Skal alle medarbejdere have den samme uddannelse?

Nej, uddannelsen skal tilpasses roller og ansvar. Alle medarbejdere skal have grundlæggende awareness træning i cyberhygiejne, phishing og adgangskoder. Men kritisk personale som IT-ansatte eller driftspersonale skal have målrettet, specialiseret uddannelse der matcher deres specifikke risici og ansvar.

Hvor ofte skal NIS2 uddannelse gentages?

NIS2 kræver løbende uddannelse, ikke bare et enkeltstående kursus. Organisationen skal etablere en plan for, hvordan viden udvikles og vedligeholdes over tid. Typisk anbefales årlig awareness træning for alle medarbejdere og mere hyppige opdateringer for kritisk personale, samt løbende uddannelse af ledelsen i nye trusler.

Hvordan dokumenterer jeg NIS2 uddannelse?

Dokumentér med kursusbevis, deltagerlister, beskrivelse af læringsmål og kursusindhold, samt gemt uddannelsesmateriale. Ved egne kurser: lav deltagerliste, beskriv indhold og gem materialer. Dokumentationen skal kunne forevises myndighederne ved tilsyn. Brug gerne software til at holde styr på hvem der har gennemført hvilke kurser.

Hvad er en uddannelsespolitik, og skal jeg have en?

En uddannelsespolitik beskriver systematisk hvordan organisationen efterlever NIS2's uddannelseskrav. Den indeholder roller, uddannelsesbehov pr. rolle, indhold, hyppighed og dokumentation. Det er ikke et formelt krav, men en stærkt anbefalet struktureret tilgang der både letter compliance-arbejdet og fungerer som dokumentation over for myndighederne.

Kan vi bruge e-læring til NIS2 uddannelse?

Ja, e-læring er en effektiv metode til NIS2 uddannelse, især til awareness træning for alle medarbejdere. E-læringsplatforme kan dække phishing, adgangskoder, social engineering mv. For ledelsen og kritisk personale kan det suppleres med workshops, eksterne kurser eller certificeringer. Det vigtige er at dokumentationen er på plads.

Hvad koster det hvis vi ikke uddanner vores medarbejdere?

Manglende efterlevelse af NIS2's uddannelseskrav kan medføre bøder op til €10 millioner eller 2% af global omsætning for væsentlige enheder (€7 mio/1,4% for vigtige enheder). Derudover kan ledelsen blive personligt sanktioneret ved grove forsømmelser. Vigtigst er dog, at manglende uddannelse svækker faktisk cybersikkerhed og øger risikoen for sikkerhedshændelser.

Skal nye medarbejdere også have cybersikkerhedsuddannelse?

Ja, nye medarbejdere skal have cybersikkerhedsuddannelse som del af deres onboarding. Dette sikrer, at alle fra start har den nødvendige viden om organisationens sikkerhedspraksis. Inkluder grundlæggende awareness træning i introduktionsprogrammet, og tilføj rollespecifik uddannelse baseret på stillingens ansvar.

Hvordan holder jeg uddannelsen opdateret med nye trusler?

Etablér en proces for løbende opdatering af uddannelsesindhold baseret på nye trusler og hændelser. Følg med i cybersikkerhedsnyheder, incident rapporter fra CSIRT og brancheopdateringer. Opdater uddannelsesmateriale mindst årligt, og overvej ad-hoc opdateringer når nye væsentlige trusler opstår. Inkluder aktuelle eksempler i awareness træningen.

NIS2 › NIS2 Compliance

NIS2 Uddannelseskrav: Komplet Guide til Cybersikkerhedstræning

Q: Hvem skal uddannes efter NIS2?

NIS2 kræver, at både ledelsen og alle medarbejdere i omfattede organisationer uddannes i cybersikkerhed. Ledelsen skal have strategisk viden om cybersikkerhedsrisici og governance, mens medarbejdere skal have grundlæggende cyberhygiejne og rollespecifik uddannelse baseret på deres ansvar i organisationen.

Q: Hvad skal ledelsens cybersikkerhedsuddannelse indeholde?

