Risk2resiliency

Risk to resilience - rådgivning fra lovkrav til robust drift

NIS2, CER og DORA flytter sikkerhed og beredskab fra it-afdelingen op i ledelsen. Risk to resilience er NIRAS' rådgivningskoncept, der binder de nye lovkrav sammen med jeres risikostyring, dokumentation, beredskabsplaner og forretningskontinuitet i et samlet årshjul, I selv kan drive videre.

Hvad er Risk to resilience?

Risk to resilience er en samlet tilgang til de virksomheder og offentlige myndigheder, der er, eller forventer at blive, omfattet af EU's nye sikkerhedslovgivning. Tilgangen samler discipliner, der historisk har levet hver for sig: enterprise risk management, fysisk og digital sikring, informationssikkerhed, beredskab, forretningskontinuitet og krisestyring.

Resultatet er en rød tråd fra risikobillede til ledelsesbeslutning, og videre til de planer, politikker og procedurer, der gør beslutningen efterprøvelig. Vi rådgiver både vertikalt i sikkerhedsdokumenters hierarki og horisontalt på tværs af de processer, der berører risici, sikkerhed og træning.

NIS2, CER og DORA, når compliance bliver et ledelsesansvar

De tre nye regelsæt rammer forskellige dele af samfundet, men de stiller beslægtede krav. NIS2 dækker cybersikkerhed i kritiske og vigtige sektorer og er implementeret i dansk ret med ikrafttræden 1. juli 2025. CER stiller krav til fysisk modstandsdygtighed hos kritiske enheder i ti samfundsvigtige sektorer, og myndighederne udpeger de omfattede virksomheder fra 2026. DORA er en EU-forordning, der gælder direkte for finansielle virksomheder og deres IKT-leverandører fra 17. januar 2025.

Fællesnævneren er, at ledelsen skal kunne dokumentere risikobilledet, kontinuitetsplanerne og hændelseshåndteringen, og selv kunne drive arbejdet videre, år efter år. Det er det arbejde, Risk to resilience-rådgivningen er bygget til at understøtte.

EKG-lignende kurve: rød sektion demonstrerer risikofase, grøn sektion viser resiliensfase

NIRAS' Risk to resilience-rådgivning, fra evaluering til årshjul

Vi tilbyder rådgivningen som enkeltstående opgaver eller som et samlet program, afhængigt af hvor I står, og hvor hurtigt I skal være compliant.

Sikkerhedsevaluering og praktisk revision

En komplet gennemgang af jeres sikkerhedspolitikker, standarder og operationelle procedurer. Vi følger op med en praktisk revision i felten, så vi kan se, hvor det skrevne ord matcher hverdagen, og hvor der er hul mellem politik og praksis. I får en rapport med konkrete forslag til forbedringer.

Risiko-, GAP- og konsekvensanalyser

Vi laver risikovurderinger, GAP-analyser og konsekvensanalyser med udgangspunkt i den lovgivning, jeres organisation skal efterleve, og i jeres egne politikker og standarder. Analyserne kører i samarbejde med jer, så ejerskabet er forankret hos jer, når dokumentet ligger færdigt.

Politikker, planer og standarder

Vi udarbejder eller opdaterer sikkerhedspolitikker, sikringsplaner, beredskabsplaner, kontinuitetsplaner, genskabelsesplaner og krisestyringsplaner. Dokumenterne er bygget op, så de er konsistente på tværs af niveauer og enkle at vedligeholde, når jeres organisation overtager driften.

Forretningskontinuitet og beredskab i et BCM-årshjul

Vi opbygger et praktisk årshjul for Business Continuity Management, hvor jeres dokumenter og kendte standarder er rammeværket. Årshjulet indeholder de cykliske opgaver, der fastholder modstandsdygtighed: review af planer, tests, øvelser, træning og rapportering til ledelsen. Vi kan drive årshjulet i en opstartsperiode eller klæde jer på til at gøre det selv.

Træning, øvelser og krisestyring

Politikker og planer er først robuste, når organisationen har afprøvet dem. Vi designer og afvikler træning, table-top-øvelser og fuldskala-tests for ledelse, beredskab og driftsorganisation, så I ved, hvor I står, før en hændelse rammer.

