Luk NIS2-huller med jeres eksisterende Microsoft 365-licenser
Jeres største kunde sender et sikkerhedsspørgeskema. 47 spørgsmål om adgangskontrol, hændelseshåndtering og backup. I har 10 dage til at svare — ellers ryger I ud af leverandørlisten. Det scenarie rammer danske SMV’er hver uge nu, hvor NIS2-loven har været i kraft i knap et år. Den gode nyhed: de Microsoft 365-licenser, I allerede betaler for, dækker størstedelen af de tekniske krav. I skal bare aktivere funktionerne.
Det vigtigste fra denne artikel
- Microsoft 365 Business Premium og E3/E5 dækker over 60 % af NIS2’s tekniske krav — ifølge Microsofts egen compliance-mapping. Aktivér det, I har.
- Purview Compliance Manager giver jer en NIS2-skabelon med konkrete handlinger og automatisk scoring. Drop Excel-arket.
- Phishing-resistent MFA via Entra ID er det nye minimum ved audits — standard SMS-koder er ikke længere nok.
- Enterprise-kunder kræver dokumentation nu. Ifølge Dansk Erhverv mister SMV’er ordrer, fordi de ikke kan besvare sikkerhedsspørgeskemaer.
- Konsolidér jeres sikkerhedsværktøjer. Gartner (2026) peger på, at SMV’er sparer mest ved at bruge færre, bedre integrerede platforme.
Hvorfor NIS2 rammer SMV’er hårdere end forventet
NIS2-loven trådte i kraft 1. juli 2025. Registreringsfristen udløb i oktober 2025. Hvis I er direkte omfattet og ikke har registreret jer, er I allerede bagud. Men selv SMV’er, der ikke er direkte omfattet, mærker presset.
Årsagen er forsyningskæden. Artikel 21 i NIS2 kræver, at omfattede virksomheder stiller sikkerhedskrav til deres leverandører. Det betyder, at jeres enterprise-kunder nu skal dokumentere, at I som underleverandør håndterer adgangskontrol, backup og hændelsesrapportering forsvarligt. Kan I ikke det, vælger de en leverandør, der kan.
Før: I sendte en generel beskrivelse af jeres IT-setup og fik godkendelsen.
Efter: Kunden kræver Secure Score-rapport, dokumenteret MFA-politik og bevis for immutable backup — inden kontrakten fornyes.
Sådan mapper NIS2-kravene til Microsoft 365
NIS2 artikel 21 definerer 10 minimumskrav til sikkerhedsforanstaltninger. Her er de vigtigste — og hvilke M365-funktioner der dækker dem.
Tjekliste: NIS2 artikel 21 vs. Microsoft 365
| NIS2-krav (artikel 21) | M365-funktion | Licenskrav |
|---|---|---|
| Risikovurdering og sikkerhedspolitikker | Purview Compliance Manager (NIS2-skabelon) | Business Premium / E3 |
| Hændelseshåndtering | Microsoft Defender for Business + Incident-workflow | Business Premium |
| Backup og genopretning | Microsoft 365 Backup (+ tredjeparts immutable backup) | Tilkøb / E5 |
| Forsyningskædesikkerhed | Secure Score-rapport + Conditional Access for gæsteadgang | Business Premium / E3 |
| Adgangskontrol og MFA | Entra ID Conditional Access + phishing-resistent MFA (FIDO2/passkeys) | Business Premium / E3 (P1) |
| Kryptering | Microsoft Purview Information Protection + BitLocker | Business Premium / E3 |
| Sikkerhedstræning | Defender for Office 365 Attack Simulation Training | E5 / tilkøb |
| Rapportering (24-timers regel) | Defender XDR-alerts + dokumenteret eskaleringsproces | Business Premium / E5 |
Tabellen viser, at en Microsoft 365 Business Premium-licens dækker de fleste tekniske krav. De største huller er typisk immutable backup (kræver tredjepart) og avanceret sikkerhedstræning (kræver E5 eller tilkøb).
Tre funktioner I skal aktivere i denne uge
1. Purview Compliance Manager — jeres NIS2-dokumentation
Compliance Manager indeholder en opdateret NIS2-skabelon, der mapper direkte til artikel 21. Værktøjet scorer jeres nuværende opsætning og viser præcis, hvilke handlinger der mangler. Hvert tiltag logges automatisk som bevis.
Før: NIS2-dokumentation i et delt Excel-ark, der sidst blev opdateret i november.
Efter: Automatisk scoring i Compliance Manager, der opdateres i realtid og kan eksporteres som rapport til kunder og revisorer.
2. Entra ID Conditional Access — adgangskontrol der består audit
Standard MFA med SMS-koder er ikke længere tilstrækkeligt. CISA og ENISA anbefaler phishing-resistent MFA som baseline. I Entra ID konfigurerer I Conditional Access-politikker, der kræver FIDO2-nøgler eller passkeys for admin-konti og følsomme data.
Kortlæg først, hvilke brugere der har adgang til kritiske systemer. Rul derefter phishing-resistent MFA ud til dem inden for 14 dage. Udvid til alle brugere inden for 60 dage.
3. Defender for Business — hændelseshåndtering og 24-timers rapportering
NIS2 kræver, at I rapporterer sikkerhedshændelser inden for 24 timer. Det kræver, at I overhovedet opdager hændelsen hurtigt nok. Defender for Business giver endpoint detection and response (EDR) på alle enheder og samler alerts i ét dashboard. Kombinér det med en dokumenteret eskaleringsproces, og I har grundlaget for at overholde rapporteringskravet.
