Guides, Tips & Inspiration

NIS2-compliance i kommuner: gevinsterne rækker ud over lovkrav

Anton Kristensen
Anton Kristensen
Redaktør, NestBox
 · 30. marts 2026 · 9 min læsning

Hvis NIS2 føles som endnu et lovkrav, der “bare” skal krydses af, risikerer kommunen at gå glip af den største gevinst: bedre styring af it, højere driftssikkerhed og stærkere samarbejde på tværs.

I denne artikel får du et praktisk overblik over, hvad NIS2 betyder i en kommunal hverdag, hvorfor det ikke kun handler om jura, og hvordan du kan bruge kravene som løftestang til at prioritere rigtigt. Du får også konkrete greb til implementering, typiske faldgruber og realistiske overvejelser om omkostninger, ansvar og dokumentation.

NIS2 i kommunal kontekst: hvad det er, og hvorfor det betyder noget

NIS2 er EU’s direktiv for cybersikkerhed, som stiller skærpede krav til ledelse, risikostyring, hændelseshåndtering og leverandørkontrol i organisationer, der leverer samfundskritiske tjenester. For kommuner er pointen enkel: når digitale løsninger bærer velfærden, bliver sikkerhed og robusthed en del af kerneopgaven.

Direktivet er ikke kun en “it-ting”. Det påvirker alt fra ældrepleje og skoleadministration til udbetalinger, sagsbehandling, planlægning og drift af teknisk infrastruktur. NIS2 flytter ansvaret tydeligere op i ledelsen og kræver, at kommunen kan dokumentere, at man arbejder systematisk med cyberrisici.

Mini-konklusion: NIS2 er bedst forstået som en ramme for ledelses- og driftsdisciplin, ikke som et isoleret compliance-projekt.

Hvorfor kommuner ikke bør se NIS2 som en juridisk byrde

Jeg har set flere organisationer starte NIS2-arbejdet med et “hvad skal vi minimum levere”-mindset. Det giver ofte dyrere løsninger, mere brandslukning og mindre læring. Når man derimod bruger NIS2 som styringsramme, skaber man klarhed over ansvar, prioriteringer og sammenhæng mellem teknologi, processer og serviceleverance.

Kommuner står typisk i et krydspres: mange systemer, mange leverandører, høj offentlighedens forventning og begrænsede ressourcer. NIS2 hjælper med at gøre det legitimt at sige: “Vi skal reducere kompleksitet, standardisere og investere i robust drift,” fordi det nu også er et ledelseskrav.

Fra compliance til styringsværktøj

Det mest værdifulde skift er at gå fra “vi skal have dokumenter” til “vi skal have styring”. Dokumentation er et resultat af styring, ikke omvendt. Et godt NIS2-program gør det nemmere at beslutte, hvilke systemer der må være “best effort”, og hvilke der kræver høj tilgængelighed, redundans og skærpet overvågning.

Hvad er den reelle risiko for kommunen?

I praksis er de mest kritiske konsekvenser sjældent bøder. Det er driftsstop, datatab, tab af borgernes tillid og dyr genopretning. Et ransomware-angreb kan for eksempel lukke adgangen til fagsystemer i dage eller uger, hvilket tvinger nøddrift og manuelle arbejdsgange. Hvis en kommune i en uge skal håndtere 30–60% af sagerne manuelt, bliver “omkostningen” hurtigt både økonomisk og menneskelig.

Mini-konklusion: NIS2 bør måles på reduceret nedetid og bedre beslutningsgrundlag—ikke på antallet af politikker.

NIS2 som løftestang for bedre governance og ledelsesansvar

Et af de mest undervurderede aspekter er, at NIS2 tvinger en mere moden governance. Det betyder typisk: tydelig rollefordeling, faste beslutningsfora og klare krav til risikovurderinger, når der anskaffes nye systemer eller ændres i driften.

Det ledelsen typisk mangler (og NIS2 kan levere)

Mange kommunale ledelser får it- og sikkerhedsrapportering som tekniske statusser: “patchniveau”, “antal alerts”, “antivirus dækning”. NIS2 lægger op til rapportering, der er tættere på drift og kerneydelser: risiko, afhængigheder, prioriteringer og konsekvenser.

  • En risikobaseret servicekatalog-tænkning: Hvilke services er kritiske, og hvad er acceptable nedetider?
  • En beslutningslog: Hvilke risici accepterer vi, og hvorfor?
  • Tydelige ejere af systemer og data (ikke kun tekniske forvaltere).
  • Faste kadencer for review af leverandører, adgangsstyring og beredskab.
  • Enkle KPI’er, der kan forklares i direktion og udvalg.

