Tre indsatser, som SMV’er kan bruge til at styrke cybersikkkerheden

12. september 2025

Tre indsatser, som SMV’er kan bruge til at styrke cybersikkkerheden

Flere små og mellemstore virksomheder bliver udsat for cyberangreb via forsyningskæden. Med NIS 2-direktivet er kravene til cybersikkerhed blevet endnu skarpere – men hvordan omsætter man som mindre virksomhed udfordringen til konkrete handlinger?

Det er ikke kun store virksomheder som Mærsk, Vestas og 7-Eleven, de cyberkriminelle har i sigtekornet. Eksempelvis stod den kollektive togtrafik stille en dag i 2022 på grund af et cyberangreb mod en underleverandør til DSB. Hotel Koldingfjord måtte i ugevis foretage alle bookinger manuelt efter et hackerangreb på hotellets leverandør af bookingsystemer. Og så sent som i august i år blev 165.000 danskeres persondata stjålet, da en lille it-virksomhed, der leverer it-løsninger til højskoler og efterskoler, blev hacket.  

Ifølge EU's sikkerhedsagentur ENISA og en analyse for SMVdanmark ser hackerne i stigende grad mod SMV’erne, fordi de store virksomheder er bedre beskyttet.  

Dermed bliver SMV’erne ikke bare et oplagt mål, de bliver også det svageste led i en forsyningskæde.  

"Cyberkriminelle kan ofte hente større udbytte hos de store virksomheder, men deres cyber- og informationssikkerhed er ofte stærkere end små og mellemstore virksomheders. Derfor ser vi i højere grad, at SMV’erne er et oplagt mål," fortæller Tina Helsted Vengsgaard, der er direktør i Dansk Standard, som bidrager til udviklingen af internationale standarder, bl.a. inden for cybersikkerhed. 

Ny lov skærper kravene  

Virksomhederne skal i disse år både følge truslen og lovgivningen tæt, for begge dele udvikler sig hastigt. I juli trådte den danske NIS 2-lovgivning i kraft, der skal styrke og ensarte EU's cybersikkerhed og beskytte den kritiske infrastruktur. Lovgivningen stiller skærpede krav til risikostyring, beredskab, sikkerhedsforanstaltninger og hurtig rapportering af hændelser, og placerer ansvaret hos ledelsen. 

Selvom de direkte krav gælder de store virksomheder i kritiske sektorer som energi, transport, sundhed og finans, vil mange SMV’er blive indirekte omfattet via deres rolle som en del af forsyningskæden som eksempelvis underleverandører. Men ifølge Tina Helsted Vengsgaard er der hjælp at hente for SMV’erne i den internationale standard for informationssikkerhed, ISO/IEC 27001. Hun fremhæver tre konkrete indsatsområder, som SMV’erne med fordel kan indarbejde. 

1. Identificer virksomhedens risikoprofil og kerneopgaverne

Som virksomhed bør man starte med at træde et skridt tilbage, lave et forstudie og forsøge at få et overblik over ens risikoprofil. Den varierer fra virksomhed til virksomhed, og den afhænger af meget mere end virksomhedens størrelse, type, omsætning og branche:  

"Der er ikke ét svar på, hvor udsat man er. Det handler om hele tiden at afveje, hvad det er for nogle trusler, man er oppe imod, hvor sandsynlig risikoen er, og hvor stor konsekvensen vil være, hvis man bliver udsat for et cyberangreb," siger Tina Helsted Vengsgaard. 

NIS 2

Den danske NIS 2-lov trådte i kraft i juli 2025 og skærper cybersikkerhedskravene for virksomheder i kritiske sektorer som energi, transport, sundhed og it. Det kræver dokumenteret risikostyring, beredskab, sikkerhedsforanstaltninger og hurtig indrapportering af cyberhændelser. Formålet er et højt og ensartet cybersikkerhedsniveau i EU, der beskytter virksomheder, samfund og borgere.] 

