Hvis jeres informationssikkerhed stadig “bor” i Excel-ark, i enkeltpersoners hoveder og i ad hoc-reaktioner, er det ikke et teknisk problem. Det er et ledelsesproblem.
I 2026, hvor NIS2 har skubbet ansvar og dokumentationskrav helt op på direktionsgangen, bliver forskellen mellem tilfældig sikkerhed og systematisk styring tydelig: Den ene skaber uro og brandøvelser, den anden skaber forudsigelighed, prioritering og kontinuerlig forbedring. I denne artikel får du et praktisk ledelsesperspektiv på, hvordan du etablerer struktur, ejerskab og modenhed i sikkerhedsarbejdet ved at indføre et ledelsessystem for informationssikkerhed som styringsramme.
Informationssikkerhed som ledelsesdisciplin (ikke IT-projekt)
Informationssikkerhed bliver ofte reduceret til tekniske kontroller: MFA, patching, EDR, firewall-regler. Det er nødvendigt, men ikke tilstrækkeligt. Når sikkerhed ikke er forankret i ledelsen, ser jeg typisk tre symptomer i organisationer: uklare ansvar (“IT ejer det vel?”), uens praksis på tværs af afdelinger (“vi gør det på vores måde”), og dokumentation der ikke kan genfindes, når den skal bruges (“det ligger i en mappe et sted”).
Et ledelsessystem for informationssikkerhed (ISMS) er kort fortalt en struktureret måde at styre sikkerhed på gennem politikker, roller, risikovurderinger, kontroller, målinger og løbende forbedringer. Det betyder noget, fordi det gør sikkerhed til en gentagelig ledelsesproces i stedet for en samling enkeltstående initiativer.
NIS2 forstærker netop denne pointe: Sikkerhed er ikke længere noget, man kan “outsourc’e” til en teknisk funktion og håbe på det bedste. Ledelsen skal kunne dokumentere, at man har truffet rimelige beslutninger, prioriteret ressourcer, og følger op. Det kræver en styringsramme, der kan bære både drift, udvikling og compliance.
Hvad et ISMS reelt indebærer i praksis
Mange forbinder ISO 27001 med en bunke dokumenter. I praksis handler det om at etablere et system, der gør de rigtige ting lette at gøre og de forkerte svære at “slippe afsted med”. Når det virker, kan du som leder svare klart på: Hvad er vores vigtigste risici? Hvem ejer dem? Hvilke kontroller har vi valgt, og hvorfor? Hvordan ved vi, at de virker?
Fra “dokumentation” til styring
Dokumentation er ikke målet; det er et biprodukt af styring. Et modent ISMS gør det muligt at træffe beslutninger på et oplyst grundlag og følge op med data. Det kan være så konkret som at have et samlet overblik over kritiske aktiver, leverandørforhold, hændelser og afvigelser, samt en fast kadence for risikogennemgang.
De faste byggesten du skal have på plads
De fleste organisationer ender med at skulle have disse elementer, uanset branche og størrelse:
- Scope: Hvad dækker ISMS’et (forretning, lokationer, systemer, processer)?
- Politikker og principper: Hvad er jeres minimumskrav (fx adgangsstyring, klassifikation, leverandørstyring)?
- Risikostyring: Metode, kriterier og beslutningsforum.
- Kontroller: Valgte foranstaltninger og begrundelser (fx fra ISO 27001 Annex A).
- Roller og ansvar: Hvem beslutter, udfører, kontrollerer og godkender?
- Målinger og audit: Hvordan følger I op, og hvad gør I ved afvigelser?
Det er her, sikkerhed flytter fra at være “noget vi gør indimellem” til at være en del af organisationsstyringen på linje med kvalitet, økonomi og arbejdsmiljø.
NIS2 i 2026: Hvorfor modenhed og evidens er blevet valuta
NIS2 handler ikke kun om at have kontroller, men om at kunne påvise styring og ansvar. I praksis betyder det, at ledelsen skal kunne stille og besvare spørgsmål som: Hvilke kritiske services leverer vi? Hvad er vores afhængigheder? Hvad er vores tolerancer for nedetid? Hvilke hændelser har vi haft, og hvad lærte vi?
Det skærper også behovet for evidens: ikke bare at noget “er besluttet”, men at det er implementeret, kommunikeret, og efterlevet. Et klassisk eksempel er leverandørstyring. Mange har en standardkontrakt og en sikkerhedsvedhæftning, men kan ikke dokumentere, at leverandørerne faktisk bliver vurderet, at kritiske ændringer bliver godkendt, eller at exit-planer er tænkt igennem. Når myndigheder, kunder eller revisor spørger, bliver svaret hurtigt: “Det burde vi have.”
