Licensly

NIS2 Artikel 21 forklaret, de 10 krav til risikostyring for SMV

Af Michal Lampe Sørensen · 10 min læsning · 17. maj 2026

Indhold

TL;DR

NIS2 Artikel 21 stk. 2 lister 10 risikostyringskontroller alle omfattede organisationer skal implementere: risikoanalyse, hændelseshåndtering, business continuity, supply chain, sikker udvikling, effektivitetsvurdering, cyberhygiejne, kryptering, HR-sikkerhed/adgang, og MFA. Alle 10 skal kunne dokumenteres, politikker på papir er ikke nok, der skal være tekniske kontroller og audit-bevis. Microsoft 365 dækker den tekniske side; jeres procedurer dækker governance.

AnsvarsfraskrivelseBemærk: Denne artikel er teknisk vejledning, ikke juridisk rådgivning. Konsulter altid jeres egen jurist og en certificeret Microsoft-partner inden I træffer compliance-beslutninger.

Hvorfor Artikel 21 er den vigtigste

NIS2 har 46 artikler i alt, men når tilsyn kommer på besøg, vil de spørge ind til Artikel 21. Det er her loven specificerer hvilke risikostyrings-foranstaltninger I skal have. De andre artikler er rammesættende. Artikel 21 er der bøderne ligger.

Stk. 2 lister 10 områder I skal dække:

1. Politikker for risikoanalyse og informationssikkerhed 2. Hændelseshåndtering 3. Business continuity (backup, disaster recovery, krisestyring) 4. Supply chain-sikkerhed 5. Sikker anskaffelse, udvikling og vedligehold af systemer 6. Politikker og procedurer til vurdering af effektiviteten af risikostyrings-foranstaltninger 7. Grundlæggende cyberhygiejne og awareness-træning 8. Politikker og procedurer for kryptering 9. Human resources-sikkerhed, adgangskontrol og asset management 10. Multi-faktor autentificering eller kontinuerlig autentificering, samt sikre kommunikationsmidler

Bemærk: Listen er ikke en menu I vælger fra. Alle 10 skal være på plads. Forskellen mellem væsentlige og vigtige enheder er IKKE i hvilke krav der gælder, det er kun i tilsyn og bødeniveau.

Krav 1-3: Politik og governance

De første tre kontroller handler om at I har dokumenterede processer. Det er ikke nok at sige *"vi tager sikkerhed alvorligt"*, der skal være papir, der bliver opdateret, og som ledelsen har godkendt.

Krav 1: Politikker for risikoanalyse og informationssikkerhed

I skal have en skriftlig informationssikkerhedspolitik godkendt af ledelsen. Der skal være en proces for risikoanalyse (mindst årligt) hvor I identificerer trusler, vurderer impact og sandsynlighed, og dokumenterer hvad I gør ved det.

Microsoft Purview Compliance Manager kombineret med Secure Score giver jer rammen, men politikken er jeres.

Krav 2: Hændelseshåndtering

I skal kunne detektere, undersøge og rapportere cyberhændelser. NIS2 kræver 24-timers tidlig advarsel og 72-timers formel rapport ved alvorlige hændelser.

Det forudsætter at I overhovedet kan se hvad der sker. Defender for Business (Premium) eller Defender XDR (E5 eller Defender Suite-add-on) er det tekniske fundament. Plus en skriftlig incident response-playbook der er testet.

Krav 3: Business continuity

I skal kunne fortsætte forretningen efter en hændelse. Det betyder dokumenterede RTO og RPO (recovery time og point objectives), testede backups og en kriseberedskabsplan.

Microsoft 365 har indbygget retention, men det er ikke backup, det er versionshistorik. Microsoft 365 Backup (separat add-on) eller en tredjepartsløsning er nødvendigt for at opfylde kravet.

Krav 4-6: Leverandørkæde og udvikling

Disse tre handler om at I styrer både jeres egen produktion og dem I køber fra.

Krav 4: Leverandørkæde-sikkerhed

I skal vurdere sikkerheden hos jeres leverandører, ikke bare have dem på liste. Det betyder kontrakter med sikkerhedskrav, periodiske vurderinger og B2B-adgangsstyring.

Conditional Access for ekstern adgang (Premium+) og Information Barriers (E5 eller Purview Suite-add-on) er de tekniske værktøjer. Plus en proces for at vurdere nye leverandører før indgåelse.

I er selv andres leverandør. Når jeres kunder har NIS2-kontrakter med jer, kræver de denne dokumentation fra jer. God grund til at have det klar uanset.

Krav 5: Sikker anskaffelse, udvikling og vedligehold

Den mest "ude i kanten" kontrol for typiske SMV'er. Hvis I ikke udvikler software, er kravet primært at I køber produkter med dokumenterede sikkerhedsegenskaber, holder dem opdaterede og styrer konfigurationsændringer. Det er Intune (patch management) plus en simpel procurement-checkliste.

Udvikler I selv? Så bliver det større: Defender for Cloud (Azure), SAST/DAST i pipeline, signed code, secret scanning. Det er enterprise-territorium.

Krav 6: Effektivitetsvurdering

I skal regelmæssigt vurdere om jeres sikkerhedsforanstaltninger faktisk virker. Det er ikke nok at have politikker. I skal måle.

Compliance Manager-assessments (Premium+) eller en årlig sikkerhedsrevision dækker kravet. Plus dokumentation i form af mødeprotokoller, action items og opfølgning.

Krav 7-8: Cyberhygiejne og kryptering

Disse to handler om de tekniske grundforanstaltninger I aldrig kan undlade.

