Guides, Tips & Viden

Træning og dokumentation til NIS2: sådan gør du compliance levende (og målbart)

bedlab.dk
bedlab.dk
Redaktør, BedLab
 · 25. februar 2026 · 9 min læsning

Når Nesp.ONE nævner træning og dokumentation som en eksplicit del af vejen til compliance, rammer de to af de mest kontrollerbare elementer i moderne informationssikkerhed: adfærd og beviser. Mange virksomheder har tekniske værktøjer på plads, men mangler et system til at sikre, at mennesker handler rigtigt, og at organisationen kan dokumentere det over for ledelse, revisor og myndigheder.

I denne artikel får du en konkret, praktisk guide til, hvem der skal trænes, hvilket minimumspensum der giver mening pr. målgruppe, hvordan du strukturerer microlearning, simuleret phishing og kvartalsvise refreshers, og hvordan du måler effekt over tid. Du får også en dokumentationspakke og til sidst en simpel mappe-struktur, så du kan finde det rigtige dokument på under to minutter.

Compliance i praksis: kort definition og hvorfor det betyder noget

Compliance betyder, at virksomheden efterlever krav fra lovgivning, standarder og interne politikker, og at man kan bevise det med sporbar dokumentation. Det er vigtigt, fordi manglende efterlevelse kan føre til driftsstop, bøder, tab af kontrakter og svækket tillid.

Træning og dokumentation hænger tæt sammen: træning reducerer risikoen for fejl, mens dokumentation gør det muligt at vise, at træningen er planlagt, gennemført og forbedret. Mini-konklusion: uden dokumenteret træning bliver compliance ofte en påstand i stedet for et faktum.

Hvem skal trænes: fire målgrupper med forskellige behov

En typisk fejl er at give alle samme kursus. Det føles effektivt, men skaber huller. Du bør i stedet definere fire målgrupper, som Nesp.ONE også peger på, når de taler om compliance-vej med både træning og dokumentation: ledelse, IT, udvikling og alle ansatte.

Ledelse: styring, prioritering og ansvar

Ledelsen skal forstå risici, beslutningspunkter og deres rolle i godkendelser, undtagelser og ressourcer. De skal ikke kunne konfigurere en firewall, men de skal kunne styre sikkerhed som et forretningsområde.

IT og drift: kontroller, adgang og hændelser

IT er ofte første linje, når noget går galt. Derfor skal IT kunne omsætte politikker til konkrete kontroller, håndtere logs, ændringer og incident response.

Udvikling: sikker kode, ændringer og dataflow

Udviklere har brug for træning, der kobler sikkerhed direkte til krav, design, test og release. Det handler især om adgangskontrol, sårbarheder og dokumentation af ændringer.

Alle ansatte skal kunne genkende phishing, beskytte data i hverdagen og rapportere hurtigt. Mini-konklusion: segmenteret træning giver højere relevans, bedre læring og bedre evidens.

Minimum pensum pr. gruppe: hvad skal de kunne?

For at gøre træning målbar skal pensum være defineret. Her er et minimum, der dækker phishing, adgangskontrol, incident reporting og datahåndtering, men tilpasset hver gruppe.

  • Ledelse: phishing som forretningsrisiko, krav til adgangskontrol (roller, godkendelser), incident reporting på ledelsesniveau (hvem beslutter hvad), datahåndtering og klassifikation (hvad er kritisk, og hvorfor).
  • IT: phishing-teknikker og kontroller, adgangskontrol i praksis (MFA, privilegerede konti, logging), incident reporting og triage, datahåndtering (backup, retention, kryptering, DLP).
  • Udvikling: phishing awareness (især credential theft), adgangskontrol i applikationer (sessioner, RBAC/ABAC), incident reporting (bug bounty, sårbarhedsflow), datahåndtering (PII, secrets, miljøskel).
  • Alle ansatte: phishing-genkendelse og handling, adgangskontrol basics (stærke adgangskoder, MFA, ingen deling), incident reporting (hvem, hvordan, hvornår), datahåndtering (delingsregler, klassifikation, clean desk).

