NIS2 er et lovkrav for visse virksomheder. ISO 27001 er en frivillig international standard. De overlapper 70-80% i hvad de kræver — men valget mellem dem (eller kombinationen af begge) er afgørende for hvordan I bruger jeres tid og budget. Her er min ærlige anbefaling til danske SMV.

Jeg får ofte spørgsmålet fra SMV-ejere: "Vi vil gerne have styr på vores informationssikkerhed — skal vi gå efter ISO 27001 eller forberede os til NIS2?" Det er det forkerte spørgsmål. Det rigtige er: hvilken kombination af de to giver mening for jeres situation, jeres kunder og jeres ressourcer?

Begge rammer dækker det samme grundlæggende mål: at I har styr på informationssikkerheden. Men de tjener forskellige formål, har forskellig formel status, og koster meget forskelligt at implementere. Lad os tage dem en ad gangen.

Hvad er forskellen kort fortalt?

NIS2 er et EU-direktiv implementeret i dansk ret. Det er en lov. Hvis I er omfattet, skal I efterleve den — der er ikke noget "frivilligt" element. Tilsynet er offentligt (Center for Cybersikkerhed og sektorspecifikke myndigheder), og overtrædelse kan udløse betydelige bøder samt personligt ansvar for ledelsen.

ISO 27001 er en international standard for informationssikkerhedsstyringssystemer (ISMS). Den er frivillig — I vælger selv om I vil certificeres. Tilsynet er kommercielt: I betaler et certificeringsorgan for at auditere jer. Mange virksomheder bruger ISO 27001 til at signalere modenhed til kunder, partnere og forsikringsselskaber.

"NIS2 er noget der bliver krævet af jer. ISO 27001 er noget I selv vælger. Begge dele kan være rigtige — men af forskellige grunde."

Hvor overlapper de?

Det meste. Hvis I implementerer ISO 27001 ordentligt, har I dækket 80-90% af NIS2 Artikel 21-kravene. Begge rammer kræver:

  • Risikohåndtering — formel proces til at identificere og prioritere trusler
  • Adgangskontrol og MFA
  • Hændelseshåndtering og rapportering
  • Backup og forretningskontinuitet
  • Awareness-træning
  • Leverandørstyring
  • Kryptografi og databeskyttelse
  • Logning og overvågning

Den væsentlige forskel: NIS2 har specifikke krav om rapportering af hændelser til myndighederne (24 timers tidlig advarsel, 72 timers fuld rapport). ISO 27001 kræver at I har en proces, men ikke at den ender hos en myndighed. Hvis I er NIS2-omfattet, er den proces lovpligtig — uanset om I også har ISO 27001.

Hvad koster det?

Tallene varierer voldsomt afhængigt af jeres størrelse og udgangspunkt, men her er en realistisk indikation for en SMV med 15-30 ansatte:

NIS2-efterlevelse (uden certificering)

  • Implementering: typisk 100.000-300.000 kr i konsulenttid + intern indsats
  • Løbende drift: 30.000-80.000 kr om året i værktøjer, dokumentation og review
  • Tidsforbrug intern: en deltids-rolle på 5-10% af én medarbejder
  • Tilsyn: gratis (myndigheden kommer hvis de vil — I betaler ikke)

ISO 27001-certificering

  • Implementering: typisk 200.000-500.000 kr i konsulenttid + intern indsats
  • Certificeringsaudit: 50.000-150.000 kr (3-årig cyklus med årlige overvågningsaudits)
  • Løbende drift: 60.000-150.000 kr om året
  • Tidsforbrug intern: 10-20% af én medarbejder
  • Recertificering: hvert 3. år

ISO 27001 er typisk 2-3 gange dyrere end ren NIS2-efterlevelse, fordi I skal betale et eksternt audit og opretholde et formelt ISMS med dokumentation der står til 100% gennemgang.

Hvilken passer til jeres situation?

Scenario A: I er NIS2-omfattet (væsentlig eller vigtig enhed)

Jeres beslutning er ikke "om". Den er taget for jer — I skal efterleve NIS2. Spørgsmålet er om I derudover også skal certificeres efter ISO 27001.

Min anbefaling: begynd med NIS2-efterlevelse. Brug 6-12 måneder på at få det basale på plads. Vurder derefter om ISO 27001 giver yderligere værdi — typisk relevant hvis I sælger til virksomheder der spørger til certificering, eller hvis I har et internationalt setup hvor ISO er den fælles standard.

Scenario B: I er IKKE NIS2-omfattet, men har NIS2-omfattede kunder

Det her er den mest almindelige situation for danske SMV. I leverer til en kommune, region, hospital, bank eller stor produktionsvirksomhed. De er omfattet — I er ikke direkte, men I bliver pålagt krav indirekte.

Min anbefaling: implementer CIS18 Implementation Group 1 + dokumentér det. Det er langt billigere end ISO 27001 (typisk 50.000-150.000 kr) og dækker 70-80% af det jeres kunder spørger om. Læs hvordan I bedst svarer på leverandør-spørgeskemaer.