Ledelsen skal uddannes i strategisk cybersikkerhed, governance, risikostyring og relevante standarder som ISO 27001. Uddannelsen kan være toplederkurser, workshops om strategi, eller certificeringskurser. Det vigtige er, at ledelsen får kompetencer til at forstå cybersikkerhedstrusler, vurdere risici og træffe kvalificerede beslutninger.

NIS2 kræver cybersikkerhedsuddannelse for både ledelse og medarbejdere. Få overblik over kravene, hvad uddannelsen skal indeholde, og hvordan du kommer i gang med compliance.

Illustration af NIS2 træningskrav vist på en computerskærm med tjekliste, skjold-ikon og turkisgrøn fremdriftsbjælke på blå-lilla gradientbaggrund.

NIS2 kræver, at både ledelsen og medarbejderne i de omfattede organisationer får den rette uddannelse inden for cybersikkerhed.

Denne artikel gennemgår uddannelseskravene i NIS2, og herunder hvem der skal uddannes, hvad uddannelsen skal indeholde, samt tips til at komme i gang.

Du kan læse vores introduktion til NIS2, hvis du ønsker et overblik over direktivet.

Uddannelse er et Ledelsesansvar

NIS2 lægger et særligt ansvar på ledelsens inddragelse i styringen af organisationens cybersikkerhedsindsats, og derfor er det både en god idé og et krav, at medlemmerne af ledelsen skal have den nødvendige viden, hvilket kan komme ved deltagelse i relevante kurser om cybersikkerhed. Med dette sikres, at ledelsen har en stærkere faglig ballast til at styre disse risici.

Samtidig stiller NIS2 krav om, at foranstaltningerne omfatter grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse, hvilket medarbejderne derfor skal uddannes i.

Illustration af governance-dashboard med risikomåler, compliance-status og rapportering, der visualiserer ledelsens ansvar under NIS2.

Dette krav skal efterleves løbende, hvilket betyder, at man ikke bare kan bede de relevante medarbejdere om at tage et enkeltstående kursus. Man skal i stedet sikre sig, at alle i organisationen har færdigheder inden for 'grundlæggende cyberhygiejnepraksisser'. Derfor bør organisationen etablere en plan for, hvordan viden og adfærd udvikles og vedligeholdes over tid.

Der er altså både et NIS2-krav om uddannelse til lederne, samt organisationen som helhed, og at alle har den nødvendige viden og praksis inden for cybersikkerhed til at varetage deres roller.

Hvad Skal Ledelsens Uddannelse Indeholde?

For at leve op til NIS2 skal ledelsen have tilstrækkelig viden om cybersikkerhed, så de kan træffe kvalificerede beslutninger herom. NIS2 kræver derfor, at medlemmerne af ledelsen tilegner sig viden og kompetencer, fx via relevante kurser om styring af cybersikkerhedsrisici. Der er ikke rigide krav til hvordan dette skal efterleves. Det vigtige er, at ledelsen som helhed får kompetencerne til at forstå cybersikkerhedstruslerne, samt vurdere organisationens risici og træffe kvalificerede beslutninger om emnet.

Det ville fx være passende at ledelsen uddannes i generelle kurser om IT-sikkerhed, risikostyring, relevante lovkrav på IT-området, samt relevante IT-sikkerhedsstandarder.

Eksempler på Relevant Uddannelse for Ledelsen

Generelle kurser i cyber- og informationssikkerhed – Introduktion til cybersikkerhedslandskabet og trusselsbilleder
Målrettede toplederkurser – Strategisk cybersikkerhedsledelse for direktører og bestyrelsesmedlemmer
Workshops om governance og strategi – Fokus på organisationens specifikke behov og sektor
Certificeringskurser – Fx ISO 27001 eller andre informationssikkerhedsstandarder
Interne kurser – Undervisning der tager udgangspunkt i ledelsens konkrete organisation og sektor

NIS2 fastlægger ikke detaljerede krav til form og indhold af uddannelsen, men det er vigtigt, at uddannelsen ses i lyset af NIS2, som omhandler cybersikkerhed i den kritiske infrastruktur, samt i lyset af de ledelseskrav NIS2 stiller ift. governance.

