Spring til indhold

ISO 27001-rådgivning for voksende virksomheder, Danmark

ISO 27001-klarhed, uden at certificere to gange.

5-7 arbejdsdages vurdering. Annex A gap-register, evidens-inventory, certificeringsplan kalibreret til jeres stadie.

  • Azure Solutions Architect Expert
  • 15 års IT-ledelse
  • 12 eksterne AI-rådgivningsopgaver siden 2019
Book en afklaringssamtale (30 min)
Behzad Motaghi, founder of Accel Comply
Hvor starter vi

Spørger I, om I er klar til at gå i gang med certificering, eller stadig bygger op til det? Det er det første spørgsmål jeg besvarer. Halvdelen af mine engagementer finder, at gabet er mindre end forventet, når vi kortlægger det eksisterende mod 2022-standarden.

Tilbuddet

Hvad vurderingen dækker

5-7 arbejdsdage fra første samtale til levering. I får et klart, audit-forsvarligt billede af hvor I står:

  • ISO 27001:2022 Annex A gap-register: 93 kontroller vurderet ift. jeres aktuelle tilstand
  • Evidens-inventory: hvad I allerede har, hvad der mangler, hvor det findes
  • Statement of Applicability-udkast, scoped til en ekstern audit-samtale
  • Certificeringsplan: realistisk tidslinje til Stage 1-audit med navngivne ejere

Fastpris fra 25.000 DKK for vurderingen, aftalt skriftligt inden vi går i gang. Bygget for voksende B2B SaaS og softwarebaserede virksomheder. Retainer-pris drøftes i afklaringssamtalen, hvis I vil have mig til at drive certificeringsprogrammet gennem Stage 1 og Stage 2.

Kvalifikationer og erfaring

Én ansvarlig operatør. Senior på sagen, hver gang.

Senior IT- og sikkerhedsleder med 15+ års erfaring i Norden og EØS, hos virksomheder fra vækstfase til enterprise-skala.

Eksterne AI-rådgivningsopgaver siden 2019, herunder interim CIO-ledelse i PE-ejede koncerner og AI-governance for regulerede virksomheder.

Azure Solutions Architect Expert. Hands-on på tværs af Microsoft 365, Azure og identitetsplatforme.

Baseret i Vejle, Danmark. Mobil på tværs af landet til on-site arbejde, remote-først af præference.

Om Behzad Behzad Motaghi (LinkedIn)
Hvorfor generisk rådgivning fejler

Hvor Accel Comply passer ind versus alternativerne.

Cirka-tal for første år for en typisk voksende dansk B2B SaaS, der har brug for senior IT-, sikkerheds- og AI-ledelse. Et udgangspunkt, ikke et fast tilbud.

Hvor Accel Comply passer ind versus alternativerne.
MulighedFørste års pris (DKK)Tid til produktivHvem laver arbejdet
Accel Comply retainerDrøftes i scoping-samtalen1 til 2 ugerNavngivet senior operatør, ende til ende
Big 4 / stort konsulenthus800.000-2.000.000+6 til 12 ugerRoterende team, partner-solgt, junior-leveret
Intern ansættelse (Head of IT & Security)1.200.000-1.800.0005 til 9 månederFast medarbejder, delvist scope. All-in 115-130K/md
Abonnements-rådgivningsplatform400.000-700.0002 til 4 ugerRoterende juniorer på en portal

Beløb i DKK, ekskl. moms. All-in månedspris for en fastansat Head of IT & Security i Danmark er 115-130.000 inkl. pension, ferie, bonus og arbejdsgiveromkostninger. Ansættelsesproces tager 5-9 måneder ende til ende.

Sådan ser det ud i praksis

Tre anonymiserede opgaver fra praksis.

Samme mønster hver gang: en konkret trigger, fokuseret arbejde, et målbart resultat. Ingen virksomhedsnavne, ingen fyldstof.

01

B2B SaaS · 120 ansatte

ISO 27001-certificering på 4 måneder (single-site, smal scope)

Trigger. Virksomheden havde en voksende enterprise-pipeline, men hver aftale over en vis størrelse krævede ISO 27001-certificering. Uden den gik aftaler i stå i indkøb. CTO'en håndterede sikkerhedsspørgeskemaer personligt, og svarene var inkonsistente. To store prospekter havde eksplicit sagt "kom tilbage når I er certificerede."

