NIS2 Danske SMV'er I 2026: Praktisk Roadmap På 30 Dage

19. februar 2026

Februar 2026 føles for mange SMV som en stram måned. Ikke fordi NIS2 er ny, men fordi tilsyn og audits nu er i gang. Samtidig kører hverdagen videre, med fakturaer, kunder og medarbejdere, der bare skal kunne logge på.

Hvad gør man, når en medarbejder ikke kan åbne mailen, og man samtidig skal kunne dokumentere risici, leverandører og hændelser? Man gør det kort og systematisk. NIS2 handler i praksis om at få styr på de ting, der ellers først bliver taget seriøst, når noget går galt.

Denne artikel giver en 30-dages plan, der passer til en dansk SMV, også i Aarhus, Lystrup og Randers.

Hvad NIS2 betyder for danske SMV i 2026 (uden jura-sprog)

Modern Nordic minimalist flat isometric infographic of a Danish SMV office scene featuring an IT manager at a desk with laptop displaying NIS2 checklist, security shield icon, and network cloud background. En IT-ansvarlig i en SMV, der samler tjekliste og sikkerhedsarbejde, skabt med AI.

NIS2-loven trådte i kraft 1. juli 2025. I 2026 betyder det, at flere virksomheder møder krav i praksis, ikke som teori. Mange SMV er omfattet direkte. Andre bliver ramt indirekte, fordi kunder og leverandører kræver dokumentation.

To ting går igen i NIS2-kravene: ledelsesansvar og risikostyring . Det er ikke nok, at IT har "styr på det". Ledelsen skal kunne vise, at man har truffet valg og prioriteret.

Hvis I er i tvivl om, hvad der forventes helt konkret, så brug myndighedernes oversigt over kravene i NIS 2-loven. Den er ligetil og fokuserer på de centrale områder (styring, hændelser, sikkerhedsforanstaltninger, registrering).

Der er også et praktisk reality check: Mange virksomheder missede registreringsfristen i 2025. Derfor er "vi når det senere" en dårlig strategi i 2026. Tilsyn starter, og dokumentation bliver et krav, ikke et ønske.

NIS2 lægger også vægt på hændelsesrapportering. Det presser små organisationer, fordi de sjældent har en SOC (Security Operations Center) eller et døgnberedskab. Derfor skal processerne være simple, og rollerne skal være klare.

En god tommelfingerregel: Tænk NIS2 som en brandøvelse. Man håber, man aldrig får brug for den, men man kan ikke planlægge den midt i røgen.

For dansk kontekst og fortolkning kan I læse Coplas gennemgang af NIS2-implementering i Danmark. Den hjælper især, hvis I skal forklare "hvorfor" internt.

30-dages roadmap: fra overblik til dokumentation

Modern professional Nordic minimalist flat isometric infographic in 16:9 format displaying a 30-day NIS2 roadmap as a horizontal timeline over four weeks: governance, risk assessment, supplier management, and training. En enkel 30-dages plan opdelt i fire uger, skabt med AI.

Målet på 30 dage er ikke "perfekt compliance". Målet er at få et grundniveau, der kan forklares og gentages. Det handler om at kunne svare på tre spørgsmål: Hvad beskytter vi? Hvad kan gå galt? Hvad gør vi, når det sker?

Her er en praktisk ugeplan, som mange SMV kan gennemføre med få ressourcer.

Før tabellen: Aftal én ansvarlig (ofte IT-chef, COO eller ekstern partner) og én beslutningstager i ledelsen.

Periode Fokus Leverance, som kan gemmes
Dag 1-7 Governance (ansvar og politikker) Roller, beslutningslog, 5-10 kerneregler (adgang, backup, opdateringer)
Dag 8-14 Risikovurdering Liste over vigtigste systemer, trusler, sandsynlighed og konsekvens
Dag 15-21 Leverandører og kontrakter Leverandørliste, kritikalitet, krav til sikkerhed og kontaktveje
Dag 22-30 Træning, test og dokumentation Øvelse i hændelse, log for patch/backup, mini-audit af adgangsstyring

Takeaway: Efter 30 dage har I "papir på virkeligheden". Det gør audits og kundeforespørgsler meget nemmere.

