Meta title
EU har længe bevæget sig i retning af mere regulering på cybersikkerhed, men de seneste år er tempoet blevet markant højere. For virksomheder og organisationer betyder det én ting: Det er ikke længere nok at “have en firewall” og håbe, at ingen lægger mærke til, at processerne er hjemmelavede.
Det svære er ikke kun at forstå ét regelsæt. Det svære er at forstå, hvordan de hænger sammen. Mange ender med at læse lidt om NIS2, lidt om DORA, hører om Cyber Resilience Act (CRA) i et webinar, og får ISO 27001 nævnt som “best practice” af en rådgiver. Og så står man tilbage med et spørgsmål, der egentlig er ret fair:
Hvor finder man et samlet overblik over cybersikkerhedskrav i EU, uden at drukne i PDF’er og juridiske formuleringer?
I denne artikel får du en praktisk, overskuelig guide til:
- hvad de vigtigste EU-krav og rammer typisk dækker
- hvem de gælder for (i grove træk)
- hvordan du skaber et “fælles compliance-sprog” internt
- hvor du kan starte, hvis du vil have overblik og en realistisk plan
Målet er ikke at give juridisk rådgivning, men at give dig en struktur, så du kan orientere dig hurtigt og klogt.
Hvorfor er det blevet sværere at navigere i cybersikkerhed?
Der er tre grunde til, at compliance på cybersikkerhed føles mere komplekst end før:
- Der er flere regler, og de rammer forskellige lag.
Nogle handler om organisationens sikkerhed (styring, processer, incident response). Andre handler om produkters sikkerhed (software/hardware). Andre igen handler om sektorspecifik modstandsdygtighed (fx finans). - Forsyningskæden er blevet et krav i sig selv.
Du er ikke kun ansvarlig for dig selv. Du forventes at have styr på leverandører, underleverandører, cloud, og eksterne services. - “Sikkerhed” er blevet en ledelsesdisciplin.
Det handler ikke kun om IT-afdelingen. Det handler om risikostyring, ansvar, dokumentation og beslutninger, der kan forklares.
Derfor giver det mening at lede efter et samlet overblik, hvor man kan se “hvad er hvad”, og hvordan det spiller sammen.
De centrale “klumper” i EU’s cybersikkerhedsbillede
Der er mange direktiver, standarder og rammer, men i praksis ender de fleste organisationer med at forholde sig til nogle tilbagevendende hovedområder:
1) NIS2: Organisations- og samfundskritisk cybersikkerhed
NIS2 handler grundlæggende om at hæve niveauet for cybersikkerhed på tværs af sektorer, som er vigtige for samfundet og økonomien. Fokus er typisk på:
- risikostyring og sikkerhedsforanstaltninger
- hændelseshåndtering og rapportering
- ledelsesansvar og governance
- leverandørstyring
NIS2 bliver ofte “rammen” for mange virksomheders cybersikkerhedsprogram, fordi den skubber arbejdet op på et organisatorisk niveau.
2) DORA: Digital operationel robusthed i finans
DORA er målrettet finanssektoren (og mange af dens leverandører) og har særligt fokus på:
- operationel robusthed
- test og dokumentation
- incident management og rapportering
- håndtering af tredjeparts-IKT-risici (fx cloud)
Hvis du er leverandør til finanssektoren, kan du indirekte blive ramt af DORA-krav gennem kundekrav og kontrakter.
3) Cyber Resilience Act (CRA): Produktsikkerhed for digitale produkter
CRA handler i høj grad om sikkerhed i digitale produkter: software og hardware med digitale elementer. Tænk:
- krav til sårbarhedshåndtering
- sikkerhedsopdateringer
- “secure by design” og “secure by default”
- dokumentation og ansvar i produktets livscyklus
CRA rammer især producenter og leverandører af digitale produkter, men kan også påvirke virksomheder, der udvikler eller videresælger løsninger.