Krav 7: Cyberhygiejne og awareness-træning

Medarbejdere skal trænes regelmæssigt i phishing, password-hygiejne og hvordan man rapporterer mistænkelige emails.

Attack Simulator (Premium+) leverer realistiske phishing-simulationer. Plus træningsmateriale (Microsoft Learn, jeres egen onboarding, eksterne kurser) med completion tracking.

Frekvensen er sjældent specificeret — *"regelmæssigt"* er den juridiske formulering, men best practice er kvartalsvise simulationer og årlig formel træning. Gem completion-rapporter pr. medarbejder i mindst 3 år.

Krav 8: Kryptering

Data skal være krypteret både under overførsel og i hvile (in transit og at rest). Microsoft 365 har dette som standard:

  • BitLocker på Windows-enheder (kræver Windows Enterprise via E3+ for centralt managed; ellers manuelt pr. enhed)
  • TLS for alle email- og web-forbindelser
  • Sensitivity Labels (Premium+) til klassificering og kryptering af specifikke dokumenter
  • Message Encryption (Premium+) til krypteret email til eksterne modtagere

Nøglestyring er den ofte glemte del: hvem kan dekryptere hvad, hvem har root-nøgler, hvad sker der hvis en nøgle kompromitteres. For de fleste SMV'er er Microsoft-managed nøgler tilstrækkeligt. For stærkt regulerede miljøer skal I overveje Customer Key (E5 eller Purview Suite-add-on plus Azure Key Vault).

Krav 9-10: Adgang og autentificering

Dette er der hvor mange angreb starter, og hvor flest compliance-problemer ses i praksis.

Krav 9: HR-sikkerhed, adgangskontrol og asset management

Dækker hele medarbejder-livscyklussen: ansættelse → adgang → ændringer → afslutning. Plus styring af enheder og data.

  • Joiner-mover-leaver-processer dokumenteret skriftligt
  • Least privilege, folk har kun adgang til det de behøver
  • Access reviews, periodisk gennemgang af hvem der har adgang til hvad (Entra ID Governance som separat SKU eller del af E5)
  • Asset management. I ved hvilke enheder der findes og hvem der har dem (Intune)
  • Offboarding, fjern adgang og data ved fratrædelse

Krav 10: MFA og sikker kommunikation

Multi-faktor autentificering er ikke valgfrit længere. NIS2 nævner det specifikt, og det er typisk det første tilsynet spørger efter.

  • MFA på alle konti, ikke kun admin
  • Granulær MFA via Conditional Access (Premium+), kræv MFA i specifikke kontekster som ukendte lokationer eller risikable logins
  • Sikre kommunikationsmidler, krypteret Teams-chat (standard), eventuelt Teams Premium-features for følsomme møder
  • Beredskabskommunikation, fungerer Teams ved nedbrud? Har I en backup-kanal?

Krav 10 er der compliance-folk typisk starter, fordi det er nemmest at verificere. Har I ikke MFA på alle konti i 2026, er det førsteprioritet.

Sådan hænger det sammen i praksis

Når man læser de 10 krav individuelt, virker de som en checkliste. Det er ikke en checkliste, det er en sammenhængende model fordelt på 4 lag.

Governance-laget (krav 1, 6)

Skriftlige politikker plus regelmæssig vurdering. Det er hvordan I styrer sikkerheden.

Operationel-laget (krav 2, 3, 4, 7, 9)

De processer der kører dagligt: hændelseshåndtering, business continuity, leverandørkæde, træning og adgangskontrol.

Teknisk-laget (krav 8, 10)

De konkrete teknologier: kryptering og MFA.

Specialtilfælde (krav 5)

Kun relevant hvis I udvikler eller bygger systemer selv.

Microsoft 365 dækker primært teknisk-laget og dele af operationel-laget. Governance-laget kræver I selv producerer politikker og dokumentation. Tilsynet vil bede om begge dele.

Det her er hvor mange SMV'er fejler: de har god teknik (Premium-licens, Intune konfigureret, MFA slået til) men ingen skriftlige politikker eller mødeprotokoller. Resultatet bliver fra tilsynets perspektiv: *"I har værktøjerne, men I kan ikke bevise at I bruger dem systematisk."*

Vil du have den fulde implementerings-mapping?

Denne artikel er et overblik. Det reelle implementeringsarbejde er at vide præcis hvilken Microsoft 365-feature der dækker hvilket krav, hvilken licens der er nødvendig, hvordan I konfigurerer det, og hvilket audit-bevis I skal kunne fremvise.

Vores 24-siders whitepaper har samme struktur for hvert af de 10 krav:

  • A. Juridisk krav, engelsk citat og dansk oversættelse
  • B. Hvad det betyder i praksis. SMV-sprog
  • C. Microsoft 365-features, primær og supplerende
  • D. Licens-krav, minimumsplan og add-ons
  • E. Konfiguration, hvor og hvordan
  • F. Audit-bevis, konkrete rapporter og dokumenter I skal kunne fremvise

Kontrol 1 og 2 er åbne. De resterende 8 kan låses op gratis med email.

Den fulde mapping findes ikke andre steder på dansk i 2026 så vidt vi ved. Det er 30 minutters læsning der kan spare dage af research hvis I står foran NIS2-implementering.

Få den fulde Artikel 21 → Microsoft 365 mapping

Vores whitepaper dækker hvert af de 10 krav med juridisk citat, konkret Microsoft 365-feature, licens, konfiguration og audit-bevis I skal kunne fremvise.

Hent whitepaperet →

Relaterede artikler

Er din virksomhed omfattet af NIS2? Sådan finder du ud af detHvilken Microsoft 365-licens lever op til NIS2? Decision matrix for SMV