1. Abion
  2. /
  3. Insights & News
  4. /
  5. NIS2 & DORA: Nu er bestyrelsen direkte ansvarlig for cybersikkerhed

NIS2 & DORA: Nu er bestyrelsen direkte ansvarlig for cybersikkerhed

  • Domains
  • Websecurity
NIS2 and DORA: Why Cybersecurity Has Become a Board-Level Responsibility

Indførelsen af NIS2-direktivet og Digital Operational Resilience Act (DORA) markerer et fundamentalt skifte i, hvordan cybersikkerhed reguleres i Europa. Cyberrisiko betragtes ikke længere som et rent teknisk anliggende, der udelukkende håndteres af IT-afdelinger. Det er nu eksplicit anerkendt som en operationel risiko, hvor ansvaret ligger hos den øverste ledelse og bestyrelsen.

For organisationer, der opererer i regulerede eller kritiske sektorer, skærper disse direktiver kravene til forebyggelse, tilgængelighed og dokumenterbar kontrol. Myndigheder vil ikke kun vurdere, hvilke sikkerhedsværktøjer der er implementeret, men også om hændelser er blevet forebygget, hvordan risici overvåges, og hvordan ledelsen styrer cyberrobusthed.

E-mailsystemer, domæneinfrastruktur og DNS er centrale i denne sammenhæng, da de udgør nogle af de mest udnyttede og forretningskritiske angrebsflader.

Organisationer, der baserer sig på grundlæggende sikkerhed eller reaktive tilgange, kan få svært ved at leve op til de nye krav.

I denne artikel forklarer vi, hvorfor NIS2 og DORA er vigtige, hvad de betyder i praksis, og hvordan jeres organisation kan imødekomme kravene på en pragmatisk og bæredygtig måde.

Baggrunden for disse direktiver

EU’s NIS2-direktiv og forordningen Digital Operational Resilience Act (DORA) er indført som svar på et grundlæggende skifte i trusselslandskabet inden for cybersikkerhed samt de reelle konsekvenser, cyberhændelser har for økonomier, samfund og kritiske tjenester.

NIS2 udvider og styrker det oprindelige NIS-direktiv og øger markant antallet af organisationer, der er forpligtet til at håndtere cyberrisici. Formålet er at hæve det generelle niveau af cyberrobusthed på tværs af væsentlige og vigtige enheder - særligt dem, der leverer tjenester, som er kritiske for samfundet, økonomien og den offentlige tillid.

DORA gælder for den finansielle sektor uanset størrelse og omfatter også IKT- og digitale tjenesteudbydere, der understøtter finansielle institutioner, herunder cloud-, infrastruktur- og managed service-leverandører. Nogle leverandører kan være underlagt direkte regulatorisk tilsyn.

Sammen afspejler NIS2 og DORA en fælles realitet: Cyberhændelser er ikke længere isolerede IT-fejl. De forstyrrer kritiske tjenester, påvirker forsyningskæder og underminerer tilliden til samfundskritisk infrastruktur. Angreb er i stigende grad målrettede, vedvarende og designet til at omgå traditionelle, perimeterbaserede forsvar.

Angrebsmetoder har udviklet sig tilsvarende. Phishing- og impersonationskampagner, misbrug af domæner og DNS-baserede forstyrrelser er nu blandt de mest almindelige indgangspunkter for alvorlige hændelser, ofte uden at blive opfanget af grundlæggende eller standard sikkerhedskontroller.

Disse reguleringer adresserer denne udvikling ved at flytte fokus fra:

  • Individuelle værktøjer → systematisk robusthed
  •  IT-ansvar → ledelsesansvar
  • Reaktiv respons → forebyggelse og dokumenterbar kontrol

Kort sagt spørger myndighederne ikke længere, hvilke sikkerhedsprodukter i anvender. De spørger, hvilke risici i har reduceret, hvilke hændelser i har forebygget, og hvordan i kan dokumentere det.

Den reelle betydning for virksomheder

En af de mest markante ændringer med NIS2 er en ny definition af ansvar. Cybersikkerhed betragtes ikke længere som et internt driftsanliggende. Den øverste ledelse er nu eksplicit ansvarlig for at sikre, at cyberrisici forstås, styres og reduceres.

Det betyder ikke, at ledelsen forventes at håndtere tekniske detaljer. Det betyder, at de skal forstå, hvordan cyberrisici påvirker forretningen, hvilke forebyggende tiltag der er implementeret, og hvordan hændelser kan rapporteres og forklares.

DORA understøtter dette ved at definere cyberrobusthed som en forudsætning for operationel kontinuitet. Forventningen er ikke kun, at organisationer reagerer på hændelser, men at de designer systemer og processer, der kan modstå forstyrrelser.

Hvilke virksomheder påvirkes mest af NIS2 og DORA?

