NIS2 øger presset på kommunernes leverandører

NIS2, der trådte i kraft i Danmark 1. juli 2025, er EU’s svar på et stigende og mere komplekst trusselsbillede i den digitale verden. Formålet er, at gøre samfundskritiske organisationer mere modstandsdygtige over for cyberangreb og driftsforstyrrelser. Det betyder, at udpegede organisationer – herunder forsyningsområder og andre kritiske funktioner med kommunal tilknytning – skal leve op til konkrete krav til styring af informations- og cybersikkerhed.

Et centralt element i NIS2 er kravet om øget kontrol med underleverandører, især på IT-området. Kommuner og forsyningsselskaber skal kunne dokumentere, at deres leverandører lever op til de samme sikkerhedskrav.

”Når en organisation bliver omfattet af NIS2, skal den føre et tættere tilsyn med sine underleverandører. Det gælder især virksomheder, der leverer IT-tjenester eller software,” forklarer Simon Okkels, partner i Inforevision.

Revision skaber gennemsigtighed

For at skabe den nødvendige dokumentation anvendes særlige revisionserklæringer, hvor en uafhængig part vurderer, om leverandøren lever op til de relevante krav. Det er et af de områder, som Inforevision arbejder med.

En typisk løsning er en såkaldt ISAE 3000 NIS2-erklæring, hvor Inforevision i samarbejde med egne specialister i IT-drift, softwareudvikling og cybersikkerhed gennemgår organisationens processer, kontroller og risikostyring. Formålet er ikke kun kontrol, men også at sikre tillid til leverandørkæderne.

”Når der bliver bedt om en revisionserklæring, og nogen kigger organisationen efter i sømmene, så bliver der typisk sat ekstra fokus og ressourcer på området. Der er fastlagt nogle klare rammer for, hvad det er, vi skal kontrollere,” siger Simon Okkels.

Hvis erklæringen indeholder forbehold eller bemærkninger, kan de skabe spørgsmål i samarbejdet med kunder og samarbejdspartnere. Erklæringen motiverer derfor virksomhederne til at tage overholdelsen alvorligt.

Når en organisation bliver omfattet af NIS2, skal den føre et tættere tilsyn med sine underleverandører. Det gælder især virksomheder, der leverer IT-tjenester eller software.

Simon Okkels, partner i Inforevision.

Ledelsen er afgørende

Selv om manglende efterlevelse på sigt kan føre til påbud eller bøder, er fokus i første omgang på at få arbejdet forankret i organisationerne. Erfaringen er, at indsatsen kun lykkes, hvis cybersikkerhed er et ledelsesansvar – ikke blot en teknisk opgave.

”Det fungerer bedst de steder, hvor ledelsen stiller krav og løbende efterspørger, hvor godt organisationen er rustet. Hvis arbejdet kun ligger længere nede i organisationen, er der en risiko for, at det bliver nedprioriteret,” siger Simon Okkels.

Han understreger, at cybersikkerhed ikke er en engangsøvelse. Organisationer skal løbende vurdere deres risikobillede og sikre, at der findes et ledelsessystem, som holder indsatsen i live – også når medarbejdere eller teknologier skifter. Trusselsbilledet udvikler sig hurtigt, blandt andet i takt med nye teknologier som kunstig intelligens. Derfor bygger NIS2 på en risikobaseret tilgang, hvor organisationer løbende skal tilpasse deres sikkerhedsniveau til aktuelle trusler.

”NIS2 sætter fokus på vigtigheden at have en stærk fokus på cybersikkerhed i egen organisation og hos leverandørerne. Her kan revisionserklæringerne være med til at skabe tillid i samarbejdet. Men det kræver altså, at leverandørerne lever op til kravene, og her er ledelsens fokus altafgørende,” understreger Simon Okkels.