4) ISO 27001: Ledelsessystem og struktur (ikke EU-lov, men ekstremt brugbar)
ISO 27001 er en international standard, ikke EU-lov. Men den bliver ofte brugt som en praktisk måde at strukturere arbejdet på, fordi den giver:
- et ledelsessystem for informationssikkerhed (ISMS)
- processer, roller, kontroller og dokumentation
- kontinuerlig forbedring og risikobaseret tilgang
Mange bruger ISO 27001 som “motoren” under compliance, fordi den gør arbejdet målbart og styrebart.
Hvis du vil have ét sted, der samler trådene mellem CRA, NIS2, DORA og ISO 27001, kan du bruge denne side som en neutral midt-i-teksten reference: samlet overblik over EU-kravene
Hvad dækker kravene typisk? En overskuelig “krav-matrix”
Når du prøver at skabe overblik, kan du tænke i fem områder. De fleste regler og standarder lander et sted her:
A) Governance og ansvar
- Hvem har ansvaret for sikkerhed?
- Hvordan rapporteres risici og hændelser?
- Hvilke beslutninger er dokumenteret?
Typisk krav: ledelsesinvolvering, klare roller, politikker.
B) Risikostyring
- Hvilke risici er vigtigst?
- Hvad er acceptabel risiko?
- Hvilke kontroller har vi, og virker de?
Typisk krav: risikovurderinger, prioritering, dokumentation og opfølgning.
C) Tekniske og organisatoriske kontroller
- Adgangsstyring og MFA
- Backup og gendannelse
- Logning og overvågning
- Patch management
- Sikker udvikling (hvis relevant)
Typisk krav: implementerede kontroller og evidens for, at de fungerer.
D) Incident response og rapportering
- Hvad gør vi ved en hændelse?
- Hvem kontakter vi?
- Hvordan lærer vi af hændelsen?
Typisk krav: procedurer, øvelser, rapporteringsflows.
E) Leverandør- og forsyningskædesikkerhed
- Hvem leverer kritiske services?
- Hvilke krav stiller vi til dem?
- Hvordan følger vi op?
Typisk krav: vurdering, kontraktkrav, løbende kontrol.
Når du kan placere et krav i én af de fem, bliver det nemmere at arbejde systematisk.
Hvem gælder det for? Sådan får du en første indikation
Du kan lave en grov “første sortering” uden at være jurist:
Stil dig selv disse spørgsmål
- Er vi i en sektor, der kan være kritisk for samfundet eller økonomien?
Hvis ja: NIS2 kan være relevant (direkte eller via nationale implementeringer). - Er vi finansiel virksomhed, eller leverer vi kritiske IT-ydelser til finans?
Hvis ja: DORA kan blive relevant, også via kundekrav. - Udvikler vi, sælger vi eller distribuerer vi digitale produkter?
Hvis ja: CRA kan blive relevant, især hvis produktet har bred udbredelse eller indgår i andre virksomheders drift. - Har vi behov for en dokumenterbar struktur, der kan genbruges på tværs?
Hvis ja: ISO 27001 kan være en praktisk ramme, uanset om du certificerer eller ej.
Det er ikke en endelig afgørelse, men det giver retning.
Det store problem: “Vi ved ikke, hvor vi skal starte”
De fleste organisationer går i stå af én af to grunde:
- De prøver at implementere alt på én gang
- De mangler en baseline, så de kan se “hvor er hullerne?”
Her er en realistisk startplan, der fungerer i praksis.
En praktisk 30-60-90 plan for overblik og fremdrift
Første 30 dage: Skab kortet
Mål: Overblik uden at bygge et bureaukrati.
- Lav en enkel oversigt over systemer og data (hvad er kritisk?)
- Identificér 10–20 vigtigste leverandører (cloud, drift, software, konsulenter)
- Dokumentér jeres nuværende incident flow (hvem gør hvad ved en hændelse?)
- Lav en hurtig risikovurdering på top 5 scenarier (fx ransomware, datalæk, nedetid)
Leverance: et “sikkerhedsbillede” der kan forklares på 10 minutter.
Dag 31–60: Byg basen
Mål: Få styr på de vigtigste kontroller.