Ifølge NNIT’s erfaringer fra 2026-tilsyn er dokumenteret hændelseshåndtering og 24-timers rapportering de to punkter, myndighederne fokuserer mest på.
Få overblik over jeres NIS2-huller på 30 minutter
Book en kort sparring med vores M365-team. Vi gennemgår jeres nuværende licenser, identificerer de funktioner I mangler at aktivere, og laver en konkret plan — uden at sprænge IT-budgettet. Book sparring her.
Fejl der koster SMV’er ordrer og tilsynsgodkendelse
Baseret på de første tilsyn og enterprise-kunders krav ser vi fire gentagende fejl:
- MFA kun på e-mail, ikke på admin-portaler. Angribere går efter Global Admin-konti. Hvis de ikke er beskyttet med phishing-resistent MFA, fejler I audit.
- Backup uden immutability. Standard M365-backup beskytter ikke mod ransomware, der sletter jeres recovery points. I har brug for immutable off-site backup.
- Ingen dokumenteret eskaleringsproces. Det er ikke nok at have Defender. I skal kunne vise, hvem der gør hvad inden for de første 24 timer efter en hændelse.
- Ledelsen har ikke gennemført sikkerhedstræning. Artikel 20 i NIS2 gør bestyrelsen personligt ansvarlig. Ifølge IT-Branchen kan ledelsen holdes ansvarlig, hvis de ikke har modtaget dokumenteret træning.
Sådan besvarer I enterprise-kunders sikkerhedsspørgeskemaer
Når en stor kunde sender et NIS2-spørgeskema, leder de efter tre ting:
- Bevis for adgangskontrol. Eksportér jeres Conditional Access-politikker fra Entra ID og vedhæft jeres Secure Score-rapport.
- Bevis for hændelseshåndtering. Vedhæft jeres eskaleringsproces (hvem kontaktes, hvornår rapporteres, hvordan isoleres enheder) og vis Defender-dashboardet.
- Bevis for backup og genopretning. Dokumentér backup-frekvens, opbevaringsperiode, immutability og seneste test af genopretning.
Purview Compliance Manager kan generere størstedelen af denne dokumentation automatisk. Det sparer jer timer pr. spørgeskema — og gør forskellen mellem at beholde og miste kontrakten.
FAQ: NIS2 og Microsoft 365 for SMV’er
Dækker Microsoft 365 alle NIS2-kravene?
Nej. M365 Business Premium dækker ca. 60 % af de tekniske krav ifølge Microsofts compliance-mapping. De største huller er immutable backup (kræver tredjepart) og visse krav til forsyningskædestyring, der kræver organisatoriske processer ud over teknologi.
Er vores SMV direkte omfattet af NIS2?
NIS2 omfatter virksomheder i specifikke sektorer med mindst 50 ansatte eller over 10 mio. EUR i omsætning. Men selv mindre virksomheder rammes indirekte, når enterprise-kunder stiller forsyningskædekrav. Tjek Digitaliseringsstyrelsens vejledning for den fulde liste over sektorer.
Hvad er bøden for manglende NIS2-overholdelse i Danmark?
I Danmark håndteres bøder via strafferetlige domstole — ikke administrative bøder som i andre EU-lande. Ifølge PwC Legal betyder det, at processen er anderledes, men sanktionerne kan stadig være betydelige. Den største risiko for SMV’er er dog tabte kontrakter, ikke bøder.
Hvad koster NIS2-compliance for en SMV?
Hvis I allerede har Microsoft 365 Business Premium, er de største omkostninger konfiguration og procesarbejde — ikke nye licenser. Regn med 2-5 dages konsulentarbejde for en grundlæggende opsætning af Compliance Manager, Conditional Access og Defender, plus løbende vedligehold.
Kan vi klare NIS2-compliance uden ekstern hjælp?
Teknisk set ja, hvis I har en dedikeret IT-ansvarlig med M365-erfaring. I praksis ser vi, at de fleste SMV’er mangler tid til at konfigurere Purview, opsætte Conditional Access-politikker korrekt og dokumentere processerne. En managed service-partner kan accelerere processen markant.
Hvad er 24-timers rapporteringsreglen?
NIS2 kræver, at I rapporterer væsentlige sikkerhedshændelser til myndighederne inden for 24 timer. Det kræver, at I har overvågning (Defender), en eskaleringsproces og en kontaktperson, der kan handle hurtigt — også uden for normal arbejdstid.
Hvordan dokumenterer vi NIS2-overholdelse over for kunder?
Brug Purview Compliance Manager til at generere en NIS2-rapport. Kombinér den med jeres Secure Score, Conditional Access-politikker og backup-dokumentation. Det giver et samlet bevisgrundlag, der kan sendes direkte til kunder og revisorer.
Næste skridt: Aktivér jeres NIS2-dækning i M365
- Åbn Purview Compliance Manager og tilføj NIS2-skabelonen. Gennemgå jeres nuværende score og identificér de røde punkter.
- Aktivér Conditional Access i Entra ID. Start med at kræve phishing-resistent MFA for alle admin-konti. Udvid til alle brugere inden for 60 dage.
- Rul Defender for Business ud på alle endpoints. Konfigurér alerts og dokumentér jeres eskaleringsproces (hvem, hvornår, hvordan).
- Test jeres backup-genopretning. Verificér, at I har immutable off-site backup, og kør en faktisk restore-test. Dokumentér resultatet.
- Briefing til ledelsen. Præsentér Compliance Manager-scoren for bestyrelsen. Forklar artikel 20 (personligt ansvar) og få godkendelse til de resterende tiltag.
- Book en NIS2-screening af jeres M365-miljø, hvis I mangler intern kapacitet. 30 minutter giver jer en prioriteret handlingsplan.