NIS2 og DORA udvider markant omfanget af EU’s regulering af cybersikkerhed. De gælder ikke kun for kritiske og finansielle organisationer, men også for de digitale og infrastrukturelle leverandører, der understøtter dem.

NIS2 omfatter organisationer klassificeret som væsentlige eller vigtige enheder, herunder energi, transport, sundhed, bank- og finansiel infrastruktur, offentlig administration samt digital infrastruktur som cloud, datacentre og DNS. Mange understøttende brancher, herunder IT-services, logistik, produktion af kritiske produkter og forskning, er også omfattet.

DORA gælder for den finansielle sektor uanset størrelse og omfatter også IKT- og digitale tjenesteudbydere, der understøtter finansielle institutioner, herunder cloud-, infrastruktur- og managed service-leverandører. Nogle leverandører kan være underlagt direkte regulatorisk tilsyn.

Mange organisationer er omfattet af begge direktiver, særligt dem, der leverer digital infrastruktur eller sikkerhedsløsninger til finansielle eller kritiske enheder. I alle tilfælde gælder det, at ansvaret ligger hos den øverste ledelse, at forsyningskæder er omfattet, og at myndigheder forventer tydelig dokumentation for kontrol - ikke blot tekniske sikkerhedsforanstaltninger.

Hvad betyder dette i praksis?

Selvom implementeringen varierer fra land til land og fra sektor til sektor, er de grundlæggende forventninger ens.

Virksomheder forventes at kunne dokumentere:

1. Risikostyring og forebyggelse

  •  Identifikation af centrale angrebsflader (e-mail, domæner, DNS, infrastruktur)
  •  Forebyggende kontroller frem for udelukkende at basere sig på hændelsesrespons
  •  Kontinuerlig overvågning – ikke kun periodiske kontroller

2. Hændelsesdetektion, rapportering og dokumentation

  •  Evnen til at opdage hændelser tidligt
  •  Obligatorisk rapportering inden for fastsatte tidsrammer
  •  Dokumentation for, hvad der er blevet blokeret, opdaget og afværget

3. Tilgængelighed og robusthed

  •  Beskyttelse mod nedetid og denial-of-service-angreb
  •  Designvalg, der reducerer single points of failure
  •  Infrastruktur, der kan skalere med vækst og kompleksitet

4. Styring og ansvar

  •  Klart ejerskab af cyberrisici
  •  Dokumentation egnet til audit og regulatorisk gennemgang
  •  Synlighed på ledelsesniveau i organisationens cybersikkerhedsniveau

Konsekvenserne ved manglende compliance

Konsekvenserne ved manglende compliance rækker ud over bøder. Organisationer, der oplever hændelser uden at kunne dokumentere tilstrækkelige kontroller, kan blive mødt med audits, påbudte forbedringstiltag og omdømmeskade.

Der er også en ledelsesmæssig dimension. Når cyberhændelser opstår, stopper ansvaret ikke længere ved de tekniske teams. Den øverste ledelse forventes at kunne redegøre for beslutninger, beredskab og tilsyn. I den sammenhæng bliver det stadig sværere at retfærdiggøre en tilgang baseret på grundlæggende sikkerhed eller reaktive modeller.

At imødekomme kravene uden at øge kompleksiteten

At leve op til kravene i NIS2 og DORA kræver ikke nødvendigvis en radikal transformation. I mange tilfælde handler det om at styrke forebyggelse og synlighed i områder, der allerede er forretningskritiske i den daglige drift.

E-mailsikkerhed er et tydeligt eksempel. Som det mest almindelige indgangspunkt for cyberhændelser kræves e-mail kontroller, der kan stoppe moderne, målrettede angreb, før de når brugerne. Det reducerer både operationel risiko og compliance-eksponering.

Domænehåndtering er et andet ofte undervurderet område. Over tid opbygger organisationer ældre og tilstødende domæner, som fortsat er aktive og kan udnyttes. Kontinuerlig overvågning og centraliseret styring reducerer risikoen for impersonation og styrker ansvarligheden.

DNS-robusthed spiller en tilsvarende vigtig rolle. DNS-fejl kan øjeblikkeligt forstyrre digitale tjenester, hvilket gør tilgængelighed og kontinuitet til centrale regulatoriske fokusområder. At designe DNS-infrastruktur med fokus på robusthed og skalerbarhed understøtter både driftsstabilitet og compliancekrav.

Compliance handler om kontrol

Et centralt tema i NIS2 og DORA er fokus på dokumentation og kontrol. Organisationer forventes at kunne påvise:

  • Hvilke risici der er identificeret
  • Hvilke hændelser der er forebygget
  • Hvordan tilgængelighed og robusthed sikres
  • Hvem der har ansvaret

Tilgange, der kan integreres gnidningsfrit i eksisterende miljøer og reducere den operationelle belastning, hjælper organisationer med at bevæge sig fra reaktiv sikkerhed til proaktiv styring. Dette skifte understøtter ikke kun compliance, men styrker også den samlede robusthed.

