Lær om DORA, IFRS 16, NIS2 og kontrakthåndtering | House of control

NIS2-dokumentation: Hvad revisoren forventer | House of Control

Skrevet af House of Control | 11.02.2026

Én ting er at implementere de sikkerhedsforanstaltninger, som NIS2 kræver, men noget helt andet er at være klar til en audit. Ifølge NIS2-direktivet skal beredskabet vurderes gennem dokumentation, og auditørerne forventer, at denne dokumentation er struktureret, sporbar og integreret i den daglige drift.

Dokumentation er derfor ikke valgfri, når det drejer sig om NIS2-overholdelse. Det er selve grundlaget, som auditørerne bruger til at verificere, at en organisation rent faktisk opfylder kravene i artikel 21 og 23.

For at opsummere

  • NIS2-audits vurderer systemer, processer og dokumenterede beviser, ikke antagelser.
  • Auditører forventer dokumentation, der viser reel implementering, ikke bare politikker.
  • Dokumentationen skal dække governance, risikostyring, hændelsesstyring og tredjepartskontrol.
  • Dokumentationen skal være struktureret, sammenhængende og tilgængelig på anmodning.
  • Løbende dokumentation er langt mere effektiv end forberedelser i sidste øjeblik.

Hvorfor er NIS2-dokumentation vigtig for auditorer?

NIS2 indfører betydelige sanktioner for manglende overholdelse. Tilsynsmyndighederne vil ikke kun se på, om der er indført sikkerhedsforanstaltninger, men også på, hvor effektive de er i praksis.

For auditorer betyder det, at politikker alene ikke er nok. De vil bede om at se, hvordan foranstaltningerne er blevet implementeret over tid: hvad der er blevet besluttet, hvem der er ansvarlig, hvordan der følges op på risici, og hvilke spor det efterlader.

Kort sagt er NIS2-dokumentation den portefølje af beviser, der bekræfter, at din organisations systemer, mennesker og processer fungerer efter hensigten.

Hvad kigger auditorer egentlig efter i en NIS2-audit?

I praksis er NIS2-audits ofte struktureret omkring fire hovedområder.

1. Bevis for styring og ledelse (artikel 23)

Audits starter i toppen. Auditører vil forvente at se følgende:

  • Dokumenteret godkendelse af sikkerhedsforanstaltninger af bestyrelsen eller den øverste ledelse.
  • Klart definerede roller og ansvarsområder.
  • Mødereferater og styringsdokumenter, der viser aktivt tilsyn.

Dette er kernen i artikel 23: Datasikkerhed skal være et dokumenteret ledelsesansvar, ikke bare en it-opgave, der uddelegeres uformelt.

2. Dokumentation af risikostyring (artikel 21)

Revisorer ser på, om arbejdet med risikostyring er systematisk, kan gentages og holdes opdateret:

  • Risikovurderinger og risikoregistre.
  • Dokumenteret trusselsmodellering.
  • Risikostyringsplaner og dokumentation af opdateringer.
  • Risikovurderinger af leverandører og tredjeparter.

Revisorer er på udkig efter levende dokumentation, ikke statiske øjebliksbilleder. Risiko skal håndteres løbende, ikke arkiveres.

Læs mere: NIS2-direktivets 24-timers-regel: Håndtering af krav til indberetning af hændelser.

3. Logs til hændelsesrespons og kontinuitet

Forebyggende foranstaltninger er vigtige, men auditører fokuserer også på, hvad der sker, når der opstår hændelser:

  • Dokumenterede og testede planer for hændelsesrespons.
  • Historiske hændelseslogs og resultater.
  • Bevis for simuleringer og øvelser.
  • Planer for krisekommunikation.

Dette viser reel operationel modstandsdygtighed, ikke bare teoretisk beredskab.

4. Bevis for kontrol af leverandører og tredjeparter

I betragtning af NIS2's stærke fokus på gensidig afhængighed vil auditørerne gennemgå:

  • Kontrakter med eksplicitte sikkerhedskrav.
  • Dokumenterede sikkerhedsvurderinger fra tredjeparter.
  • Dokumentation for leverandørrisiko.
  • Registreringer af løbende overvågning og opfølgning.