Hvad Skal Medarbejdernes Uddannelse Indeholde?

Det er medarbejderne, der til dagligt arbejder med systemer, data og kommunikation, og som derfor også er de vigtigste i organisationens daglige cybersikkerhedsindsats. NIS2 understreger derfor også, at cybersikkerhed handler om adfærd og kompetencer hos den enkelte medarbejder.

Ledelsen skal tilskynde til, at medarbejderne modtager tilsvarende træning, dvs. at medarbejderne også modtager uddannelse, der tilsvarer deres rolle i organisationen, hvilket derfor kan være forskelligt fra ledelsens uddannelse.

Awareness Træning for Alle Medarbejdere

Du kan eksempelvis uddanne medarbejderne med awareness træning, som alle medarbejdere gennemfører, og som lægger et fundament for medarbejdernes bevidsthed og viden om cybersikkerhed. Det kan ske ved et e-læringsforløb, der forklarer de mest almindelige trusler som phishing og andre social engineering angreb, adgangskodesikkerhed, informationsdeling og fysisk sikkerhed.

Træningen skal være forståelig og relevant for alle med ansvar for leveringen af den kritiske ydelse til slutbrugeren. Det kan være driftspersonalet, der har direkte adgang til produktionsfaciliteterne, eller administrativt personale med adgang til centrale systemer, samt enhver med adgang til organisationens faciliteter.

Målrettet Uddannelse for Kritisk Personale

Du bør sikre, at personale med særligt ansvar for den leverede tjeneste, fx driftspersonalet eller IT, modtager uddannelse der stemmer overens med risikovurderingen. Det kritiske personale bør derfor have målrettet uddannelse, da deres arbejde medfører en større risiko for leveringen af tjenesten.

Den målrettede uddannelse kan også foregå som e-læringsforløb med specialiserede kurser, eller med interne workshops om emnerne eller via deltagelse i eksterne uddannelsesforløb. Det vigtigste er, at man løbende får uddannet medarbejderne, så de hver især kan håndtere de risici, som organisationen og sektoren står overfor.

Medarbejdergruppe	Uddannelsesbehov	Eksempler
Ledelse	Strategisk cybersikkerhed, governance, risikostyring	Toplederkurser, ISO 27001, workshops
Alle medarbejdere	Grundlæggende cyberhygiejne, phishing, adgangskoder	Awareness træning, e-læring
IT-personale	Teknisk cybersikkerhed, incident response, netværkssikkerhed	Certificeringer, tekniske kurser
Driftspersonale	Operationel sikkerhed, fysisk sikkerhed, procedurer	Målrettede workshops, on-the-job træning
HR & Administration	Databeskyttelse, fortrolig information, social engineering	GDPR kurser, awareness træning

Dokumentation af Uddannelse

Uddannelsen skal dokumenteres fx med et kursusbevis eller en skriftlig bekræftelse på deltagelse, så den kan gives til myndighederne ved et tilsyn.

Illustration af kontinuerlig træningscyklus med dokument, turkisgrønne checkmarks og cirkulære pile på lyseblå baggrund.

Hvis du vælger at afholde egne uddannelsesforløb, fx kurser, så kan du lave en deltagerliste, beskrive læringsmålene og kursusindholdet samt gemme uddannelsesmaterialet. Det behøver ikke være kompliceret.

Hvad Skal Dokumenteres?

✓ Deltagerlister – Hvem har gennemført hvilke kurser
✓ Kursusindhold – Hvad blev undervist i
✓ Læringsmål – Hvad skulle deltagerne lære
✓ Kursusbeviser – Dokumentation for gennemført uddannelse
✓ Uddannelsesmateriale – Slides, manualer, e-læring
✓ Evalueringer – Tests eller vurderinger af læring

Brug informationssikkerhedssoftware til at holde styr på dokumentationen og sikre, at alle medarbejdere er opdateret med deres træning.

