Licensly

v1.0 · 19. maj 2026

NIS2 Artikel 21 → Microsoft 365, komplet implementerings-mapping

Dette dokument mapper hvert af de 10 krav i NIS2 Artikel 21 (stk. 2) til konkrete Microsoft 365-features, licens-niveauer, konfigurationstrin og audit-bevis I skal kunne fremvise.

Kontrol 1 og 2 er åbne. Resten låses op gratis ved at indtaste jeres email. I får en kvittering, og når en PDF-version er klar i v1.1 sender vi den til samme adresse.

Ansvarsfraskrivelse

Dette dokument er en teknisk vejledning, ikke juridisk rådgivning. Mapningerne mellem NIS2-krav og Microsoft 365-features er Licenslys vurdering baseret på offentligt tilgængelig dokumentation. Konsulter altid jeres egen jurist og en certificeret Microsoft-partner inden I træffer compliance-beslutninger.

Kontrol-indhold

Kontrol 1

Politikker for risikoanalyse og informationssikkerhed

A. Juridisk krav

Member States shall ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures to manage the risks posed to the security of network and information systems... including (a) policies on risk analysis and information system security.

Dansk oversættelse: Medlemsstaterne sikrer, at væsentlige og vigtige enheder træffer passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at håndtere risici for sikkerheden af netværks- og informationssystemer... herunder (a) politikker for risikoanalyse og informationssystemsikkerhed.

B. Hvad det betyder i praksis

I skal have skriftlige politikker der dokumenterer hvordan I identificerer, vurderer og håndterer cyberrisici. Det er ikke nok at "vi tager sikkerhed alvorligt", der skal være konkrete dokumenter, der bliver opdateret regelmæssigt, og som ledelsen har godkendt.

C. Microsoft 365-features

  • Microsoft Purview Compliance Manager(primær)
  • Microsoft Secure Score(primær)
  • Purview Risk Management(supplerende)

D. Licens-krav

Minimum-licens: Business Prem

E. Konfiguration

  • Gå til Microsoft 365 Defender → Secure Score og baseline jeres nuværende score
  • Åbn Purview Compliance Manager og start en NIS2-assessment (eller IT-grundbeskyttelse som proxy)
  • Eksportér Compliance Manager-rapport månedligt som dokumentation
  • Dokumentér jeres egne politikker (kan skrives i SharePoint eller eksternt værktøj)

F. Audit-bevis

  • Eksporteret Secure Score-historik (mindst 12 mdr)
  • Compliance Manager assessment-rapport, dateret seneste 3 mdr
  • Skriftlig informationssikkerhedspolitik godkendt af ledelsen, version-stemplet
  • Mødeprotokoller fra ledelsesreviews af politikken (kvartalsvis anbefalet)

Kontrol 2

Hændelseshåndtering

A. Juridisk krav

(b) incident handling

Dansk oversættelse: (b) hændelseshåndtering

B. Hvad det betyder i praksis

I skal kunne detektere, registrere, undersøge og rapportere cyberhændelser. NIS2 kræver tidlig advarsel inden 24 timer og formel rapport inden 72 timer. Det forudsætter at I overhovedet kan se hvad der sker i jeres miljø, og at I har et team eller en partner der reagerer.

C. Microsoft 365-features

  • Microsoft Defender XDR-portal (E5 eller Defender Suite-add-on)(primær)
  • Microsoft Defender for Business (Business Premium)(primær)
  • Microsoft Sentinel (separat Azure-licens)(supplerende)

D. Licens-krav

Minimum-licens: Business Prem · Fuld dækning kræver: M365 E5

Business Premium dækker basis-detektion via Defender for Business. Defender XDR-portalen og automatiseret undersøgelse kræver E5 eller Defender Suite-add-on (siden september 2025 kan add-on'en købes direkte til Business Premium, max 300 brugere).