Dette afspejler forventningen om, at risikoen skal håndteres i hele værdikæden, ikke kun internt i din egen organisation.

Hvad kendetegner god NIS2-dokumentation i praksis?

Effektiv NIS2-dokumentation hænger sammen. Retningslinjer skal knyttes til beslutninger. Beslutninger skal knyttes til handlinger. Handlinger skal knyttes til kontrakter, ejerskab og faktiske begivenheder.

Eksempler på dette kan være:

  • Risikostyringsplaner, der er knyttet direkte til testresultater.
  • Beredskabsplaner, der er knyttet til faktiske hændelseslogfiler.
  • Leverandørkontrakter, der er knyttet til løbende risiko- og præstationsvurderinger.

Det er derfor, at mapper fulde af PDF'er sjældent tilfredsstiller auditorer. De forventer dokumentation, der kan spores på tværs af domæner og hentes hurtigt efter behov.

For mange organisationer er det her, at strukturerede digitale systemer bliver afgørende. Når kontrakter, ansvar, risici og opfølgning er samlet ét sted, understøtter dokumentationen både de operationelle krav i artikel 21 og ledelsens forpligtelser i artikel 23.

NIS2: Forskellen mellem dokumenter og faktiske beviser

En almindelig faldgrube er dokumentation, der ser komplet ud på papiret, men som ikke afspejler den faktiske drift.

Revisorer tester normalt igen:

  • At kontrollerne efterleves over tid, og ikke blot er beskrevet.
  • Begivenheder logges med tidsstempler og ejerskab.
  • Dokumentationen afspejler organisatoriske og teknologiske ændringer.
  • Kontraktvilkår håndhæves med målbare resultater.

Struktur og sporbarhed er afgørende her. Uden dette vil dokumentationen hurtigt falde fra hinanden under auditørernes granskning.

Hvordan skal organisationer udarbejde dokumentation, der kan modstå en revision?

  • Start tidligt, og opbyg løbende. Auditører forventer at se historik frem for dokumentation, der er hastigt udarbejdet umiddelbart før en audit.
  • Tildel klart ejerskab. Hver kontrol bør have en navngiven ansvarlig part.
  • Brug strukturerede systemer. Cloud-lagring alene er ikke tilstrækkeligt. Dokumentation skal være søgbar, forbundet og sporbar.
  • Henvis udtrykkeligt til NIS2-kravene. Artikel 21 og 23 skal afspejles tydeligt i ledelsesstrukturer og -aftaler.

Ved at behandle dokumentation som en løbende indsats snarere end et "engangsprojekt" forbereder organisationer sig ikke kun på revisioner, de styrker også deres daglige risikostyring.

De vigtigste punkter

  • Behandl dokumentation som bevismateriale, ikke bare papirarbejde.
  • Sørg for, at styring og ledelsestilsyn er dokumenteret i overensstemmelse med artikel 23.
  • Oprethold struktureret og opdateret risikodokumentation i overensstemmelse med artikel 21.
  • Forbind kontrakter, risici og operationel dokumentation i en sammenhængende struktur.
  • Opbyg løbende revisionsberedskab i stedet for kun at reagere, når revisionen starter.

 

Vigtig information: House of Control er en softwarevirksomhed. Vi leverer ikke konsulenttjenester i forbindelse med NIS2-overholdelse. At følge denne vejledning garanterer derfor ikke overholdelse af alle juridiske krav i NIS2. Indholdet i denne artikel er baseret på vores egen gennemgang af NIS2-kravene og vores erfaring med overholdelse af lovgivningen samt inspiration fra forskellige organisationer, der tilbyder rådgivningstjenester. Vi påtager os intet ansvar for manglende overholdelse af NIS2-kravene eller for konsekvenser som følge af brugen af denne vejledning.
Se hele indlægget