En lokal rådgiver med global rækkevidde

Mange af de organisationer, vi rådgiver, har lokationer i flere lande. Risk to resilience-rådgivningen leveres samlet, så GRC (Governance, Risk og Compliance) hænger sammen på koncernniveau, mens lokale tilpasninger kan rummes inden for samme ramme. I møder en lokalt forankret rådgiver, der kender de lokale risici og myndighedskrav, og som har den globale faglighed med i bagagen.

Vil du vide mere?

Jens Kristian Krüger

Jens Kristian Krüger

Afdelingschef

Allerød, Denmark

+45 2423 4526

Poul Frank Isager

Poul Frank Isager

Seniorrådgiver

Allerød, Denmark

+45 2753 2684

Se også:

Sikring Sikkerhed

Sikring og sikkerhed
IOT 2 11 2

IoT og sensorer

Ofte stillede spørgsmål om Risk to resilience, NIS2, CER og DORA

Hvad er forskellen på NIS2, CER og DORA?

NIS2 regulerer cybersikkerhed, CER regulerer fysisk modstandsdygtighed, og DORA regulerer digital robusthed i den finansielle sektor. NIS2 og CER er direktiver, der er omsat til dansk lov, mens DORA er en EU-forordning med direkte virkning. De tre supplerer hinanden, og mange organisationer er omfattet af mere end ét regelsæt på samme tid.

Hvornår træder NIS2, CER og DORA i kraft?

DORA har haft direkte virkning i hele EU siden 17. januar 2025. NIS2-loven og CER-loven trådte begge i kraft i Danmark den 1. juli 2025. For CER udpeger myndighederne de omfattede kritiske enheder i løbet af 2026, hvorefter enhederne har cirka ti måneder til at leve op til kravene.

Hvem er omfattet af NIS2?

NIS2 omfatter både private og offentlige aktører i kritiske og vigtige sektorer, blandt andet energi, transport, sundhed, drikkevand, digital infrastruktur og fødevarer. Loven skelner mellem væsentlige og vigtige enheder, og omfattede virksomheder skal selv registrere sig hos myndighederne. Er I i tvivl, kan en gap-analyse afklare, om og hvordan I er omfattet.

Hvad er CER-direktivet, og hvem bliver omfattet?

CER stiller krav til fysisk modstandsdygtighed hos kritiske enheder i samfundsvigtige sektorer som energi, transport, sundhed og vand. Det er myndighederne, der udpeger de konkrete virksomheder. Bliver I udpeget som kritisk enhed under CER, er I samtidig omfattet af NIS2, så fysisk og digital sikkerhed skal hænge sammen.

Hvilket ansvar har ledelsen under NIS2 og DORA?

Både NIS2 og DORA placerer ansvaret for risikostyring direkte hos den øverste ledelse. Under NIS2 skal ledelsen godkende sikkerhedsforanstaltningerne og deltage i uddannelse, og bøderne kan nå 10 millioner euro eller 2 procent af den globale omsætning. Under DORA bærer ledelsen det endelige ansvar for styringen af IKT-risici.

Hvilke krav stiller reglerne til beredskab og forretningskontinuitet?

Reglerne kræver, at I kan opretholde driften under en hændelse og hurtigt genoprette kritiske funktioner. I praksis betyder det testede beredskabsplaner, klare roller, kontinuitetsstrategier og dokumenterede procedurer for hændelsesrapportering. Planerne skal afprøves og vedligeholdes cyklisk, ikke skrives én gang og lægges på hylden. Et BCM-årshjul holder arbejdet i gang år efter år.

Hvordan kommer vi i gang med NIS2, CER eller DORA?

Start med at afklare, om I er omfattet, og lav derefter en gap-analyse, der viser afstanden mellem jeres nuværende sikkerhed og lovkravene. Derfra prioriterer I indsatsen i en handleplan og forankrer den i et årshjul. NIRAS kan drive forløbet fra første evaluering til et BCM-årshjul, I selv kan køre videre.