Kan ledelsen uddelegere ansvaret til IT-chefen eller en leverandør?

Opgaver kan uddelegeres — ansvaret kan ikke. Ledelsen skal fortsat godkende, føre tilsyn og kunne redegøre for valgene. En dygtig leverandør letter arbejdet, men flytter ikke ansvaret.

Gælder ledelsesansvaret også, hvis vi kun er leverandør til en NIS2-omfattet virksomhed?

Nej, ikke efter loven — men jeres kunder vil i stigende grad kræve, at jeres ledelse kan dokumentere et seriøst sikkerhedsarbejde, så effekten ligner i praksis.

Hvilken uddannelse skal ledelsen tage?

Loven foreskriver ikke et bestemt kursus, men indholdet skal sætte ledelsen i stand til at identificere risici og vurdere risikostyringspraksis. Et målrettet ledelseskursus på en dag med dokumentation er for de fleste tilstrækkeligt som udgangspunkt.

Hvad bør være det første punkt på direktionsmødet?

En risikovurdering, ledelsen selv har været igennem. Den er fundamentet for alt andet — godkendelse, prioritering og tilsyn — og uden den er resten formalia.

Viden

NIS2 og ledelsens ansvar — hvad skal direktionen selv kunne stå på mål for?

NIS2 flytter cybersikkerhed fra IT-afdelingen til direktionslokalet: Ledelsen i omfattede virksomheder skal selv godkende foranstaltningerne til styring af cybersikkerhedsrisici, føre tilsyn med gennemførelsen og gennemgå uddannelse i området — og kan holdes ansvarlig, hvis kravene tilsidesættes. Ansvaret kan ikke delegeres bort til IT-chefen eller en leverandør.

Udgivet: 14. juni 2026Opdateret: 14. juni 2026Læsetid: 5 min.

Hvad kræver NIS2 konkret af ledelsen?

Kravene til ledelsesorganet kan koges ned til fire pligter:

Godkende virksomhedens risikostyringsforanstaltninger — ikke som gummistempel, men på et oplyst grundlag, hvor ledelsen forstår risikobilledet og de valg, der træffes.
Føre tilsyn med, at foranstaltningerne faktisk gennemføres og virker — løbende, ikke kun ved den årlige status.
Uddanne sig: Ledelsesmedlemmer skal gennemgå kurser, der gør dem i stand til at identificere risici og vurdere praksis — og tilsvarende uddannelse bør tilbydes medarbejderne.
Stå på mål: Ved overtrædelse kan ledelsen holdes ansvarlig, og tilsynsmyndighederne har skærpede beføjelser over for væsentlige enheder.

Hvorfor er ansvaret gjort personligt?

Erfaringen fra NIS1 var, at cybersikkerhed uden ledelsesforankring blev et budgetspørgsmål, der altid tabte til driften. Ved at placere ansvaret hos ledelsesorganet — efter samme logik som i den finansielle regulering — sikrer NIS2, at sikkerhed prioriteres dér, hvor ressourcerne og beslutningerne ligger. Det ændrer samtalen fra “hvad koster det?” til “hvilken risiko accepterer vi, og kan vi forsvare det?”

Hvad betyder det i praksis for en SMV-direktion?

Det handler ikke om, at direktøren skal kunne konfigurere en firewall. Det handler om beslutningsdygtighed og dokumentation:

Et risikobillede, ledelsen faktisk har set og taget stilling til — hvilke systemer er kritiske, hvad er truslerne, hvad er konsekvensen ved nedbrud.
Beslutningsreferater, der viser at foranstaltninger er godkendt og prioriteret af ledelsen — papirsporet er jeres bevis ved tilsyn.
En fast kadence for rapportering til ledelsen: hændelser, fremdrift på indsatser, status på leverandørrisici.
Gennemført ledelsesuddannelse, der kan dokumenteres.
En afklaring af roller ved hændelser: hvem udtaler sig, hvem beslutter nedlukning, hvem ejer myndighedskontakten inden for 24-timersfristen.

Hvad sker der, hvis ledelsen ikke løfter ansvaret?

NIS2-regimet giver tilsynsmyndighederne en trappe af reaktioner: påbud, frister for udbedring og betydelige bøder — for væsentlige enheder op til det højeste af 10 mio. EUR eller 2 % af den globale årsomsætning (for vigtige enheder 7 mio. EUR eller 1,4 %). Hertil kommer muligheden for at gøre ansvar gældende over for ledelsen personligt ved grov tilsidesættelse. Den reelle risiko for de fleste er dog mere jordnær: et tilsyn, hvor papirsporet mangler, og kunder, der kræver dokumentation, ledelsen ikke kan levere.

Ofte stillede spørgsmål

Kan ledelsen uddelegere ansvaret til IT-chefen eller en leverandør?
Opgaver kan uddelegeres — ansvaret kan ikke. Ledelsen skal fortsat godkende, føre tilsyn og kunne redegøre for valgene. En dygtig leverandør letter arbejdet, men flytter ikke ansvaret.
Gælder ledelsesansvaret også, hvis vi kun er leverandør til en NIS2-omfattet virksomhed?
Nej, ikke efter loven — men jeres kunder vil i stigende grad kræve, at jeres ledelse kan dokumentere et seriøst sikkerhedsarbejde, så effekten ligner i praksis.
Hvilken uddannelse skal ledelsen tage?
Loven foreskriver ikke et bestemt kursus, men indholdet skal sætte ledelsen i stand til at identificere risici og vurdere risikostyringspraksis. Et målrettet ledelseskursus på en dag med dokumentation er for de fleste tilstrækkeligt som udgangspunkt.
Hvad bør være det første punkt på direktionsmødet?
En risikovurdering, ledelsen selv har været igennem. Den er fundamentet for alt andet — godkendelse, prioritering og tilsyn — og uden den er resten formalia.

Kilder

NIS2-direktivet (EU) 2022/2555, artikel 20 (governance) og 34 (sanktioner)

NIS 2-loven, i kraft 1. juli 2025 (samsik.dk)

Styrelsen for Samfundssikkerheds vejledninger om implementering

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.

Book en afklaringssamtale Se relateret ydelse

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.