Hvis jeres kunder hører til de virksomheder der er omfattet af NIS2-direktivet, så bliver I selv berørt indirekte. Mange SMV opdager det først når der lander et 12-siders sikkerhedsspørgeskema fra deres største kunde. Her er hvad I bliver spurgt om — og hvordan I forbereder jer uden at lave det til et compliance-mareridt.

Jeg sidder hver uge med danske SMV der pludselig får et brev fra en stor kunde — typisk en kommune, en region, en bank, en energi- eller telekomvirksomhed — med et "leverandørrisikospørgeskema" eller en "NIS2-leverandørerklæring". Det er ikke fordi kunden vil chikanere jer. Det er fordi de selv er omfattet af NIS2 og skal dokumentere at deres leverandørkæde er forsvarlig.

Den gode nyhed: hvis I har styr på det grundlæggende, kan I svare ja til 80-90% af spørgsmålene. Den dårlige nyhed: hvis I ikke kan svare, eller hvis I svarer dårligt, så risikerer I at miste kunden eller blive presset til større ændringer end nødvendigt.

Hvorfor jeres kunde overhovedet spørger

NIS2 stiller krav om "leverandørkædehåndtering" som et af de centrale emner i Artikel 21. Det betyder at en NIS2-omfattet virksomhed skal kunne dokumentere at de har vurderet og styrer den risiko deres leverandører introducerer.

I praksis betyder det at hvis I leverer noget til en NIS2-virksomhed der har adgang til deres systemer, data eller forretningskritiske processer, så skal de stille krav til jer. Det gælder uanset om I er deres IT-leverandør, deres rengøringsfirma med adgang til kontoret, deres rådgivere med adgang til finansdata, eller bare en af deres mange SaaS-leverandører.

Tag fx en mindre dansk SaaS-virksomhed med 15 ansatte der leverer en HR-løsning til en større kommune. Kommunen er omfattet af NIS2. SaaS-virksomheden er sandsynligvis ikke selv omfattet — men kommunen kan og skal stille krav til dem som leverandør. Det er den indirekte effekt der rammer SMV i 2026.

"Det handler ikke om at jeres SMV er omfattet af NIS2. Det handler om at jeres kunde er — og deres compliance bliver jeres opgave at understøtte."

De 8 spørgsmål I oftest bliver bedt om at svare på

Spørgeskemaerne varierer i format men dækker de samme grundtemaer. Her er hvad jeg ser på tværs af de skemaer mine kunder modtager:

  1. Har I en informationssikkerhedspolitik godkendt af ledelsen? — det betyder ikke en 80-siders rapport. Det betyder et 2-4 siders dokument hvor ledelsen anerkender ansvar, definerer scope og udpeger ansvarlige.
  2. Har I implementeret multi-factor authentication (MFA) på alle administrative konti? — det er hygiejne i 2026. Hvis svaret er nej, fix det først.
  3. Har I et procedure for at håndtere sikkerhedshændelser? — hvad gør I når der sker noget? Hvem ringer hvem? Hvor hurtigt rapporterer I til kunden?
  4. Hvor ofte tager I backup, og hvornår testede I sidst restore? — backup uden test er ikke backup. Mange spørgeskemaer er specifikke om det.
  5. Har I en awareness-træning for medarbejderne? — minimum årligt, helst hyppigere. Awareness-træning er et NIS2-krav.
  6. Hvordan håndterer I leverandører med adgang til vores data? — ja, det er spørgsmålet om at I også har leverandører med ansvar for deres egne underleverandører.
  7. Hvilke certificeringer eller tilsyn underlægger I jer? — ISO 27001 er guld her. NIS2DTP, CIS18-mapping, eller bare en intern GAP-analyse er også relevant.
  8. Hvor er jeres data hostet, og hvilke tredjelande er involveret? — GDPR-overlap. Hvis I bruger US-baserede skytjenester, skal det dokumenteres.

Hvad I gør i praksis hvis I får et spørgeskema i dag

1. Læs det først, panik bagefter (eller helst ikke)

De fleste spørgeskemaer ser overvældende ud, men 70% af spørgsmålene har I sandsynligvis allerede svar på. Brug en eftermiddag på at gennemgå det og marker hvad I kan svare ja på, hvad I delvist kan svare på, og hvad I helt mangler.

2. Vær ærlig — ikke optimistisk

Det er fristende at krydse "ja" alle steder for at virke kompetent. Men kontrakter har typisk en klausul om at falske oplysninger kan medføre opsigelse og erstatningsansvar. Skriv "delvist" eller "ikke implementeret men planlagt med deadline X" hvis det er sandheden. Kunderne respekterer det.

3. Prioritér det der ryger først

Hvis I mangler MFA, en sikkerhedspolitik og awareness-træning — start med MFA. Det er teknisk implementerbart inden for en uge og dækker den absolut hyppigste angrebsvektor. De andre kan komme i en anden iteration.

4. Brug spørgeskemaet som gratis konsulentrapport

Spørgeskemaet er reelt en udefra-checkliste på jeres setup. Brug det som arbejdsgrundlag for jeres egen sikkerhedsstrategi — ikke kun som et compliance-dokument I lægger i skuffen.