Uddannelsespolitik: Struktureret Tilgang til NIS2 Krav

NIS2's krav til organisationens uddannelse i cybersikkerhed er betydelige, og derfor er det også en god idé at antage en struktureret tilgang til kravet ved at lave en uddannelsespolitik eller -plan.

Din uddannelsespolitik kan beskrive de forskellige medarbejdergrupper og deres opgaver. Dette kan du bruge til at give målrettet uddannelse, så opgaver der indebærer større risici modtager målrettet træning.

Hvad Skal en Uddannelsespolitik Indeholde?

Formål og scope – Hvorfor uddanner vi, og hvem omfatter det?
Roller og ansvar – Hvem er ansvarlig for hvad i uddannelsesarbejdet?
Uddannelsesbehov pr. rolle – Hvilke kompetencer kræves i forskellige stillinger?
Uddannelsesindhold – Hvilke emner skal dækkes?
Hyppighed – Hvor ofte skal uddannelse gentages?
Leveringsmetode – E-læring, workshops, eksterne kurser?
Dokumentation og opfølgning – Hvordan dokumenteres og evalueres uddannelsen?
Opdatering – Hvordan holdes politikken ajour med nye trusler?

Du bør angive formålet med træningen for hver medarbejdergruppe, og herefter tilrettelægge deres uddannelse i overensstemmelse hermed fx indhold, hyppighed, tests, dokumentation.

Uddannelsespolitikken behøver ikke at være lang, og skal blot bruges som en operationel hjælp til uddannelsesarbejdet, og så fungerer den også som dokumentation.

Manglende Efterlevelse af Uddannelseskravet i NIS2

Hvis din organisation ikke lever op til uddannelseskravene i NIS2, så kan det få konsekvenser for ledelsen, som kan sanktioneres, og derudover kan organisationen få en bøde.

NIS2 indebærer personligt ledelsesansvar, hvilket betyder at medlemmer af bestyrelsen eller direktion kan blive personligt ansvarlige ved grove forsømmelser, herunder manglende uddannelse i cybersikkerhed.

Bøder for manglende compliance kan være betydelige:

Væsentlige enheder: Op til €10 millioner eller 2% af global årlig omsætning
Vigtige enheder: Op til €7 millioner eller 1,4% af global årlig omsætning

Ud over økonomiske sanktioner kan manglende uddannelse også svække organisationens faktiske cybersikkerhed og øge risikoen for sikkerhedshændelser.

Tag Handling: Kom i Gang med NIS2 Uddannelse

NIS2 stiller uddannelseskrav til både ledelse og medarbejdere. Her er en praktisk tilgang til at komme i gang:

Trin 1: Vurder Nuværende Kompetencer

Kortlæg eksisterende viden om cybersikkerhed i organisationen
Identificér kompetencegaps i forhold til NIS2 krav
Prioritér hvilke områder der kræver mest akut uddannelse

Trin 2: Udvikl Uddannelsespolitik

Definer roller og deres uddannelsesbehov
Fastlæg hyppighed og leveringsmetoder
Etablér dokumentationsprocedurer

Trin 3: Implementer Uddannelse

Start med ledelsens uddannelse – det sender et vigtigt signal
Udbred awareness træning til alle medarbejdere
Tilbyd målrettet uddannelse til kritisk personale

Trin 4: Dokumentér og Evaluer

Hold styr på hvem der har gennemført hvilke kurser
Evaluer effekten af uddannelsen
Opdater og juster løbende baseret på ny viden og trusler

Tilrettelæg organisationens uddannelse, så det matcher roller og behov, og beskriv alt dette i en uddannelsespolitik. Det vil gøre det nemmere at træffe beslutning om, hvordan uddannelseskravet løbende efterleves, samt justere uddannelsesindsatsen efter behov.

Hos .legal kan vi hjælpe dig med at strukturere din NIS2 compliance, herunder håndtering af uddannelseskrav og dokumentation. Se hvordan vores Frameworks modul understøtter NIS2 compliance eller book en demo.