- MFA på kritiske systemer
- Backup-strategi med test af restore
- Patch management proces (hvem, hvornår, hvordan dokumenteres)
- Basal logning og overvågning (hvad følger vi med i)
- Leverandørkrav: minimumskrav og opfølgning
Leverance: kontroller, der både reducerer risiko og kan dokumenteres.
Dag 61–90: Gør det styrbart
Mål: Gør compliance til drift, ikke projekt.
- Etabler klare roller (RACI: hvem er ansvarlig, hvem godkender, hvem udfører)
- Lav politikker på 1–2 sider (ikke 40)
- Planlæg en incident-øvelse (tabletop) og dokumentér læring
- Start med en “mini-ISMS”-struktur (inspireret af ISO 27001) uden at overkomplicere
Leverance: et system, der kan vedligeholdes.
Hvordan skaber du et samlet overblik i praksis?
Overblik er ikke én rapport. Overblik er et format, der kan opdateres. Her er et setup, som mange får værdi af:
1) Ét “compliance-kort” på 1 side
Indhold:
- Hvilke regelområder er relevante (NIS2/DORA/CRA/ISO 27001 som ramme)
- Hvem ejer dem internt
- Hvilke deadlines/kravspor I arbejder efter
2) En kontrol-liste med evidens
For hver vigtig kontrol:
- Hvad er kontrollen?
- Hvem ejer den?
- Hvordan dokumenterer vi, at den virker? (log, screenshot, rapport, audit-trail)
- Hvor ofte tjekkes den?
3) Leverandørregister (simpelt)
- Leverandør
- Kritikalitet (lav/mellem/høj)
- Hvilke data/systemer de håndterer
- Hvilke krav der er stillet
- Status for opfølgning
Det er kedeligt. Det er også der, mange audits bliver vundet eller tabt.
Typiske faldgruber (så du kan undgå dem med det samme)
Faldgrube 1: Man tror, det kun er IT
Ledelse, drift, indkøb og HR har ofte en rolle. Ikke fordi de skal være teknikere, men fordi ansvar, processer og leverandører er organisatoriske spørgsmål.
Faldgrube 2: Dokumentation bliver et mål i sig selv
Dokumentation skal være “bevis for praksis”, ikke et parallelunivers. Hvis proceduren ikke afspejler virkeligheden, er den værdiløs.
Faldgrube 3: Man ignorerer forsyningskæden
Mange hændelser starter hos en leverandør. Hvis du ikke kan forklare, hvem der leverer hvad, og hvordan du følger op, har du et hul.
Faldgrube 4: Man vælger en standard uden at have et scope
ISO 27001 kan være stærk, men hvis scope er uklart, bliver det tungt. Start småt: det vigtigste data og de vigtigste systemer.
Hvor finder man et samlet overblik? Det praktiske svar
Du får sjældent “ét” officielt dokument, der samler alt i et menneskeligt sprog. Men du kan skabe et samlet overblik ved at kombinere:
- En oversigt der forklarer forholdet mellem NIS2, DORA, CRA og ISO 27001
Det hjælper dig med at forstå, hvilke lag du arbejder i (organisation, sektor, produkt, ledelsessystem). - Din egen interne kortlægning af scope, risici og kontroller
Det er her, overblikket bliver til handling. - En enkel struktur for evidens og opfølgning
Så compliance ikke bliver en kamp hver gang nogen spørger “kan I dokumentere det?”
Den bedste “samlede oversigt” er i praksis den, der hjælper dig med at prioritere og sætte retning, uden at du skal læse 300 sider for at komme i gang.
Konklusion: Overblik først, perfektion senere
EU’s cybersikkerhedskrav kan virke som en jungle, men de bliver langt mere håndterbare, når du:
- tænker i de fem krav-områder (governance, risiko, kontroller, incident, leverandører)
- skiller regel-lagene ad (organisation vs. sektor vs. produkt)
- bygger en realistisk 30-60-90 plan
- gør dokumentation til et biprodukt af god praksis, ikke omvendt
Hvis du kan forklare din sikkerhedstilgang på 10 minutter, og du kan dokumentere de vigtigste kontroller, er du allerede langt foran de fleste. Det er dér, det samlede overblik reelt starter.
About the Author