Arbejde. Startede med en baseline-vurdering mod ISO 27001 Annex A-kontroller. Byggede hele dokumentationssættet fra nul: informationssikkerhedspolitik, risikovurderingsmetodik, statement of applicability og alle understøttende procedurer. Kørte gap-analysen, prioriterede udbedring efter auditrisiko, koordinerede med det valgte certificeringsorgan og styrede Stage 1 og Stage 2-audits fra start til slut. Det interne team håndterede deres egne tekniske udbedringer med vejledning om hvad der reelt betød noget for auditoren versus hvad der kunne vente.

Resultat. Certificeret på 4 måneder fra samarbejdets start (single-site scope, smal Annex A, certificeringsorganets kalender tillader det). Tre enterprise-handler der havde siddet i pipeline i 3+ måneder gik til kontrakt inden for uger efter certificeringen. CTO'en holdt op med at bruge weekender på sikkerhedsspørgeskemaer.

4 md.
Single-site cert
3 aftaler
Frigivet
0
Afvigelser

02

FinTech · 80 ansatte

Godkendelsesrate på sikkerhedsgennemgange: 40 % til 95 %

Trigger. Enterprise-kunder sendte detaljerede sikkerhedsspørgeskemaer som del af deres leverandørvurdering. Virksomheden dumpede eller fik "betinget godkendelse" på omkring 60 % af dem. Hver gennemgang brugte 15-20 timer CTO- og ingeniørtid, og svarene var inkonsistente på tværs af forskellige reviewere. To vigtige forlængelser var i fare fordi kundens sikkerhedsteam havde påpeget huller i det foregående års svar.

Arbejde. Gennemgik alle spørgeskemasvar fra de foregående 12 måneder for at identificere tilbagevendende fejlpunkter. Byggede et struktureret svarbibliotek der dækkede de 200 hyppigste spørgsmål med evidensreferencer for hvert svar. Etablerede intern evidensdisciplin: hvem der ejer hvert kontrolområde, hvor beviserne befinder sig, og hvordan de holdes aktuelle. Indførte en triageringsproces så den rigtige person besvarer hvert afsnit i stedet for at CTO'en gør det hele. Kørte mock-gennemgange mod de to truede kunders kendte spørgsmålssæt inden de faktiske forlængelsesgennemgange.

Resultat. Godkendelsesrate gik fra ca. 40 % til 95 % inden for tre måneder. CTO-tid brugt på sikkerhedsgennemgange faldt med ca. 60 %. Begge truede forlængelser blev lukket succesfuldt. Svarbiblioteket vedligeholdes nu af teamet uden ekstern hjælp. Resultatet er individuelt; jeres udgangspunkt og scope vil være anderledes.

95 %
Godkendelsesrate
60 %
Mindre CTO-tid
2
Forlængelser reddet

03

HealthTech · 200 ansatte

NIS2-beredskab på 6 uger

Trigger. Bestyrelsen bad ledelsen om en compliance-plan efter NIS2-implementeringsdiskussioner gjorde det klart at virksomheden sandsynligvis ville falde inden for direktivets omfang. Ingen internt havde dyb nok viden om kravene til at bygge en troværdig plan, og konsulentfirmaernes tilbud var sekscifrede projekter med 6-måneders tidslinjer. Bestyrelsen ville have svar på uger, ikke måneder.

Arbejde. Kørte en fokuseret gap-analyse der mappede deres eksisterende kontroller mod de 10 cybersikkerhedsforanstaltninger i NIS2 Artikel 21(2), tilpasset deres sektor og størrelse. Identificerede hvad der allerede var dækket, hvad der havde delvis dækning, og hvad der manglede helt. Byggede et prioriteret udbedringsvejkort organiseret i 30/60/90-dages sprints, med navngivne ejere på tværs af IT, sikkerhed, drift, jura og produkt. Leverede et ledelsesklar briefingdokument som ledelsen præsenterede direkte for bestyrelsen, inklusive omkostningsestimater per fase og en realistisk tidslinje.

Resultat. Bestyrelsesgodkendt compliance-plan leveret på 6 uger. Virksomheden startede det første implementeringssprint med det samme. Ledelsen gik fra "vi ved ikke hvad NIS2 betyder for os" til at have en konkret, budgetteret plan med navngivne ejere for hvert handlingspunkt.

6 uger
Til beredskabsplan
Bestyrelse
Godkendt
90-dages
Sprint-roadmap
Se alle samarbejdsresultater
Hvad hvis du er utilgængelig?

