Esben, CEO of Cursum, is passionate about lifelong learning and works to create intuitive and engaging solutions that help both individuals and organizations to develop.
NIS2 træning: Sådan opfylder din virksomhed kravene i praksis
Siden 1. juli 2025 har Danmark haft sin egen NIS2-lov, og dermed er cybersikkerhed gået fra at være en ren IT-opgave til at være et lovkrav, som ledelsen hæfter personligt for. Et af de krav, der oftest bliver overset, handler hverken om firewalls eller kryptering, men om mennesker: NIS2 træning af både ledelse og medarbejdere.
Det giver god mening, når man ser på tallene. Verizons Data Breach Investigations Report fra 2025 viser, at den menneskelige faktor er involveret i omkring 60 procent af alle sikkerhedsbrud — typisk gennem phishing, social engineering eller simple fejl.
Denne guide gennemgår, hvad NIS2 konkret kræver af jeres træning, hvorfor en ren afkrydsningsøvelse sjældent er nok, og hvordan I organiserer, gennemfører og dokumenterer cybersikkerhedstræning, så den både flytter adfærd og kan stå mål med et tilsyn.
NIS2 i Danmark — kort status
Det danske lovgrundlag hedder lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau, i daglig tale NIS2-loven. Den blev vedtaget af Folketinget den 29. april 2025 og trådte i kraft 1. juli 2025, efter at Danmark havde været forsinket i forhold til EU's oprindelige frist den 17. oktober 2024. Omfattede enheder skulle registrere sig senest 1. oktober 2025.
Loven er en rammelov: én tværgående hovedlov suppleres af sektorspecifik lovgivning for blandt andet tele-, energi- og finanssektoren samt af bekendtgørelser. Styrelsen for Samfundssikkerhed (SAMSIK) koordinerer implementeringen, mens de sektoransvarlige myndigheder fører tilsyn i deres respektive sektorer.
Loven inddeler de omfattede virksomheder i væsentlige og vigtige enheder. En virksomhed er som udgangspunkt omfattet, hvis den hører under en af lovens sektorer og samtidig har mindst 50 ansatte eller en årlig omsætning og balance på over 10 millioner euro. Er du i tvivl om, hvorvidt din virksomhed er omfattet, er det værd at få afklaret tidligt — for træningskravet følger med.
Hvad NIS2 faktisk kræver af jeres træning
Selve træningsforpligtelsen står to steder i NIS2-direktivet, og det er værd at holde dem adskilt, fordi de ikke vejer lige tungt.
Ledelsen: et personligt ansvar
Artikel 20 placerer ansvaret for cybersikkerhed hos ledelsesorganet. Ledelsen skal godkende virksomhedens foranstaltninger til risikostyring, føre tilsyn med dem og kan holdes ansvarlig, hvis de ikke er på plads. Samme artikel slår fast, at medlemmer af ledelsesorganet skal gennemføre træning, så de har tilstrækkelig viden til at identificere risici og vurdere, om virksomhedens cybersikkerhed er god nok. For ledelsen er træning altså ikke en anbefaling — det er et direkte krav.
Resten af organisationen: rollebaseret træning
For de øvrige medarbejdere er billedet mere nuanceret. Artikel 20 opfordrer virksomhederne til løbende at tilbyde tilsvarende træning til medarbejderne, men formuleringen er en opfordring snarere end et direkte påbud. Til gengæld nævner artikel 21 grundlæggende cyberhygiejne og cybersikkerhedstræning som én af de ti foranstaltninger, enhver omfattet virksomhed skal have på plads. Den foranstaltning gælder hele arbejdsstyrken.
Konsekvensen er klar: en NIS2 træning, der kun rammer ledelsen, opfylder ikke loven. Træningen skal nå både toppen og gulvet — men ikke nødvendigvis med det samme indhold til alle. Det er her, rollebaseret træning kommer ind.
Derfor er en afkrydsning ikke nok
Mange virksomheder griber awareness-træning an som en årlig øvelse: alle ser den samme video, klikker sig gennem en quiz og får et flueben. Det dækker måske et formelt krav, men det flytter sjældent adfærden.
