Kontakt

NIS2 24/72/30 uden panik: simpel rapportering i SMV

FORFATTER

Marius Sangild

Executive summary

NIS2 gør cybersikkerhed til et ledelsesansvar og indfører skarpe frister for hændelsesrapportering: tidlig advarsel inden 24 timer, hændelsesmeddelelse inden 72 timer og endelig rapport senest 1 måned. For en dansk SMV kan det virke uoverskueligt midt i en travl hverdag. Målet er ikke at skrive en manual på 40 sider, men at kunne reagere sikkert, hurtigt og ensartet – hver gang.

Løsningen er en 1-sides beredskabsrutine, som alle i ledelseskæden kender. Den beskriver beslutningsveje, rollefordeling, hvilke minimumsdata du sender tidligt, hvordan du informerer medarbejdere og kunder, hvordan du sikrer logning og beviser, og hvordan I øver processen i 30 minutter hvert kvartal. Det giver ro, tempo og dokumentation uden at bygge et tungt compliance‑program. Hvis I vil have rammeværk og dokumentation med, kan en modenhedsanalyse koble det til NIS2, ISO 27001 og NIST CSF.

Hvad betyder 24/72/30 for din virksomhed

Fristerne stammer fra EU’s NIS2‑direktiv og er oversat til tre konkrete leverancer: en tidlig advarsel inden for 24 timer, en opdateret hændelsesmeddelelse inden for 72 timer og en endelig rapport senest 30 dage efter. Indholdet og formater kan variere efter branche og myndighed, men logikken er den samme: tidlig signalering, efterfulgt af validerede fakta og læring. Læs originalteksten i NIS2-direktivet og se vejledning hos ENISA.

NIS2 flytter sikkerhed fra IT-afdelingen til direktionen og bestyrelsen. Det handler om forretningskontinuitet, ikke firewall-regler. Kravet gælder direkte for væsentlige og vigtige enheder, men mange SMV’er bliver indirekte ramt via kundekrav og leverandørstyring. Et enkelt rapporteringsberedskab reducerer forretningsrisikoen og dæmper kaotiske reaktioner, når minutterne tæller. Har I brug for et ledelsesformat og en fælles forståelse, giver en workshop for ledelse og bestyrelse et fælles sprog og ansvarslinjer.

Byg en 1-sides beredskabsrutine

Din beredskabsrutine skal være kort, synlig og brugbar under pres. Placer den i jeres intranet eller beredskabsmobil og giv nøglepersoner en printet version i tasken. Brug følgende skabelon og tilpas den til jeres virkelighed.

  • Formål og scope i én sætning: Hvordan bruges dokumentet de første 72 timer.
  • Beslutningskæde: Navngivne roller med telefonnummer og back‑up.
  • Aktiveringskriterier: Hvad gør en hændelse rapporteringspligtig.
  • Tidslinje: Hvad skal være sendt inden 24 og 72 timer, og hvem godkender.
  • Kommunikationsprincipper: Hvem må sige hvad til hvem, internt og eksternt.
  • Logning og beviser: Hvilke systemer, hvem indsamler, hvor gemmes det.
  • Øvelse: Kvartalsvis 30 minutter med realistisk mini‑scenarie og logning af læring.

Vil du have en nem indgang til at checke jeres baselinesikkerhed, kan et sikkerhedstjek afdække opsætningsfejl og huller, som ofte skaber hændelser.

Hvem gør hvad i de første minutter og timer

Roller skal være konkrete, så ingen er i tvivl når telefonen ringer en lørdag morgen. Hold fokus på beslutninger og kommunikation. Justér titlerne til jeres organisation.

  • Hændelsesleder: Koordinerer indsatsen, prioriterer, holder tidslinjen og fører log. Typisk IT‑chef eller driftsansvarlig.
  • Direktionskontakt: Godkender 24/72‑afsendelser, sikrer ledelsesbeslutninger, informerer bestyrelsesformand ved behov.
  • Teknisk responder: Afskærmer, samler beviser, genskaber drift. Kan være intern IT eller ekstern partner.
  • Kommunikationsansvarlig: Udarbejder korte interne beskeder og kundetekster i tæt samspil med hændelsesleder.
  • Juridisk og compliance: Afgør om hændelsen er underlagt NIS2, GDPR eller kontraktkrav. Når persondata er berørt, vurderes anmeldelse efter GDPR.
  • Kundefront: Kundeservice eller account managers der får talepunkter og Q&A.

Hvis jeres team er lille, kan én person have flere roller. Det er bedre at navngive og fordele end at skrive generiske funktioner. Overvej at tilkoble en fast ekstern responspartner via et abonnement som Forkant™, så der altid er hænder og erfaring i de første kritiske timer.

Hvilke oplysninger skal med ved 24 og 72 timer

Du behøver ikke kende alle tekniske detaljer for at sende en tidlig advarsel. Brug minimumsinfo og lov en opdatering inden for 72 timer. Det er i tråd med bedste praksis fra NCSC UK og NIST SP 800‑61.

