Når krav bliver praksis: Kommunernes vej gennem NIS2-implementeringen
Oversat titel
From Requirements to Practice: Municipal Pathways Through NIS2 Implementation
Forfatter
Nielsen, Line Elisa
Semester
4. semester
Uddannelse
Udgivelsesår
2026
Afleveret
2026-05-28
Antal sider
48
Resumé
Specialet undersøger, hvilke udfordringer danske kommuner møder i implementeringen af NIS2-direktivet, og hvordan disse kan forstås i relation til de organisatoriske og ressourcemæssige vilkår, der former processen. Med afsæt i et komparativt casestudie baseret på kvalitative, semistrukturerede interviews med nøgleaktører i kommunale organisationer viser analysen, at implementeringen i praksis primært er en styrings- og ledelsesopgave snarere end en rent teknisk disciplin. Kommunerne oplever tæt forbundne udfordringer med forankring uden for IT, begrænsede ressourcer og kapacitet i driftstunge miljøer, usikkerhed om et passende efterlevelsesniveau i en risikobaseret regulering samt behovet for klar kommunikation og fælles forståelse på tværs af organisationen. Samtidig præges implementeringen af eksisterende organisatoriske betingelser, herunder balancen mellem strategiske og operative niveauer, forskelle i kapacitet og ressourcegrundlag og brugen af styringspraksisser som rapporteringsstrukturer, screeningsværktøjer og faglige netværk. Mange kommuner bygger videre på erfaringer fra bl.a. GDPR og ISO-standarder og genbruger sprog, strukturer og praksisser. Der identificeres en styringsmæssig spænding, hvor central koordinering er nødvendig for retning og prioritering, mens effektiv gennemførelse forudsætter lokal involvering og kontekstnær viden i decentrale serviceområder. Ressourcepres fremmer en gradvis, 'godt nok'-orienteret tilgang for at undgå overimplementering, og den risikobaserede regulering fastholder en vis usikkerhed om niveau, som reduceres over tid gennem vejledning, netværk og organisatorisk læring. Overordnet argumenterer specialet for, at NIS2 i en kommunal kontekst bør forstås som en løbende governance- og forandringsproces, hvor fremskridt ikke kun afhænger af tekniske løsninger, men af ledelsesforankring, organisatorisk kapacitet og evnen til at omsætte risikobaserede krav til meningsfulde praksisser på tværs af forskellige faglige og operative kontekster.
The thesis explores the challenges Danish municipalities encounter when implementing the NIS2 Directive and examines how these challenges are shaped by organizational and resource conditions. Based on a comparative case study using qualitative, semi-structured interviews with key actors in municipal organizations, the analysis shows that NIS2 implementation is primarily an organizational and management task rather than a purely technical exercise. Municipalities face interconnected challenges related to anchoring cybersecurity beyond IT, limited resources and capacity in operations-dominated environments, uncertainty about appropriate levels of compliance within a risk-based framework, and the need for clear communication and a shared understanding across the organization. Implementation is simultaneously shaped by existing organizational conditions, including the balance between strategic and operational levels, differences in capacity and resources, and the use of governance practices such as reporting structures, screening tools, and professional networks. Many municipalities build on prior experience with frameworks such as GDPR and ISO standards, reusing language, structures, and practices. The study identifies a governance tension: central coordination is necessary to set direction, legitimacy, and priorities, while effective implementation depends on local involvement and context-specific knowledge in decentralized service environments. Resource constraints encourage a gradual, 'good enough' approach to avoid over-implementation, and the risk-based nature of NIS2 sustains a degree of uncertainty that is reduced over time through guidance, networks, and organizational learning. Overall, the thesis argues that in a municipal context NIS2 should be understood as an ongoing governance and change process, where progress depends not only on technical solutions but on managerial anchoring, organizational capacity, and the ability to translate risk-based requirements into meaningful practices across diverse professional and operational settings.
[Dette resumé er genereret med hjælp fra AI direkte fra projektet fuldtekst]
Emneord