I uge 1 skal I gøre det kedelige først. Skriv ned, hvem der ejer sikkerhed, hvem der godkender risici, og hvem der ringer til hvem ved en hændelse. Hold det kort. Én side kan være nok, hvis den er klar.

I uge 2 skal I fokusere på de systemer, der holder virksomheden kørende. For mange SMV er det e-mail, filadgang, ERP, løn og kundedata. Skriv også afhængigheder ned, for eksempel internet, DNS og backup.

I uge 3 bliver leverandørerne centrale. Mange SMV outsourcer drift, printere, telefoni, hosting eller udvikling. NIS2 skubber jer til at stille krav, også selv om leverandøren er "stor og kendt".

I uge 4 skal I træne. Ikke med lange kurser. En kort øvelse virker: "En medarbejder har klikket på phishing. Hvad gør vi de næste 60 minutter?" I finder huller med det samme.

Husk tempoet i NIS2: Varsling kan være påkrævet inden 24 timer, derefter opdatering inden 72 timer, og en afsluttende rapport kan komme senere. Det kræver, at I kan reagere, også på en dårlig mandag.

Drift i hverdagen: support, hændelser og leverandører

Modern Nordic minimalist flat isometric infographic depicting SME supply chain under NIS2, with SME connected to two suppliers via arrows showing low (green), medium (yellow), high (red) risk levels, contract and lock icons, cloud network background, and text 'Leverandør risikostyring NIS2'. Leverandørkæde og risikoniveauer, som NIS2 kræver at man forholder sig til, skabt med AI.

NIS2 falder fra hinanden, hvis driften ikke virker. Det gælder især i SMV, hvor én person ofte bærer hele IT-ansvaret. Derfor hænger compliance tæt sammen med stabil It-support .

Når medarbejdere sidder fast, stopper arbejdet. Det kan være små ting, men de rammer hårdt: konto låst, Teams virker ikke, printerdrivere fejler, eller et delt drev forsvinder. Med NIS2 bliver disse problemer også et sikkerhedsspørgsmål, fordi midlertidige løsninger tit skaber nye risici (delte passwords, lokale kopier af data, "bare slå MFA fra").

Det er her værdien af hurtig hjælp til IT bliver tydelig. En god supportaftale giver ikke kun svar, den giver ensartede løsninger og dokumentation. Den skaber ro, fordi nogen tager ansvar for opdateringer, rettigheder og backup.

For mange danske SMV ligger en stor del af risikoen i Microsoft 365. Det er normalt helt fint. Men standardopsætning er sjældent nok. Arbejd med MFA, admin-konti, logning, backup af kritiske data og klare regler for deling. Det er klassiske "små justeringer" med stor effekt.

Leverandørstyring er næste flaskehals. Spørg jer selv: Hvem kan påvirke vores drift, data eller netværk? Det er ofte flere, end man tror. Få også styr på kontaktveje. Ved en hændelse skal I ikke lede efter en gammel mailtråd.

Hvis I vil forstå myndighedsroller og rammer i Danmark, kan denne gennemgang af NIS 2 compliance i Danmark være en brugbar referenceramme, især når I skal afklare CSIRT og tilsyn.

I lokalområdet ser Netdk samme mønster igen og igen i Aarhus, Lystrup og Randers: SMV vil gerne gøre det rigtigt, men de mangler tid og faste processer. Derfor giver det mening at bruge IT-eksperter, der både kan løse daglig drift og få styr på NIS2-kravene, uden at det bliver et skrivebordsprojekt.

Konklusion: NIS2 bliver nemmere, når driften er i orden

NIS2 i 2026 handler om at kunne vise styr på ansvar, risici, leverandører og hændelser. En 30-dages plan kan få jer fra "vi burde" til "vi kan dokumentere det". Samtidig gør stærk It-support det realistisk at holde niveauet, når hverdagen presser. Start med governance, fortsæt med risiko, og slut med træning og test. Det er den korteste vej til NIS2 danske SMV , der faktisk fungerer i praksis.