Et ISMS giver dig et fælles sprog til at koble compliance til drift: beslutninger, risici, kontroller, afvigelser og forbedringer i én sammenhængende kæde.
Risikovurdering som tilbagevendende ledelsesproces
Den mest udbredte misforståelse er, at risikovurdering er et projekt, man “gør færdigt”. I en organisation med reelle forandringer (nye systemer, nye leverandører, opkøb, reorganisering, nye markeder) forældes en risikovurdering hurtigere, end mange tror. Derfor skal risikostyring være en cyklus med fast rytme og tydelige beslutningspunkter.
Sådan gør du risiko til en beslutningsmotor
Risikostyring fungerer, når den er tæt koblet til prioritering og ressourcer. Et praktisk greb er at indføre en kvartalsvis risikogennemgang i et forum, hvor både forretning og IT er repræsenteret. Her er et mønster, der ofte virker:
- Opdater risikobilledet: Hvad har ændret sig (systemer, leverandører, trusselsbillede, hændelser)?
- Revurdér top-risici: Sandsynlighed, konsekvens og eksisterende kontroller.
- Beslut risikobehandling: reducér, overfør, undgå eller acceptér.
- Allokér ejerskab og frister: Hvem leverer hvad hvornår?
- Følg op på KPI’er/KRI’er: Fx patch-compliance, phishing-resiliens, backup-test, leverandørreviews.
Bemærk, at dette ikke kræver 40-siders rapporter. Det kræver disciplin, sporbarhed og en ledelse, der accepterer, at risiko er et styringsobjekt på linje med budget og performance.
Eksempel: Når “lav sandsynlighed” bliver dyrt
Jeg har set flere tilfælde, hvor en organisation vurderede ransomware som “lav sandsynlighed”, fordi de “jo har antivirus”. Men når man bryder det ned i konkrete afhængigheder (domæneadministratorrettigheder, manglende segmentering, utestede restores, kritiske SaaS-integrationer), bliver den reelle konsekvens ofte: flere dages nedetid, manuelle nødprocesser, tabt omsætning og et massivt ledelses- og kommunikationsarbejde. Et ISMS tvinger jer til at gøre denne diskussion konkret og gentagelig, så beslutningen om investering (fx segmentering eller immutable backups) ikke bliver en mavefornemmelse.
Klar ansvarsfordeling: Fra “alle” til navngivne ejere
Uklare roller er en af de dyreste sikkerhedsfejl, fordi de skaber huller mellem stole. Når “IT” ejer sikkerhed, ender forretningen ofte med at omgå processer for at få arbejdet gjort. Når “compliance” ejer sikkerhed, ender det ofte i papir uden drift. Løsningen er at fordele ansvar efter beslutningskraft og nærhed til processen.
Midt i arbejdet med at etablere struktur giver det mening at tage udgangspunkt i ISO 27001-rammen og få et fælles styringssprog. Mange ledere oplever, at et ledelsessystem for informationssikkerhed gør det langt lettere at placere ejerskab, fordi kravene til roller, risikobehandling og ledelsesevaluering bliver konkrete og operationelle.
Praktisk RACI for sikkerhed (som faktisk bliver brugt)
En enkel RACI-model (Responsible, Accountable, Consulted, Informed) kan være forskellen på fremdrift og friktion. Start med 8–12 nøgleprocesser og gør det tydeligt, hvem der:
- er Accountable for risikoen (ofte en forretningsleder, ikke IT)
- er Responsible for implementering (IT, drift, HR, procurement)
- skal konsulteres (DPO, legal, enterprise arkitektur)
- skal informeres (direktion, relevante teams)
Typiske processer: adgangsstyring, ændringsstyring, incident response, leverandørstyring, klassifikation, backup/restore, awareness, samt godkendelse af undtagelser.
Kontroller, der understøtter forretningen (og ikke omvendt)
En klassisk faldgrube er at vælge kontroller, der ser gode ud på papir, men som forretningen ikke kan leve med. Resultatet bliver skyggeprocesser og undtagelser, der hober sig op. Den praktiske tilgang er at designe kontroller, der passer til jeres risici og arbejdsgange.
Et konkret eksempel: Hvis salgsorganisationen arbejder hurtigt med nye kunder og leverandører, skal leverandørstyring være en letvægtsproces i “standardsporet” og en dybere proces for kritiske leverandører. Ellers bliver processen omgået. På samme måde bør adgangsstyring kobles til HR-livscyklus (onboarding, rolleændringer, offboarding), så det ikke afhænger af, om nogen “husker at skrive til IT”.