Praktisk tip

Lav et "leverandørbesvarelses-dokument" som I genbruger. Næste gang en anden NIS2-kunde sender et spørgeskema, kan I copy-paste 80% af svarene. Det sparer en eftermiddag pr forespørgsel.

Hvad jeres kunde egentlig vil have

Det er let at læse spørgeskemaet som "kunden vil bevise at vi er dårlige". Det er forkert. Hvad de virkelig vil have, er dokumentation de selv kan bruge over for deres tilsynsmyndighed.

Når en kompetent tilsynsmyndighed (typisk Styrelsen for Samfundssikkerhed for kommuner) kommer på besøg og spørger "hvordan vurderer I jeres leverandører?", skal kommunen kunne fremvise jeres svar. Hvis svaret er "vi har en proces, og her er det udfyldte skema fra ITNU", er der ro på.

Det betyder også at hvis I gør jeres svar nemt at bruge for kunden — strukturerede svar, klar dokumentation, eventuelt vedlagte beviser — så er I en bedre leverandør end den der skriver vage halvkommentarer. I kan faktisk vinde forretning på at være den rolige, professionelle leverandør i en kategori hvor de fleste roder med det her.

NIS2 kommer også indirekte gennem ISO 27001-krav

Mange spørgeskemaer henviser ikke direkte til NIS2 — i stedet beder de om "ISO 27001-konform" eller "CIS18-implementering". Det er fordi de samme kontroller ofte dækker NIS2 Artikel 21-kravene.

Det vil sige: hvis I bygger op efter ISO 27001 eller CIS18, så er I i god form til at svare på næsten ethvert NIS2-relateret spørgeskema. I et tidligere indlæg har jeg skrevet om hvad SMV bør vælge.

Hvor meget skal I egentlig gøre?

Det korte svar: nok til at I kan svare ærligt og pænt på spørgeskemaet, og nok til at jeres kunde ikke føler sig nervøs ved at have jer som leverandør. Det er ikke det samme som at I skal være ISO 27001-certificeret med 87 kontroller dokumenteret.

Mit råd til SMV der får det første spørgeskema: lav en intern GAP-analyse efter CIS18 (Implementation Group 1 — det basale niveau). Det giver jer:

  • Et overblik over hvor I står
  • En prioriteret liste over hvad I skal flytte først
  • Dokumentation der kan vedlægges spørgeskemaer fremover
  • Et fundament I kan vokse fra hvis flere NIS2-kunder kommer til

Det er typisk en uges arbejde for en SMV med 10-30 ansatte og helt overskueligt at vedligeholde løbende.

Vil I have hele NIS2-overblikket?

Min søsterside har en grundig artikel om NIS2 krav i Danmark — hvad direktivet er, hvem der er omfattet, og hvad ledelsen er ansvarlig for. Det er den fulde guide hvis I vil dybere ned i regelteksten.

Hvad jeg ofte ser i praksis

Når jeg starter en GAP-analyse hos en SMV der lige har fået det første NIS2-spørgeskema, ser jeg typisk det samme mønster:

  • MFA er aktiveret på admin-konti — godt. På almindelige brugerkonti? Ikke altid.
  • Backup tages — typisk dagligt eller ugentligt. Test af restore? Sjældent dokumenteret.
  • Awareness-træning — sjældent struktureret. Ofte "vi snakker om phishing engang imellem".
  • Sikkerhedspolitik — eksisterer typisk ikke som dokument, kun som "sådan plejer vi at gøre det".
  • Hændelseshåndtering — uskreven. "Vi ringer til IT, så fixes det."

Det er ikke katastrofalt. Det er bare uskrevne procedurer der skal gøres skriftlige og let-ditto. Når den dokumentation først er på plads, kan I svare hurtigt på fremtidige spørgeskemaer og fokusere på faktiske forbedringer i stedet for at jagte papirarbejde.

Hvad I IKKE skal gøre

To fælder jeg ser folk falde i:

1. Overinvestering. En SMV med 12 ansatte behøver ikke ISO 27001-certificering for at være en god NIS2-leverandør. Det koster typisk 200.000+ kr og 6-12 måneders arbejde. Spørg jeres kunde hvad de faktisk har brug for at se — typisk er en CIS18 IG1-implementering nok.

2. Underinvestering / udskydelse. Det er nemt at sige "vi venter med det her til vi har tid". Realiteten er at NIS2-tilsynet kører nu, og store kunder bliver presset af deres myndighed til at få styr på leverandørkæden. Hvis I venter, taber I ordrer.

Den balancerede tilgang er en fokuseret indsats over 2-3 måneder hvor I implementerer det essentielle og dokumenterer det. Derefter løbende vedligeholdelse.

Hvis I står med et spørgeskema

Jeg hjælper SMV med at lave systematiske besvarelser af leverandør-spørgeskemaer og bygge det dokumentations-fundament der gør det nemt næste gang. Skriv eller ring hvis I står med et spørgeskema og er i tvivl om hvor I skal starte.