Spring til indhold

Cybersikkerhed er et direkte ledelsesansvar

17. februar 2026

Hvor informationssikkerhed tidligere ofte var forankret i IT-afdelingen, placerer NIS2 ansvaret tydeligt hos virksomhedens ledelse. Det gælder både bestyrelse og direktion i de virksomheder, der er omfattet af reglerne.

Billede af leder
NIS2 placerer ansvaret for cybersikkerhed direkte hos ledelsen. Er jeres ledelse klar på det nye ansvar?

Erhvervsjuristerne i Dansk Erhverv får i stigende omfang spørgsmål fra medlemmerne, der ønsker vores vurdering af, hvorvidt de er direkte omfattet af reglerne. Vi agerer gerne sparringspartner, men der er gråzoner, og den endelige afgørelse påhviler virksomhederne. 

Er man direkte omfattet af reglerne, bør man vide, at ledelsen er  direkte ansvarssubjekt. Er man ikke direkte omfattet af reglerne (NIS 2- loven), men har alene forpligtet sig kontraktuelt at leve op til NIS 2, er det lidt afhængig af formuleringen i kontrakten, hvor langt forpligtelserne rækker. Er man direkte omfattet af loven gælder følgende:

Ledelsen skal godkende og føre tilsyn
Efter NIS2 –loven skal ledelsesorganet:

  • Godkende virksomhedens foranstaltninger til styring af cyberrisici
  • Føre tilsyn med implementeringen
  • Sikre, at der afsættes tilstrækkelige ressourcer
  • Holde sig opdateret gennem relevant uddannelse

Det er ikke tilstrækkeligt at “notere sig”, at der arbejdes med sikkerhed. Der skal ske reel stillingtagen og dokumenterbart tilsyn f.eks. gennem periodiske ledelsesrapporter, hvor ledelsesorganet får status på de strategiske målsætninger, handleplaner samt udvalgte nøgletal og kontrolmål for enhedens arbejde med cyber- og informationssikkerhed

Sanktioner
Reglerne åbner mulighed for sanktioner ved manglende efterlevelse. For væsentlige enheder (typisk virksomheder, der er væsentlige for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter) kan bøderne udgøre op til 2 % af den globale årlige omsætning eller 10 mio. Euro.  Hverken direktivet eller den danske NIS 2 lov indeholder dog bestemmelser, der giver adgang til at idømme ledelsen personlige bøder. Men en tilsidesættelse af ens forpligtelser kan medføre et personligt erstatningsansvar overfor evt. skadelidte.

Cybersikkerhed bør derfor behandles på linje med økonomistyring, compliance og ESG – som et fast punkt på ledelsens dagsorden.

Dokumentation er afgørende
Ved tilsyn vil myndighederne efterspørge dokumentation for:

  • Risikovurderinger
  • Beslutninger truffet på ledelsesniveau
  • Opfølgning på identificerede risici
  • Intern rapportering

Det er ikke selve cyberhændelsen, der nødvendigvis udløser sanktioner – men manglende styring og manglende ledelsesmæssig forankring.

Du kan foretage en gratis test hos D-mærket, for at se, om du er nogenlunde NIS 2 parat.

Hvad bør ledelsen gøre nu?

Ledelsen bør som minimum:

  1. Få afklaret, om virksomheden er omfattet af NIS2
  2. Sikre en struktureret rapportering om cyberrisici
  3. Behandle og godkende virksomhedens sikkerhedsramme
  4. Dokumentere tilsyn og opfølgning

Du kan læse mere om ledelsesansvaret i følgende dokument fra Samsi

Dansk Erhvervs NIS2-vejledning

Den 1. juli 2025 trådte NIS2-loven i kraft. Dermed skal it-sikkerhed nu forankres i topledelsen, der skal dokumentere sin indsats og tage ansvar. Bliv klogere på de nye cybersikkerhedskrav her.

Er min organisation omfattet af NIS2?

Både virksomheder, offentlige forvaltningsenheder og andre organisationer (offentlige såvel som private enheder) kan blive omfattet af NIS2, hvis de opfylder tre overordnede og kumulative betingelser. De overordnede NIS2-krav og pligter er de samme uanset hvilken type juridisk enhed, der er tale om. I denne vejledning benyttes alene begrebet ”virksomhed” om de enheder, der kan blive omfattet af NIS2.

Kontakt

Handel

Sven Petersen

Erhvervsjuridisk fagchef

Medarbejderprofil