Spørgsmålet “hvad koster det?” bliver ofte stillet som om, et ISMS er en stor engangsinvestering. I praksis er omkostningen typisk en kombination af:
- tid til at etablere governance og dokumentation (workshops, procesbeskrivelser, beslutninger)
- implementering af udvalgte kontroller (tekniske og organisatoriske)
- løbende drift (risikomøder, audit, opfølgning, træning)
- evt. ekstern hjælp til gap-analyse eller intern audit
Den skjulte besparelse ligger ofte i færre hændelser, hurtigere beslutninger, mindre spildtid på “hvor ligger det?”, og et mere stabilt samarbejde med kunder og regulatorer. Mange undervurderer også, hvor dyrt det er at håndtere sikkerhed reaktivt: en større hændelse trækker let ledelsestid, kommunikation, drift og juridisk arbejde i ugevis.
Kontinuerlig forbedring: Sådan undgår du, at systemet dør efter certificeringen
Den mest almindelige årsag til, at et ISMS mister effekt, er at det bliver et parallelspor: noget man “vedligeholder” op til audit, men som ikke styrer hverdagen. Kontinuerlig forbedring kræver, at sikkerhed bliver en del af normal ledelsesrytme.
Gør forbedringer til en pipeline, ikke en bunke
Behandl afvigelser, hændelser og forbedringsforslag som en prioriteret backlog. Det kan være i et simpelt værktøj, men det skal have ejer, status og deadline. Når en intern audit finder en afvigelse, er det ikke nok at “lukke den” med en tekst. Der skal være en årsagsanalyse og en ændring i proces eller kontrol, der reducerer risikoen fremadrettet.
Målinger, der giver mening for ledelsen
Drop vanity metrics (fx “antal policies”). Vælg få indikatorer, der fortæller noget om kontrol-effekt og modenhed. Eksempler, der ofte kan måles uden tungt overhead:
- andel af kritiske systemer med testet restore inden for de sidste 90 dage
- patch-compliance på kritiske sårbarheder inden for fast SLA
- tid fra incident til første ledelsesbrief (fx under 2 timer ved kritiske hændelser)
- andel af kritiske leverandører med årlig sikkerhedsvurdering og opfølgning
Det vigtige er ikke perfekte tal, men at I bruger dem til at prioritere og forbedre.
De typiske fejl (og hvordan du undgår dem)
Der er nogle mønstre, jeg ser igen og igen, når organisationer forsøger at “komme i gang” med ISO 27001 eller NIS2-krav:
- Man starter med skabeloner og ender med dokumenter, ingen bruger. Start med beslutninger og arbejdsgange, og dokumentér det, der faktisk gøres.
- Risikostyring bliver en workshop én gang om året. Indfør en fast kadence og gør risici til et ledelsespunkt, ikke et bilag.
- Ansvar placeres for langt fra forretningen. Risiko-ejerskab skal ligge hos dem, der kan prioritere ressourcer og acceptere konsekvenser.
- For mange kontroller på én gang. Vælg de vigtigste 10–15 forbedringer, der reducerer top-risici, og byg videre derfra.
- Undtagelser bliver normen. Etabler en stram undtagelsesproces med udløbsdato, risikovurdering og godkendelse.
- Ingen træning i praksis. Awareness skal kobles til konkrete scenarier: phishing, datadeling, leverandørkontakt, rejse, hjemmearbejde.
En god tommelfingerregel: Hvis sikkerhed kun fungerer, når bestemte personer er på arbejde, har I ikke et system endnu. I har helte.
En handlingsplan for de næste 90 dage
Hvis du vil flytte sikkerhed fra ad hoc til styring uden at lamme organisationen, så tænk i et 90-dages forløb, der skaber momentum og synlige resultater:
- Fastlæg scope og kritiske services: Hvad skal beskyttes først, og hvorfor?
- Udpeg roller: navngiven ISMS-ejer, risikoejere for top-områder, og et beslutningsforum.
- Definér risikometode og kriterier: hvad betyder “høj risiko” hos jer, og hvem kan acceptere den?
- Lav en første risikogennemgang af 5–10 top-scenarier: ransomware, leverandørnedbrud, datalæk, insider, cloud-fejlkonfiguration.
- Vælg 8–12 kontroller/forbedringer med størst effekt: fx backup/restore-test, adgangsreview, leverandørklassifikation, incident playbooks.
- Etabler opfølgning: månedlig status på forbedringsbacklog og kvartalsvis ledelsesreview på risici og KPI’er.
Det er ofte nok til at skabe en mærkbar ændring i modenhed: færre overraskelser, bedre prioritering og en organisation, der kan forklare sine valg med ro i stemmen.