Hvis presset stiger og flere kunder begynder at kræve ISO 27001-certificering, kan I altid op-skalere. Men start ikke med ISO 27001 hvis ingen specifikt har bedt om det.

Scenario C: I er hverken NIS2-omfattet eller har NIS2-kunder

Det er sjældent for B2B i Danmark, men det forekommer — særligt for SMV der primært sælger til private eller små virksomheder.

Min anbefaling: implementer det basale (MFA, backup, awareness, hændelseshåndtering) ud fra CIS18 IG1. Glem certificeringer. Brug pengene på faktisk sikkerhed i stedet for papirarbejde.

Den pragmatiske tredje vej: CIS18 som fundament

Center for Internet Security har lavet et framework — CIS Controls v8 — der er tænkt som en konkret implementeringsguide. Det er gratis at bruge, det er praktisk frem for abstrakt, og det mapper direkte til både NIS2 Artikel 21 og ISO 27001.

Mit konkrete råd til de fleste SMV: byg op efter CIS18 IG1 (det basale niveau med 18 kontroller og ca. 56 safeguards). Det giver jer:

  • Et konkret roadmap med teknisk specificerede tiltag
  • Dokumentation der dækker NIS2 Artikel 21
  • Et fundament til ISO 27001 hvis det senere bliver relevant
  • Sammenlignelighed med andre virksomheder (CIS-scoren er kendt og respekteret)

Det er den vej jeg anbefaler i mine GAP-analyser, og det er den vej de fleste danske SMV burde gå hvis de ikke er presset til ISO 27001 af en specifik kunde.

Vigtig pointe

Du behøver ikke vælge mellem NIS2 og ISO 27001 som om det var et enten/eller. De fleste SMV bør først efterleve NIS2 (hvis omfattet) eller CIS18 IG1 (hvis ikke), og kun overveje ISO 27001 når kunde- eller markedspresset specifikt kræver det.

Hvad ledelsen skal forstå

Uanset hvilken vej I går, har NIS2 personligt ledelsesansvar der ikke gælder ISO 27001. Direktionen kan bøde- og strafansvaret hvis NIS2-overtrædelser dokumenteres. Det er en helt anden risikoprofil end ISO 27001 hvor "værste fald" er at I mister certificeringen.

Det betyder også at NIS2 er en ledelsesopgave mere end en IT-opgave. Mange tror det modsatte. Hvis ledelsen ikke prioriterer NIS2, kan IT-afdelingen ikke kompensere — fordi en stor del af kravene handler om governance, risikohåndtering og ressourceallokering, ikke om tekniske kontroller.

Min anbefaling i én sætning

Hvis I er NIS2-omfattet: efterlev NIS2 først, brug CIS18 som implementeringsguide, og overvej ISO 27001 senere hvis markedspresset kræver det. Hvis I ikke er NIS2-omfattet men har NIS2-kunder: implementer CIS18 IG1 og dokumentér det — det er den hurtigste og billigste vej til at kunne besvare leverandør-spørgeskemaer pænt.

Vil I have hele NIS2-overblikket først?

Hvis I er ny til NIS2 og vil have grundlaget på plads, har jeg skrevet en grundig guide på min søsterside: NIS2 krav i Danmark — hvad din virksomhed skal gøre nu. Den dækker hvem der er omfattet, hvad kravene betyder, og hvad ledelsen er ansvarlig for.

Hvad jeg gør i praksis hos kunder

Når jeg starter et NIS2- eller ISO-forløb hos en SMV, går vi typisk gennem fire faser:

1. GAP-analyse (2-4 uger)

Jeg laver en struktureret gennemgang efter CIS18 og NIS2 Artikel 21. I får en score, en prioriteret handlingsplan og dokumentation I kan vise frem. Det er ikke en 80-siders rapport — det er konkret og handlingsorienteret.

2. Akut hygiejne (1-3 måneder)

De ting der skal fikses NU: MFA på alt, dokumenteret backup-test, sikkerhedspolitik, hændelseshåndteringsproces. Typisk 60-70% af det totale arbejde, og det giver målbar risikoreduktion fra dag ét.

3. Strukturel modenhed (3-9 måneder)

Awareness-program, leverandørvurderinger, systematisk risikohåndtering, dokumentation der står til revisor. Det er arbejdet der gør jer audit-klar.

4. Vedligeholdelse (løbende)

Kvartalsvis review, årlig opdatering af risikovurdering, løbende awareness-træning. Det er aldrig "færdigt", men det bliver ikke mere arbejde end nødvendigt.

Skal I i gang?

Hvis I er i tvivl om hvor I står, eller hvilken vej der er rigtig for jer, kan jeg lave en GAP-analyse der giver jer et ærligt billede uden snake oil. Skriv eller ring for en uforpligtende samtale.