E. Konfiguration

  • Aktivér Defender for Business (BP) eller Defender XDR (E5) som primær detektion
  • Konfigurér automatiske svar-regler i Defender for kendte trusler
  • Opret en incident response-playbook (skriftlig procedure for hvem-gør-hvad)
  • Test playbooken med tabletop-øvelser mindst halvårligt
  • Konfigurér 24/7-vagt eller MDR-partner hvis I ikke har eget SOC

F. Audit-bevis

  • Defender incident-log med tidsstempler (eksport fra portalen, mindst seneste 12 mdr)
  • Skriftlig incident response-playbook med versionshistorik
  • Tabletop-øvelses-rapporter (mindst 2/år)
  • Indrapporteringer til sektoransvarlig myndighed og CFCS, gem som bevis på at processen virker

Lås op kontrol 3-10 og få PDF tilsendt

Indtast jeres email for at låse de resterende 8 kontroller op her på siden. Vi sender en kvittering, og en PDF når v1.1 udkommer.

Vi bruger ikke jeres email til marketing-udsendelser uden separat samtykke. I kan til enhver tid bede om sletning ved at skrive til os.

Kontrol 3

Business continuity og backup

I skal kunne fortsætte forretningen efter en hændelse. Det betyder testede backups, dokumenterede recovery-tider (RTO/RPO), og en kriseberedskabsplan. Indbygget Microsoft 365-retention er IKKE backup, det er versionshistorik. Egentlig backup kræver Microsoft 365 Backup (add-on) eller tredjepartsløsning.

Lås op for at se den fulde mapping

Kontrol 4

Leverandørkæde-sikkerhed

I skal styre sikkerheden hos jeres leverandører, ikke bare have dem på liste. Det betyder kontrakter med sikkerhedskrav, periodiske vurderinger og B2B-adgangsstyring. I er selv andres leverandør, så denne dokumentation bliver krævet af jer fra større kunder.

Lås op for at se den fulde mapping

Kontrol 5

Sikker anskaffelse, udvikling og vedligehold

Den mest "ude i kanten" kontrol for typiske SMV'er. Hvis I IKKE udvikler software, er kravet primært patch management og en simpel procurement-checkliste. Hvis I gør, bliver det enterprise-territorium med SAST/DAST, signed code og secret scanning.

Lås op for at se den fulde mapping

Kontrol 6

Effektivitetsvurdering

I skal regelmæssigt vurdere om jeres sikkerhedsforanstaltninger faktisk virker. Det er ikke nok at have politikker. I skal **måle**. Compliance Manager-assessments eller en årlig sikkerhedsrevision dækker kravet. Plus mødeprotokoller med action items og opfølgning.

Lås op for at se den fulde mapping

Kontrol 7

Cyberhygiejne og awareness-træning

Medarbejdere skal trænes regelmæssigt, phishing, password-hygiejne, hvordan man rapporterer en mistænkelig email. Best practice er kvartalsvise simulationer og årlig formel træning. Completion tracking pr. medarbejder skal kunne fremvises.

Lås op for at se den fulde mapping

Kontrol 8

Kryptering

Data skal være krypteret både under overførsel og i hvile (in transit og at rest). Microsoft 365 har dette som standard for cloud-tjenester, men endpoints kræver BitLocker (Windows Enterprise via E3+). Plus styring af krypteringsnøgler, for de fleste SMV'er er Microsoft-managed nøgler tilstrækkeligt.

Lås op for at se den fulde mapping

Kontrol 9

HR-sikkerhed, adgangskontrol og enhedsstyring

Hele medarbejder-livscyklussen: ansættelse → adgang → ændringer → afslutning. Plus styring af enheder og data. Mindste-privilegium (least privilege), joiner-mover-leaver-processer og regelmæssige access reviews. Intune giver jer overblik over hvilke enheder der eksisterer og hvem der har dem.

Lås op for at se den fulde mapping

Kontrol 10

MFA og sikker kommunikation

MFA er ikke valgfrit længere, tilsynet spørger først efter dette. Plus krypteret kommunikation (Teams gør det som standard) og en plan for hvordan I kommunikerer hvis primær-systemet er nede. Conditional Access giver granulær MFA-håndhævelse, fx kun fra ukendte lokationer eller nye enheder.

Lås op for at se den fulde mapping