Ofte stillede spørgsmål om NIS2 uddannelse

Hvem skal uddannes efter NIS2?

NIS2 kræver uddannelse af både ledelsesorganer og alle medarbejdere. Ledelsen skal modtage specifik cybersikkerhedstræning for at forstå risici og vurdere cybersikkerhedsforanstaltninger. Alle medarbejdere skal modtage regelmæssig træning i at identificere og reagere på cybertrusler.

Hvad skal ledelsens cybersikkerhedsuddannelse indeholde?

Ledelsesuddannelse bør dække organisationens trusselslandskab, NIS2 juridiske forpligtelser og sanktioner, risikostyringsframeworks, hændelsesrespons-procedurer, personligt ansvar under NIS2, forsyningskædesikkerhed og evaluering af cybersikkerhedsinvesteringer.

Hvor ofte skal NIS2-uddannelse gennemføres?

NIS2 specificerer ikke nøjagtig frekvens, men uddannelse skal være regelmæssig og løbende. Best practice er årlig uddannelse for alt personale med supplerende sessioner ved ændrede trusler, efter hændelser, for nye medarbejdere og ved opdaterede politikker.

Hvilke emner bør medarbejdernes cybersikkerhedsuddannelse dække?

Medarbejderuddannelse bør inkludere genkendelse af phishing og social engineering, adgangskodesikkerhed, sikker datahåndtering, hændelsesrapporteringsprocedurer, acceptabel brugspolitik, mobil- og fjernarbejdssikkerhed og bevidsthed om aktuelle trusselstendenser.

Kan NIS2-uddannelse leveres online?

Ja, NIS2 foreskriver ikke et specifikt leveringsformat. Online uddannelse, e-læringsplatforme, fysiske workshops og blandede tilgange er alle acceptable. Nøglekravet er, at uddannelsen er effektiv, dokumenteret og når alt relevant personale.

Hvilken dokumentation har jeg brug for til NIS2-uddannelsescompliance?

Dokumenter jeres uddannelsesprogram herunder indholdsbeskrivelser, leveringsplaner, deltagerlister, vurderingsresultater og dokumentation for regelmæssige opdateringer. Dokumenter også, hvordan uddannelsesindholdet adresserer specifikke NIS2-krav.

Hvad er konsekvenserne af utilstrækkelig NIS2-uddannelse?

Utilstrækkelig uddannelse kan føre til regulatoriske bøder, men endnu vigtigere kan ledelsen holdes personligt ansvarlig under NIS2. Myndigheder kan udstede påbud, pålægge bøder og i alvorlige tilfælde midlertidigt forbyde personer fra ledelsespositioner.

Skal NIS2-uddannelse tilpasses efter rolle?

Ja, uddannelse bør tilpasses roller. Ledelsen har brug for strategisk cybersikkerhedsforståelse, IT-personale har brug for teknisk sikkerhedsuddannelse, og almindelige medarbejdere har brug for praktisk bevidsthedstræning tilpasset deres ansvar.

Hvordan forholder NIS2-uddannelse sig til ISO 27001 bevidsthedskrav?

ISO 27001 kræver også sikkerhedsbevidsthed og -uddannelse (Annex A 6.3). NIS2-uddannelse kan bygge på ISO 27001 programmer, men skal desuden dække NIS2-specifikke emner som hændelsesrapporteringsforpligtelser og ledelsesansvar.

Hvordan måler man uddannelseseffektivitet under NIS2 bedst?

Brug en kombination af videnstest, phishing-simuleringer, hændelsesresponsøvelser, sporing af sikkerhedshændelsestendenser og regelmæssige kompetencegennemgange. Dokumenter resultater for at demonstrere løbende forbedring af sikkerhedskulturen.

.legal compliance platform Organiser jeres NIS2-uddannelsesprogram

NIS2 gør ledelsen personligt ansvarlig for cybersikkerhedsuddannelse. Brug .legal til at planlægge, levere og dokumentere uddannelsesprogrammer der opfylder NIS2-kravene.