Da ledelsen for den danske health-tech virksomhed Vicorda valgte at styrke deres system for informationssikkerhed, startede de med at kortlægge deres risikoprofil og nødvendige indsatsområder. Disse indledende øvelser brugte de til at strukturere arbejdet, som viste sig at kræve store mængder tid og økonomi.  

Men ifølge Anders Becker, partner i virksomheden, var der ikke nogen vej udenom: "De små virksomheder har faktisk ikke et valg - de er nødt til at forholde sig til cyber- og informationssikkerhed på samme måde som de store. Vi er ude af den tid, hvor man kunne undskylde sig med manglende ressourcer eller viden," siger han.  

Tina Helsted Vengsgaard fortæller, at mange SMV’er stadig er bagud, selvom der er fremgang på området - og at Danmarks høje grad af digitalisering er med til at øge sårbarheden:  

"Det går i den rigtige retning, for SMV’erne implementerer tiltag. Men en analyse fra SAMSIK (Styrelsen for Samfundssikkerhed) viste sidste år, at omkring 40 pct. af SMV’erne ikke har det niveau inden for sikkerhed, som matcher deres risikoprofil, og at 50-60 pct. af danske SMV’er ikke ville kunne udføre deres kerneopgaver, hvis de bliver ramt," siger Tina Helsted Vengsgaard. 



2. Undersøg, om I er direkte omfattet af lovkrav

SMV’erne kan nu med NIS 2 blive pålagt krav via deres kunder i forsyningskæden, som kan betyde, at de er nødt til at gentænke hele deres cyber- og informationssikkerhed.  

"En del mindre virksomheder vil nu skulle leve op til krav, de ikke er vant til," siger Tina Helsted Vengsgaard.  

Vicorda arbejder inden for sundhed, en sektor omfattet af NIS 2-lovgivningen. Derfor indså ledelsen hurtigt, at de både måtte opruste den digitale sikkerhed - og at de på sigt kunne drage forretningsmæssig fordel af det. De implementerede derfor to internationale standarder, standarden for informationssikkerhed og standarden for privatlivsbeskyttelse, og blev certificeret indenfor begge dele:  

"Vi valgte at gå ind i det her, fordi vi arbejder med sundhedsdata, og her er der meget høje krav til sikkerhed, både fra danske og internationale kunder og samarbejdspartnere," siger Anders Becker. 

Han fortæller videre, at de nu også stiller større krav til deres underleverandører, og at det har ført til en længere udvælgelsesproces og risikoanalyse.  

Førnævnte SAMSIK-analyse viste, at knap en femtedel (17 pct.) af ledelserne i SMV’er slet ikke eller kun i lav grad tager stilling til virksomhedens it-sikkerhedsmæssige aktiviteter. Det er nødt til at ændre sig, hvis der skal ske markante fremskridt, lyder det fra Tina Helsted Vengsgaard:  

"Ansvaret skal placeres det rigtige sted, og det er hos ledelsen, hvilket også er det, der fremhæves i NIS 2-lovgivningen."  

Hos Vicorda kan Anders Becker nikke genkendende til det: 

"Det har været en udfordring at kombinere certificeringen med den daglige drift og en aggressiv vækststrategi, fordi man skal få styr på alle kravene, mens organisationen vokser og udvikler sig. Implementeringen af standarderne er ressourcekrævende, og det er nødvendigt med en nær involvering af ledelsen i organisationen for at lykkes," siger Anders Becker.  

Han peger dog samtidig på, at man fremadrettet regner med at kunne spare tid på dokumentation og transparens, fordi det alt sammen ligger i certificeringen:  

"På den måde er det nemt at demonstrere indsatsen over for kunder og leverandører, også på internationalt niveau." 

