Sådan ser det ud i praksis.

Udløser. Virksomheden havde en voksende enterprise-pipeline, men hver aftale over en vis størrelse krævede ISO 27001-certificering. Uden den gik aftaler i stå i indkøb. CTO'en håndterede sikkerhedsspørgeskemaer personligt, og svarene var inkonsistente. To store prospekter havde eksplicit sagt "kom tilbage når I er certificerede."

Arbejde. Startede med en baseline-vurdering mod ISO 27001 Annex A-kontroller. Byggede hele dokumentationssættet fra nul: informationssikkerhedspolitik, risikovurderingsmetodik, statement of applicability og alle understøttende procedurer. Kørte gap-analysen, prioriterede udbedring efter auditrisiko, koordinerede med det valgte certificeringsorgan og styrede Stage 1 og Stage 2-audits fra start til slut. Det interne team håndterede deres egne tekniske udbedringer med vejledning om hvad der reelt betød noget for auditoren versus hvad der kunne vente.

Resultat. Certificeret på 4 måneder fra samarbejdets start (single-site scope, smal Annex A, certificeringsorganets kalender tillader det). Tre enterprise-handler der havde siddet i pipeline i 3+ måneder gik til kontrakt inden for uger efter certificeringen. CTO'en holdt op med at bruge weekender på sikkerhedsspørgeskemaer.

Udløser. Enterprise-kunder sendte detaljerede sikkerhedsspørgeskemaer som del af deres leverandørvurdering. Virksomheden dumpede eller fik "betinget godkendelse" på omkring 60 % af dem. Hver gennemgang brugte 15-20 timer CTO- og ingeniørtid, og svarene var inkonsistente på tværs af forskellige reviewere. To vigtige forlængelser var i fare fordi kundens sikkerhedsteam havde påpeget huller i det foregående års svar.

Arbejde. Gennemgik alle spørgeskemasvar fra de foregående 12 måneder for at identificere tilbagevendende fejlpunkter. Byggede et struktureret svarbibliotek der dækkede de 200 hyppigste spørgsmål med evidensreferencer for hvert svar. Etablerede intern evidensdisciplin: hvem der ejer hvert kontrolområde, hvor beviserne befinder sig, og hvordan de holdes aktuelle. Indførte en triageringsproces så den rigtige person besvarer hvert afsnit i stedet for at CTO'en gør det hele. Kørte mock-gennemgange mod de to truede kunders kendte spørgsmålssæt inden de faktiske forlængelsesgennemgange.

Resultat. Godkendelsesrate gik fra ca. 40 % til 95 % inden for tre måneder. CTO-tid brugt på sikkerhedsgennemgange faldt med ca. 60 %. Begge truede forlængelser blev lukket succesfuldt. Svarbiblioteket vedligeholdes nu af teamet uden ekstern hjælp. Resultatet er individuelt; jeres udgangspunkt og scope vil være anderledes.

Udløser. Bestyrelsen bad ledelsen om en compliance-plan efter NIS2-implementeringsdiskussioner gjorde det klart at virksomheden sandsynligvis ville falde inden for direktivets omfang. Ingen internt havde dyb nok viden om kravene til at bygge en troværdig plan, og konsulentfirmaernes tilbud var sekscifrede projekter med 6-måneders tidslinjer. Bestyrelsen ville have svar på uger, ikke måneder.

Arbejde. Kørte en fokuseret gap-analyse der mappede deres eksisterende kontroller mod de 10 cybersikkerhedsforanstaltninger i NIS2 Artikel 21(2), tilpasset deres sektor og størrelse. Identificerede hvad der allerede var dækket, hvad der havde delvis dækning, og hvad der manglede helt. Byggede et prioriteret udbedringsvejkort organiseret i 30/60/90-dages sprints, med navngivne ejere på tværs af IT, sikkerhed, drift, jura og produkt. Leverede et ledelsesklar briefingdokument som ledelsen præsenterede direkte for bestyrelsen, inklusive omkostningsestimater per fase og en realistisk tidslinje.

Resultat. Bestyrelsesgodkendt compliance-plan leveret på 6 uger. Virksomheden startede det første implementeringssprint med det samme. Ledelsen gik fra "vi ved ikke hvad NIS2 betyder for os" til at have en konkret, budgetteret plan med navngivne ejere for hvert handlingspunkt.