Verizons analyse peger på noget tankevækkende. Andelen af medarbejdere, der klikker på et simuleret phishing-forsøg — den såkaldte click rate — bliver stort set ikke påvirket af, om de har gennemført awareness-træning. Til gengæld stiger noget andet: rapporteringen af mistænkelige mails kan vokse op mod fire gange efter træning.
Pointen er ikke, at træning er spild af tid — tværtimod. Pointen er, at effekten ligger i adfærd og kultur, ikke i selve fluebenet. God security awareness handler om at gøre det normalt at sige til, om at gentage budskaberne hyppigt i korte doser frem for én gang om året, og om at tilpasse indholdet til den enkelte rolle. En systemadministrator, en indkøber og en frontlinjemedarbejder møder vidt forskellige trusler og bør trænes derefter.
Netop derfor virker korte, gentagne læringsmoduler ofte bedre end ét langt kursus om året. Vi har samlet erfaringerne med den tilgang i vores guide til microlearning i virksomheder.
Sådan organiserer du NIS2 træning med et LMS
Når træningen skal nå hele organisationen, gentages løbende og kunne dokumenteres over for et tilsyn, går et learning management system (LMS) hurtigt fra at være en bekvemmelighed til at være en nødvendighed. Den hyppigste anke ved et NIS2-tilsyn er nemlig ikke manglende aktivitet, men manglende dokumentation. Et LMS løser præcis det problem.
En platform som Cursum er ikke et NIS2-kursus i sig selv, men et værktøj, I kan bruge til at køre cybersikkerheds- og compliance-træning — og til at gøre indsatsen struktureret og dokumenterbar. Konkret understøtter platformen arbejdet på flere måder:
• Opdeling efter rolle: Opdel brugere og kurser efter rolle, sprog og placering, så forskellige medarbejdergrupper kan få relevant indhold frem for én ensartet løsning til alle.
• Quizzer og certifikater: Afslut hvert modul med en videnstest, og udsted et certifikat, der fungerer som bevis på gennemførelse.
• Rapportering: Følg gennemførelsesgrad, testresultater og datoer i ét samlet overblik — netop den dokumentation, en revisor eller tilsynsmyndighed kan bede om.
• Import af eksisterende indhold: Har I allerede awareness-materiale i SCORM-, xAPI- eller CMI5-format, kan det importeres direkte, så I ikke skal starte forfra.
• Mobil adgang: Frontlinjemedarbejdere uden fast skrivebord kan gennemføre træningen fra deres telefon.
• White-label: Hele oplevelsen bærer jeres eget brand, så træningen føles som en naturlig del af virksomheden.
NIS2 træning lever ikke isoleret. Den hænger tæt sammen med anden lovpligtig træning, I sandsynligvis allerede arbejder med — for eksempel GDPR-træning for medarbejdere og bredere compliance træning med et LMS. Mange af de samme principper om gentagelse, dokumentation og rollebaseret indhold går igen, og det taler for at samle det hele ét sted. Vil I gå mere i dybden med selve indholdet, har vi også en praktisk gennemgang af IT-sikkerhedskurser, der beskytter virksomheden indefra.
Kom godt i gang med NIS2 træning
Du behøver ikke have alt på plads på én gang. En fornuftig rækkefølge kan være:
1. Afklar, om virksomheden er omfattet, og hvilke roller der har størst risiko.
2. Sørg først for ledelsens træning — det er det klareste lovkrav og den hyppigste mangel.
3. Rul en grundlæggende awareness-træning ud til alle medarbejdere, og suppler med rollebaseret indhold til de mest udsatte funktioner.
4. Gør træningen tilbagevendende frem for en engangsforeteelse.
5. Dokumentér alt — hvem, hvad og hvornår — så I kan fremvise det ved et tilsyn.
NIS2 træning handler i sidste ende ikke kun om at undgå sanktioner, men om at gøre cybersikkerhed til en del af hverdagen, hvor medarbejderne er den vigtigste forsvarslinje. Et veltilrettelagt LMS gør den indsats både mulig og målbar.
Vil du se, hvordan et LMS som Cursum kan understøtte jeres cybersikkerheds- og compliance-træning? Find flere guides til compliance og medarbejdertræning på vores blog — eller kontakt os, så viser vi dig platformen i praksis.