  • Inden 24 timer: Kort beskrivelse af hændelsen, estimeret påvirkning på drift og kunder, kendte afbødende tiltag, kontaktpunkt hos jer, reference til kommende 72‑timers opdatering.
  • Inden 72 timer: Opdaterede fakta, kategorisering af årsag hvis kendt, påvirkede systemer og data, foreløbig vurdering af konsekvens og genopretningstid, koordineringsbehov med myndighed og eventuelle berørte partnere.
  • Senest 30 dage: Endelig rapport med forløb, rodårsag, læring, permanente tiltag og evidens for implementering. Brug rapporten aktivt i ledelsesrapportering.

Hold sproget forretningsrettet. Beskriv påvirkning på leverancer, økonomi og kunder før tekniske detaljer. Hvis persondata er berørt, koordineres NIS2‑rapportering med eventuel GDPR‑anmeldelse, så budskaberne er konsistente.

Kommunikation til medarbejdere og kunder

Under en hændelse er det ofte kommunikationen der skaber mest støj. Lav derfor faste tekstskabeloner i fredstid, så tonen er rolig og ensartet. Giv medarbejdere enkel instruktion og vær tydelig om, hvad de ikke skal gøre.

  • Internt: Hvad er sket, hvad gør vi nu, hvordan påvirker det arbejdet i dag, hvor findes opdateringer, og hvem må svare eksternt.
  • Kunder: Koncis status, hvad de kan forvente, midlertidige workarounds, og hvornår næste opdatering kommer. Brug samme budskaber som i 24/72‑rapporteringen.
  • Telefon og sociale medier: Ét godkendt manus til fronten, så ingen improviserer. Overvej at publicere korte statusopdateringer på en statusside.

Kommunikation er adfærd. Træn jeres folk i kort, faktuel krisekommunikation og phishing‑bevidsthed. Mange hændelser starter med menneskelige fejl. Se vores awareness‑træning for at få en fast cadence i hverdagen.

Logning, beviser og dokumentation

Dokumentation afgør, om I kan forklare forløbet og lære af det. Sæt disciplinen op på forhånd, så I ikke skal opfinde systemet midt i en hændelse.

  • Hændelseslog: En enkel tidslinje med beslutninger, tiltag og ansvarlige. Brug et delt dokument, og lås det efterfølgende som bevis.
  • Tekniske beviser: Logs, netværksudtræk, diskbilleder og screenshots. Aftal på forhånd hvordan I indsamler og opbevarer dem sikkert.
  • Dokumentpakke: 24/72‑udsendelser, intern kommunikation, kundemails, pressebeskeder, mødenoter og endelig rapport. Gør pakken til en del af ledelsesrapporteringen.

Hvis I mangler basale logs eller indblik i jeres opsætning, kan et hurtigt sikkerhedstjek afdække huller, inden de bliver til hændelser.

Øv jer 30 minutter hvert kvartal

Små, hyppige øvelser skaber tryghed og tempo. I behøver ikke et stort beredskabsprojekt for at få effekt. Brug 30 minutter i kvartalet med et realistisk scenarie, for eksempel ransomware i filserveren eller kompromitteret M365‑konto.

  • Forberedelse 5 minutter: Hændelsesleder deler scenarie og succeskriterier.
  • Gennemførsel 20 minutter: Kør beslutningskæden, udfyld 24/72‑skabeloner, forbered intern kundetekst.
  • Opsamling 5 minutter: Notér forbedringer til jeres 1‑side, ejere og deadlines.

Øvelserne skal ligne virkeligheden. Arbejd som en angriber ville gøre det, ikke som en tjekliste. Det er filosofien bag vores tilgange og services, herunder Forkant™ og pentest, hvor vi tester som hackere for at afsløre svagheder før andre finder dem.

Din 24/72/30 tjekliste

Print og tilpas følgende tjekliste. Den passer på forsiden af jeres 1‑side.

  1. Aktivér beredskab og navngiv hændelsesleder.
  2. Stands blødning uden at ødelægge beviser.
  3. Vurder om hændelsen er rapporteringspligtig under NIS2 og om GDPR er berørt.
  4. Send tidlig advarsel inden 24 timer med minimumsinfo.
  5. Informer medarbejdere kort og faktuelt. Forbered kundebesked.
  6. Indsaml logs og beviser efter fast metode.
  7. Send opdateret hændelsesmeddelelse inden 72 timer.
  8. Planlæg endelig rapport og forbedringer senest 30 dage efter.
  9. Log alt i en hændelseslog. Arkivér og brug det i ledelsesrapportering.
  10. Book næste 30‑minutters øvelse.

Handlingsopfordring: gør jer NIS2‑klare uden panik

Start i det små og gør det konkret. Vælg en ansvarlig, skriv jeres 1‑side, lav første 30‑minutters øvelse, og få et hurtigt sikkerhedstjek. Når I vil koble det til NIS2, ISO 27001 og NIST CSF, så gennemfør en modenhedsanalyse og sæt faste kadencer gennem Forkant™. Se flere perspektiver i vores indlæg eller book uforpligtende sparring via kontakt.

Kilder