Reviderbarhed af NIS2-overholdelse i Danmark
Oversat titel
Auditability of NIS2-compliance in Denmark
Forfatter
Hamann, Lasse
Semester
4. semester
Uddannelse
Udgivelsesår
2026
Antal sider
54
Resumé
Specialet undersøger, hvordan dansk NIS2-overholdelse kan gøres reviderbar og dermed vurderes og rapporteres på en konsistent måde. Tilgangen er dokumentbaseret med et fast kildehierarki, der forbinder EU-direktivet og den danske NIS2-lov med officielle vejledninger og digitale workflows på Virk, MitID og Digital Post. Revisionsstandarder (bl.a. ISAE 3000 og ISA 500) bruges til at vurdere egnetheden af kriterier, kvaliteten af beviser samt logikken i rapportering og konklusion. Hovedbidraget er en gentagelig transformationskæde fra juridiske kriterier til kontrolmål, beviser, testprocedurer og afvigelsesregler, som gør forpligtelserne testbare. Specialet identificerer de danske NIS2-forpligtelser, der er mest relevante for IT-revision for både væsentlige og vigtige enheder, og viser hvordan portalbaserede arbejdsgange skaber tidsstemplede, sporbare beviser. På den baggrund foreslås en dansk model for IT-revision ved første-cyklus NIS2-audits med fokus på cybersikkerhedsrisikostyring, hændelseshåndtering, trinvis rapportering, governance samt registrering og sporbarhed, inkl. en afvigelsesmodel der skelner mellem dokumenterbar manglende overholdelse og bevisbegrænsninger. Da vejledninger og workflows kan ændre sig over tid, behandles fastfrysning og dokumentation af kriterier som en kontrol for at bevare sammenligneligheden af konklusioner. Endelig sammenlignes udvalgte medlemslande for at pege på tiltag, der kan styrke reviderbarheden i Danmark uden at ændre de juridiske kriterier.
The thesis examines how NIS2 compliance in Denmark can be made auditable, enabling consistent assessment and reporting. The approach is document-based with a fixed source hierarchy that links the EU directive and Danish NIS2 Act to official guidance and digital workflows on Virk, MitID, and Digital Post. Audit standards (including ISAE 3000 and ISA 500) are used to assess the suitability of criteria, the quality of evidence, and the logic of reporting and conclusions. The main contribution is a repeatable transformation chain from legal criteria to control objectives, evidence, test procedures, and deviation rules, which makes obligations testable. The thesis identifies Danish NIS2 obligations most relevant to IT audit for both essential and important entities and shows how portal-based processes generate timestamped, traceable evidence. Based on this, it proposes a Danish IT-audit model for first-cycle NIS2 audits focused on cybersecurity risk management, incident handling, stepwise reporting, governance, and registration/traceability, including a deviation model that distinguishes provable non-compliance from scope limitations. Because guidance and workflows may evolve, freezing and documenting criteria is treated as a control to preserve comparability of conclusions. Finally, selected member states are compared to highlight measures that can enhance auditability in Denmark without changing the legal criteria.
[Dette resumé er genereret med hjælp fra AI direkte fra projektet (PDF)]
Emneord