Phishing: mere end “klik ikke”

Phishing-træning bør dække sociale manipulationer, falske login-sider, CEO-fraud og “MFA fatigue”. Læringsmålet er, at medarbejderen stopper op, verificerer afsender via en anden kanal og rapporterer mistænkelige beskeder.

Adgangskontrol, incident reporting og datahåndtering som daglige rutiner

Adgangskontrol er ikke kun IT’s job; det er en adfærd: brug MFA, lås skærmen, og anmod om adgang via godkendte flows. Incident reporting skal være lav friktion: én knap i mail, en kort formular eller en dedikeret kanal. Datahåndtering skal oversættes til konkrete regler for deling, opbevaring og sletning.

Mini-konklusion: minimumspensum virker kun, hvis læringsmålene er handlingsorienterede og knyttet til konkrete situationer.

Træningsformatet der faktisk virker: microlearning, phishing-simulering og kvartalsvis refresh

Mange spørger “hvordan” man træner uden at forstyrre driften. Svaret er at kombinere korte moduler med realistiske øvelser og faste rytmer. Microlearning holder fokus, phishing-simulering tester adfærd, og kvartalsvise refreshers vedligeholder niveauet.

Microlearning: 5–8 minutter ad gangen

Microlearning er korte, afgrænsede lektioner med én pointe, én øvelse og en lille test. Det passer til travle teams og giver bedre gennemførsel. Brug gerne cases fra jeres egen hverdag: leverandørfakturaer, kundedata, deling i Teams, eller onboarding af nye kolleger.

Simuleret phishing: læring gennem feedback

Simuleret phishing skal ikke bruges til at udskamme, men til at træne. Sørg for øjeblikkelig feedback: hvad var signalerne, og hvad skulle man have gjort? Kombinér med en enkel rapporteringsmekanisme, så medarbejdere kan øve korrekt adfærd.

Kvartalsvise refreshers kan være små opdateringer på nye trusler, ændrede procedurer eller tilbagevendende fejl. Mini-konklusion: en fast træningsrytme gør sikkerhed til en vane, ikke en kampagne.

Måling: sådan dokumenterer du effekt med simple KPI’er

Et klassisk spørgsmål er “hvordan ved vi, at træningen virker?” Brug fire nøgletal, som både er lette at forklare og lette at dokumentere: completion rate, failure rate, report rate og forbedring over tid.

  1. Completion rate: andelen der har gennemført træningen inden deadline, pr. målgruppe.
  2. Failure rate: andelen der klikker eller afgiver credentials i phishing-simulering.
  3. Report rate: andelen der rapporterer simuleret phishing korrekt.
  4. Forbedring over tid: trend pr. kvartal, både samlet og pr. afdeling.

For at gøre måling fair skal du sammenligne samme type kampagner over tid og tage højde for, at sværhedsgrad kan variere. Sæt realistiske mål, fx at failure rate falder og report rate stiger over tre kvartaler.

Midt i arbejdet kan det være nyttigt at samle krav og inspiration ét sted; se fx NIS2 træning og dokumentation som et eksempel på, hvordan træning og evidens kan tænkes som en samlet compliance-disciplin.

Mini-konklusion: det vigtigste tal er ikke “0 klik”, men at organisationen bliver hurtigere til at opdage og rapportere.

Dokumentationspakken: hvad du skal kunne fremvise

Dokumentation er ofte det, der afgør, om compliance bliver godkendt. Du skal kunne vise både intention (politikker) og udførsel (evidens). Her er en praktisk dokumentationspakke, der dækker de fleste krav og audits.

  • Politikker: informationssikkerhed, adgangskontrol, dataklassifikation, incident management, acceptable use.
  • Procedurer: onboarding/offboarding, adgangsanmodning, ændringsstyring, backup/restore, sårbarhedshåndtering, incident reporting flow.
  • Evidens: træningsrapporter, phishing-resultater, adgangsreviews, loguddrag, ticket-historik, mødenotater.
  • Ændringslog: versionering af politikker/procedurer, hvad ændrede sig, hvem godkendte, og hvornår.
  • Undtagelser og risikoaccept: begrundelse, kompensationskontroller, udløbsdato, og ledelsesgodkendelse.