Det er governance, der gør revision og tilsyn lettere, men som også gør hverdagen mere forudsigelig for it, fagområder og indkøb.

Mini-konklusion: Når ledelsen får sprog og struktur til at styre cyberrisiko, bliver NIS2 et ledelsesværktøj frem for en checkliste.

Robusthed i praksis: hvad kommuner bør prioritere først

Spørgsmålet “hvordan kommer vi i gang?” lander ofte hos it-chefen eller CISO-funktionen. Men de første prioriteringer bør tage udgangspunkt i, hvilke hændelser der rammer kommuner hyppigst: kompromitterede brugere, phishing, sårbarheder i eksterne systemer, fejlkonfigurationer og utilstrækkelig segmentering.

Fem områder, der næsten altid giver hurtig effekt

  1. Adgangsstyring og MFA: Sørg for MFA på alle eksterne adgange og administrative konti, og ryd op i “delte” konti.
  2. Patch- og sårbarhedsstyring: Et enkelt overblik over kritiske sårbarheder og en fast rytme for udrulning.
  3. Backup og gendannelse: Test gendannelse kvartalsvist for de mest kritiske systemer—ikke kun at backup “kører”.
  4. Logning og overvågning: Prioritér de vigtigste datakilder (AD/Azure AD, EDR, mail, netværk) frem for at “logge alt”.
  5. Beredskabsplaner, der kan bruges: Korte runbooks til de 5–10 mest sandsynlige scenarier.

Typiske spørgsmål: hvad koster det?

Omkostningerne varierer voldsomt med modenhed og kompleksitet. Nogle kommuner kan løfte meget gennem standardisering og bedre processer uden store nye licenser. Andre har teknisk gæld, som kræver investeringer. I praksis ser jeg ofte, at de største udgifter ligger i tre poster: oprydning i identiteter og rettigheder, etablering af overvågning/response (internt eller via partner), samt tid til governance, leverandørstyring og øvelser. En nyttig tommelfingerregel er at budgettere både til “platform” (værktøjer) og “muskel” (kompetencer og drift), ellers ender man med hylder af teknologi uden effekt.

Mini-konklusion: Start med det, der reducerer sandsynlighed og konsekvens mest—MFA, backup-test og beredskab er sjældent spildte investeringer.

Samarbejde og leverandørstyring: NIS2 som katalysator

Kommuner er afhængige af leverandører: fagsystemer, driftspartnere, cloud, integrationsplatforme og konsulenthuse. NIS2 lægger vægt på styring af forsyningskæden, hvilket i kommunal verden ofte er det mest udfordrende—fordi der er mange kontrakter, mange systemejere og forskellige indkøbsmønstre.

Et praktisk skridt er at klassificere leverandører efter, hvor kritiske de er for kommunens serviceleverance, og derefter stille differentierede krav. De mest kritiske leverandører bør mødes med faste sikkerhedsreviews, krav til hændelsesrapportering, og klarhed om logadgang, backup-ansvar og RTO/RPO.

Hvis du vil dykke mere ned i, hvordan kommuner konkret kan gribe compliance-arbejdet an, kan du se denne side om NIS2-compliance i kommuner som samler centrale vinkler på lovgivning og praktisk cybersikkerhed.

Kontrakter: de tre klausuler mange mangler

  • Krav til hændelsesvarsling: Tidsfrister, indhold og kontaktveje ved sikkerhedshændelser.
  • Ret til revision/assurance: fx erklæringer, audits eller tredjepartsrapporter.
  • Klart ansvar for data, backup, gendannelse og logtilgængelighed.

Mini-konklusion: Leverandørstyring er ikke papirarbejde—det er en forsikring mod, at en ekstern fejl bliver en kommunal krise.

Hændelsesrapportering og beredskab: det kommunen bliver målt på, når det gælder

NIS2 stiller krav til håndtering og rapportering af hændelser. Men den praktiske udfordring er sjældent at sende en rapport; det er at opdage hændelsen i tide, afgrænse den og kunne forklare, hvad der skete, hvad der er påvirket, og hvad man gør nu.

Her bør kommunen øve sig i at skifte fra “teknisk incident” til “forretningshændelse”: Hvilke services er påvirket? Hvilke borgere? Hvilke deadlines? Hvilke manuelle nødprocedurer findes?