Næste skridt: Et praktisk udgangspunkt

For mange organisationer er det mest værdifulde første skridt at opnå et klart, evidensbaseret overblik over den nuværende eksponering på tværs af e-mail, domæner og DNS, uden at forpligte sig til større forandringer.

En fokuseret analyse eller proof-of-concept kan hjælpe med at besvare spørgsmål som:

  • Hvilke trusler overses i dag?
  • Hvor er de største compliance-huller?
  • Hvilken dokumentation kan fremvises ved en audit eller hændelsesgennemgang?

Vores NIS2 & DORA Cybersecurity Gap Checklistgiver et praktisk udgangspunkt for at vurdere sikkerhedskontroller inden for e-mail og DNS, identificere blinde vinkler og tydeliggøre, hvor der er behov for at styrke indsatsen.

Disse indsigter skaber et solidt beslutningsgrundlag på både teknisk og ledelsesmæssigt niveau og hjælper med at omsætte compliance fra teori til praksis.

Sådan kan Abion hjælpe

At navigere i NIS2 og DORA er ikke kun en teknisk opgave. Det kræver, at regulatoriske krav omsættes til konkrete kontroller, tydeligt ansvar og velunderbyggede beslutninger på ledelsesniveau.

Vi samarbejder med organisationer i regulerede og kritiske sektorer om at vurdere eksponering på tværs af e-mail, domæner og DNS-infrastruktur og koble disse risici direkte til kravene i NIS2 og DORA. Det giver både teams og ledelse et klart billede af, hvor eksisterende kontroller er tilstrækkelige, hvor der er mangler, og hvordan compliance kan styrkes uden unødig kompleksitet.

Hvis i ønsker at drøfte, hvordan direktiverne påvirker jeres organisation, eller undersøge pragmatiske måder at styrke forebyggelse, robusthed og dokumentation på, hjælper vi gerne.

Cybersikkerhed er i dag et ledelsesansvar. Den rette samarbejdspartner kan være forskellen mellem reaktiv compliance og vedvarende operationel robusthed.

Interesseret i yderligere information?

Kontakt os gerne hvis i ønsker at drøfte, hvordan disse direktiver påvirker jeres organisation, eller undersøge pragmatiske måder at styrke forebyggelse, robusthed og dokumentation på.

SERVICES

Sikkerhedsløsninger

Disse komponenter arbejder sammen om at levere stærk beskyttelse af jeres organisations e-mailinfrastruktur og sikrer sikker og stabil kommunikation. Her er et hurtigt overblik over vores centrale løsninger:

Hvad er NIS2?

Få indsigt i alle services relateret til NIS2 og få et gratis sikkerhedstjek.

Email Compromise Protection (ECP)

Forebygger uautoriseret adgang og impersonationsangreb og beskytter jeres kommunikation.

 

Harmony

En cloudbaseret løsning, der beskytter mod phishing, ransomware og andre avancerede trusler ved hjælp af AI-drevet sikkerhed.

DNS

Med en komplet portefølje af DNS-services og et team af interne eksperter leverer vi de nyeste løsninger, skræddersyet til jeres behov.

Related articles

DotBrand
Hvad er et dotBrand-domæne – og hvad betydning får det i 2026 og fremover
Domains
DotBrand
I 2026 kan de mest fremsynede organisationer overtage ejerskabet af deres domæne fuldstændigt, når registreringsvi...
Läs mer
Varumärkesskydd patent
Patent – alt hvad du behøver at vide om eksklusive rettigheder
IP & Trademarks
Alt om patenter og hvad du bør vide om de eksklusive rettigheder til en opfindelse | Retningslinjer, Ansøgning, gy...
Läs mer

This website uses cookies

Cookies ("cookies") consist of small text files. The text files contain data which is stored on your device. To be able to place some type of cookies we need your consent. We at Abion AB, corporate identity number 556633-6169 use these types of cookies. To read more about which cookies we use and storage duration, click here to get to our cookiepolicy.

Manage your cookie-settings

Nødvendige cookies

Necessary cookies are cookies that need to be placed for fundamental functions on the website to work. Fundamental functions are for instance cookies that are needed for you to use menus and navigate the website.

Funktionalitet cookies

Functional cookies need to be placed for the website to perform in the way that you expect. For instance to remember which language you prefer, to know if you are logged in, to keep the website secure, remember login credentials or to enable sorting of products on the website in the way that you prefer.

Statistical cookies

To know how you interact with the website we place cookies to collect statistics. These cookies anonymize personal data.

Ad measurement cookies

To be able to provide a better service and experience we place cookies to tailor marketing for you. Another purpose for this placement is to market products or services to you, give tailored offers or market and give recommendations on new concepts based on what you have bought from us previously.

Ad measurement user cookies

In order to show relevant ads we place cookies to tailor ads for you

Personalized ads cookies

To show relevant and personal ads we place cookies to provide unique offers that are tailored to your user data