Hvad sker der, hvis jeg er utilgængelig i en længere periode?

Jeg har arbejdsrelationer med erfarne rådgivere, jeg kan overdrage til ved længerevarende fravær, med fuld briefing og dokumentation. Kunden får besked inden 24 timer ved planlagt fravær, eller hurtigst muligt ved akut fravær. Dine arbejdsdokumenter ligger i jeres egen tenancy fra dag ét.

Sådan foregår det

Fra formular til scopet vurdering inden for samme uge.

  1. Trin 1

    Udfyld formularen

    30 sekunder. Fire felter. Ingen kalender-pingpong.

  2. Trin 2

    30 minutters afklaring

    Vi finder ud af, om der er match, og hvor det rigtige startsted er. Ingen salgstale.

  3. Trin 3

    Vurderingen starter

    Fast scope, fast pris, aftalt på skrift. Typisk inden for 5 arbejdsdage efter samtalen.

Kom i kontakt

Fortæl mig, hvad der presser.

Fire felter. Jeg svarer inden for en arbejdsdag. Samme person fra første svar gennem levering, aldrig videregivet til en junior.

Ikke sikker på, om NIS2 gælder for jer? Læs 5-min NIS2 scope-tjeklisten først.

Navnet på firmaet du repræsenterer.
Fx "CTO", "Head of IT", "CIO", e.l.
Er der andet vi bør vide?

Accel Comply bruger de kontaktoplysninger du deler til at svare på forespørgslen. Ved at indsende denne formular giver du samtykke til attribueringssporing ("attribute tracking") via HubSpot, Google og LinkedIn for denne forespørgsel, som beskrevet i vores Privatlivspolitik. Du kan til enhver tid trække samtykken tilbage eller afmelde dette.

Dine oplysninger bliver hos mig. Ingen automatiserede opfølgningsmail. Se vores privatlivspolitik og DPA inden du sender.

Ofte stillede spørgsmål

Direkte svar på de spørgsmål, købere stiller først.

Er NIS2 faktisk i scope for min virksomhed?

Det er præcis det første spørgsmål, jeg besvarer i afklaringssamtalen. NIS2 gælder for specifikke sektorer og virksomhedsstørrelser; grænsetilfældene er der, hvor meget af forvirringen ligger. Jeg fortæller dig direkte, om I er i scope, på kanten eller klart udenfor, og hvad implikationen er begge veje.

Fast pris eller timepris?

Vurderinger er fast pris, fast scope, aftalt på skrift inden arbejdet starter. Retainere er månedlig fast pris med klart scope-notat. Timepris er forbeholdt punktvis rådgivning, hvor ingen af parterne kan scope op front, og selv da giver jeg en cap.

Hvad får jeg konkret efter en vurdering?

En skriftlig rapport med nuværende posture, prioriterede gaps, en 90-dages handlingsplan og en anbefaling om at fortsætte sammen, tage det in-house eller stoppe. Du får også arbejdsdokumenterne (kontrol-mapping, evidens-oversigt, risk register-udkast), så du ejer outputtet, ikke kun konklusionen.

Kan I lave partielt scope?

Ja. Mange opgaver starter med ét enkelt scope (ét kunde-spørgeskema, ét ISO 27001 gap-område, én cloud cost-review) og udvides senere. Scope creep er mit ansvar at flagge og prissætte, ikke dit at styre.

Underskriver I en DPA?

Ja. Standard DPA-vilkår i overensstemmelse med GDPR Art. 28, publiceret på /dpa til gennemsyn inden kontraktunderskrivelse. Egne redlines accepteres inden for rimelighed. For NIS2-omfattede entiteter inkluderes leverandørkæde-sikkerhedsklausuler i overensstemmelse med Art. 21(2)(d). For DORA-regulerede virksomheder afklares anvendeligheden i scoping-samtalen, da DORA Art. 28-forpligtelser afhænger af systemadgangens karakter.

Er ISO 27001:2022 virkelig påkrævet, eller kan vi stadig certificere mod 2013-versionen?

Overgangsfristen (31. oktober 2025) er passeret. Nye certificeringer skal nu udstedes mod ISO 27001:2022. Er I allerede certificeret til 2013, har I en overgangsperiode bestemt af jeres certificeringsorgan. Vurderingen kortlægger jeres nuværende tilstand mod 2022-standarden uanset, da det er den, en ekstern auditor vil anvende.

Book en afklaringssamtale (30 min)