Sådan gør du beredskabet anvendeligt

  1. Hold runbooks korte: 1–2 sider pr. scenarie, med klare beslutningspunkter.
  2. Definér kommunikationsspor: internt, politisk niveau, borgere, leverandører.
  3. Lav en kontaktliste, der vedligeholdes månedligt (ikke årligt).
  4. Øv mindst to gange om året: én teknisk tabletop og én “serviceøvelse”.
  5. Efter hver øvelse: 3 forbedringer, der faktisk implementeres inden 30 dage.

Mini-konklusion: Beredskab er kun værdifuldt, hvis det kan bruges under pres—det kræver øvelse og vedligehold, ikke perfekte ringbind.

De klassiske faldgruber (og hvordan du undgår dem)

NIS2-programmer snubler ofte de samme steder, især i komplekse offentlige organisationer. Her er de mest almindelige fejl, jeg ser, og hvad der typisk virker bedre i praksis.

  • Faldgrube: “IT laver NIS2 alene”. Løsning: Etabler et tværgående forum med it, indkøb, jura, HR, kommunikation og 2–3 fagområder.
  • Faldgrube: Dokumentation før drift. Løsning: Start med 5–7 kontroller, der kan implementeres og måles (MFA, backup-test, patchrytme osv.).
  • Faldgrube: Uklare systemejere. Løsning: Udpeg system- og dataejere pr. kritisk system og giv dem et minimumsansvar, der kan løftes.
  • Faldgrube: “Vi køber et værktøj, så er vi compliant”. Løsning: Match værktøj med proces, kompetencer og driftsmodel.
  • Faldgrube: Leverandørkrav uden opfølgning. Løsning: Fast cadence for leverandørreviews og konkrete målepunkter.

Mini-konklusion: Den hurtigste vej til lav modenhed er at gøre NIS2 til et skrivebordsprojekt—den bedste vej er små, målbare forbedringer med klare ejere.

Best practice: sådan får du et realistisk NIS2-program på 6–12 måneder

Kommuner spørger ofte “hvordan” i en travl virkelighed. Mit mest praktiske råd er at tænke i faser med klare leverancer, hvor hver fase både giver effekt og gør næste fase lettere. NIS2 handler om kontinuerlig forbedring, så “færdig” er ikke målet—styring og drift er.

Fase 1: Overblik og prioritering (0–2 måneder)

Kortlæg 10–20 vigtigste services og de systemer/leverandører, de afhænger af. Lav en simpel risikovurdering: sandsynlighed, konsekvens, eksisterende kontroller. Vælg derefter 5 forbedringer, der kan leveres hurtigt.

Fase 2: Kontroller og drift (2–6 måneder)

Implementér de valgte kontroller og gør dem driftbare: hvem gør hvad, hvornår, og hvordan måles det? Det er her, mange glemmer at bygge rutiner, og derfor falder tilbage efter et halvt år.

Fase 3: Leverandører, beredskab og rapportering (6–12 måneder)

Opgradér leverandørstyring for de mest kritiske kontrakter, gennemfør øvelser, og etabler ledelsesrapportering, der viser udvikling i risiko og robusthed. På dette tidspunkt kan man også begynde at standardisere krav i udbud og rammeaftaler, så NIS2 bliver “indbygget” i fremtidige indkøb.

Mini-konklusion: Et godt NIS2-program føles som bedre drift og klarere prioriteringer—ikke som mere bureaukrati.

Det vigtigste at tage med: NIS2 som kommunal modernisering

NIS2 kan opleves som en juridisk forpligtelse, men den største værdi ligger i at bruge kravene til at modernisere styring, reducere teknisk gæld og skabe et fælles sprog mellem it, fagområder og ledelse. Når kommunen arbejder risikobaseret, bliver det lettere at forklare, hvorfor nogle investeringer er nødvendige, hvorfor standardisering betaler sig, og hvorfor beredskab er en del af god service.

Kommuner, der lykkes med NIS2, gør tre ting konsekvent: de prioriterer de vigtigste services, de gør sikkerhed driftbart med tydelige ejere, og de behandler leverandører som en del af den samlede robusthed. Det er ikke bare compliance—det er bedre kommunal styring.

Anton Kristensen
Anton Kristensen
Skribent & redaktør · NestBox
Anton er boligforfatter og indretningsekspert med passion for moderne hjemmedesign og bæredygtig livsstil. Han hjælper danskere med at skabe funktionelle, smukke hjem, der afspejler deres personlighed.

Relaterede artikler