Sådan gør du dokumentation audit-klar

Hold dokumenter korte og skabelonbaserede. Hver politik bør have formål, scope, roller, krav og reference til procedure. Evidens bør være datostemplet, sporbar til systemer og koblet til kontroller. Brug samme navngivning på tværs af organisationen for at undgå jagt på filer.

Undtagelser: den oversete del af compliance

Mange faldgruber opstår, når undtagelser håndteres uformelt: “vi gør det senere” eller “det er ikke muligt”. Løsningen er at gøre undtagelser til et kontrolleret flow med risikoaccept. En undtagelse uden udløbsdato bliver næsten altid permanent.

Mini-konklusion: dokumentation er ikke papirarbejde, når den er designet til at gøre beslutninger, ansvar og forbedringer tydelige.

Typiske fejl og bedste praksis: sådan undgår du at spilde tiden

Der er nogle klassiske “hvilke fejl” der går igen, især når organisationer forsøger at opfylde krav hurtigt. De kan undgås med få principper.

Faldgruber du bør kende

  • Én årlig e-learning uden opfølgning: giver lav effekt og svag evidens.
  • Ingen målgrupper: ledelse og udvikling får for lidt relevant træning.
  • Måling uden handling: tal samles, men ingen forbedringsplan laves.
  • For tung dokumentation: lange pdf’er ingen læser, og ingen kan vedligeholde.
  • Uklare rapporteringsveje: medarbejdere ved ikke, hvor de skal melde hændelser.

Bedste praksis der skalerer

Lav en kvartalsplan med temaer, fx Q1 phishing, Q2 adgangskontrol, Q3 incident response, Q4 datahåndtering. Gør rapportering let, beløn gode indberetninger, og brug resultater til at justere pensum. Sørg for, at nye medarbejdere får træning inden for de første 14 dage.

Mini-konklusion: compliance bliver billigere, når du standardiserer, måler og forbedrer i små iterationer.

Hvad koster det: tid, penge og den skjulte gevinst

Spørgsmålet “hvad koster det” er legitimt. Omkostningen afhænger af antal ansatte, modenhed og hvor meget I allerede har dokumenteret. Som tommelfingerregel skal du regne med tid til at udarbejde pensum, opsætte phishing-simulering, køre kvartalsvise refreshers og vedligeholde dokumentation.

Den skjulte gevinst er reduceret incident-omkostning: færre konto-overtagelser, hurtigere reaktionstid og mindre nedetid. Når completion rate stiger og failure rate falder, får du et tydeligt argument for fortsat investering, uden at du behøver overforklare teknikken.

Mini-konklusion: de bedste programmer er ikke dem med flest moduler, men dem med stabil drift og synlig effekt.

Simpel compliance-mappe struktur: find alt på 2 minutter

Hvis du vil kunne svare hurtigt på audits og interne forespørgsler, så brug en fast mappe-struktur med klare navne og få niveauer. Her er en enkel model, der fungerer for de fleste.

  • 00_Overblik: compliance-plan, roller og ansvar, scope, kontrolkatalog.
  • 10_Politikker: informationssikkerhed, adgangskontrol, datahåndtering, incident management.
  • 20_Procedurer: adgangsanmodning, onboarding/offboarding, change management, backup/restore, reporting.
  • 30_Træning: pensum pr. målgruppe, kalender, microlearning-moduler, deltagerlister.
  • 40_Phishing: kampagneplan, skabeloner, resultater (failure/report), forbedring pr. kvartal.
  • 50_Evidens: adgangsreviews, loguddrag, tickets, test af gendannelse, sårbarhedsscans.
  • 60_Ændringslog: versioner, godkendelser, ændringshistorik for dokumenter.
  • 70_Undtagelser_Risikoaccept: undtagelsesformularer, beslutninger, udløbsdatoer, kompensationskontroller.

Hold hvert dokument på én tydelig placering, og læg hellere links/henvisninger i “00_Overblik” end dubletter. Mini-konklusion: en enkel struktur og konsekvent navngivning er ofte forskellen på rolig audit og kaotisk dokumentjagt.

bedlab.dk
bedlab.dk
Skribent & redaktør · BedLab

Relaterede artikler