineret eskaleringsproces: Automatiseret detektion udløser alarm, MSP’ens SOC vurderer hændelsen, og en “early warning” sendes til CFCS inden 24 timer. Inden 72 timer leveres en detaljeret rapport, og inden 1 måned en slutrapport. Alt dette er aftalt og dokumenteret i jeres hændelsesrespons-plan.
Hvad sker der, hvis vores tyske kunder kræver NIS2-dokumentation?
Tyske OEM-kunder kræver i stigende grad NIS2-bevis fra leverandører i forsyningskæden. Jeres MSP kan generere compliance-rapporter, audit trails og politikdokumentation, som I sender direkte til kunden. Det er forskellen mellem at beholde kontrakten og miste den.
Skal vi segmentere netværket, selvom vi kun har 50 ansatte?
Ja. NIS2 skelner ikke efter virksomhedsstørrelse, når I er i scope. Segmentering mellem IT og OT er et hårdt krav. Selv en simpel VLAN-opsætning med firewall-regler mellem kontor og fabrik opfylder kravet. Det behøver ikke være dyrt – det skal bare dokumenteres.
Hvilke Microsoft-værktøjer hjælper med NIS2 på fabriksgulvet?
Microsoft Defender for IoT opdager ukendte enheder på OT-netværket og kortlægger sårbarheder. Microsoft Sentinel samler logs fra IT og OT i én platform og muliggør automatiseret hændelsesrespons. Microsoft Purview hjælper med compliance-rapportering og dataklassificering.
Tre skridt I kan tage i morgen
- Kortlæg jeres OT-aktiver: Gå fabriksgulvet igennem med produktionschefen. Dokumentér hver enhed, der er forbundet til netværket – også den gamle PLC, som “bare kører”. Brug listen som input til en gap-analyse.
- Auditér jeres leverandøradgange: Lav en liste over alle eksterne parter, der har fjernadgang til jeres systemer. Tjek: Bruger de MFA? Er adgangen tidsbegrænset? Logges sessionerne? Luk åbne porte samme dag.
- Book et NIS2-tjek med en MSP: Tag jeres aktivliste og leverandøroversigt med til mødet. En kvalificeret MSP kan på 30 minutter vurdere, hvor I står, og skitsere en 90-dages plan. Start her.