3. Implementer de rigtige standarder

Store virksomheder har ofte hele afdelinger dedikeret til at håndtere informationssikkerheden, mens mange små og mellemstore er mindre erfarne i at beskytte sig mod angreb. Man behøver imidlertid ikke hyre eksterne eksperter for at styrke sikkerheden:  

"Jeg forstår, at det kan virke uoverskueligt og dyrt for virksomheder med få ressourcer, men der findes heldigvis gode værktøjer og rådgivning, som kan hjælpe en i gang," siger Tina Helsted Vengsgaard.  

SAMSIK har udgivet flere vejledninger til, hvordan virksomheder kan leve op til NIS 2-lovgivningens krav, og de har også udviklet et værktøj Systemoverblikket, hvor man som SMV kan udpege kritiske itsystemer i ens virksomhed. I sin vejledning til danske virksomheder ift. at imødegå NIS 2-kravene, fremhæver SAMSIK standarden ISO/IEC 27001, som en systematisk ramme for arbejdet:  

"Standarderne er udviklet af internationale og danske eksperter inden for cyber- og informationssikkerhed, som har skabt den nødvendige ramme for arbejdet. Ved at bruge internationalt anerkendte standarder kan SMV’erne undgå selv at opfinde nye værktøjer til sit arbejde med cyber- og informationssikkerhed," siger Tina Helsted Vengsgaard. 

ISO/IEC 27001

Standarden for cyber- og informationssikerhed, ISO/IEC 27001, er en international standard, der giver organisationen et stærkt fundament til at opnå sikkerhed, compliance, effektivitet og udvikling uanset behov.  

Standarden fungerer som et styringsværktøj, der bl.a. opstiller krav til risikostyring, forbedring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed. Dette hjælper med at beskytte værdifulde informationer på en sikker og troværdig måde i en verden, der er under konstant forandring.  

Standarden giver virksomheder en systematisk tilgang til at arbejde med deres informationssikkerhed. den bruges globalt af både stor og små organisationer som ønsker at styrke informationssikkerheden og demonstrere, at de lever op til internationale bedste praksisser.] 

Hun fortæller, at man som virksomhed kan arbejde med standarderne på forskellige måder og enten bare lade sig inspirere af dem eller gå hele vejen og vælge at blive certificeret. Hos Vicorda har erfaringen vist, at arbejdet med internationale standarder kan være både tids- og ressourcekrævende - men at gevinsterne på sigt overstiger indsatsen:  

"Men man skal gå ind i det med åbne øjne og være realistisk ift., hvad det kræver af tid og ressourcer. Men fremadrettet regner vi også med at kunne spare tid ift. dokumentation og transparens, fordi det alt sammen ligger i certificeringen. På den måde er det nemt at demonstrere over for kunder og leverandører, også på internationalt niveau," fortæller Anders Becker, som siger, at det hurtigt stod klart for virksomheden at de gerne ville have ekstern rådgivning til at implementere standarderne:  

"Vi var også nødt til også at få andre til at kigge ens arbejde efter i sømmene. I dag er cyber- og informationssikkerhed et forretningskritisk punkt, som afgør, om man overhovedet får lov at levere til sine kunder,” fortæller Anders Becker. 

Han understreger, at det også handler om at beskytte virksomhedens renommé og gøre det muligt at genopbygge tilliden blandt kunder og borgere, hvis virksomheden skulle blive ramt af et cyberangreb:  

"Det kan ske for alle. De store virksomheder med massive cybersikkerhedsbudgetter er jo som bekendt også blevet ramt. Det afgørende er, om du bagefter kan dokumentere, at du har gjort dit."  



De nye krav rammer også SMV'er – se, hvordan ISO/IEC 27001 og andre standarder kan hjælpe din virksomhed med at beskytte forretning og kunder. Læs mere her

Kontakt

Berit Aadal
Berit Aadal Chefkonsulent | Chief Consultant
Standardisering | Digital & Bæredygtighed
E: baa@ds.dk
T: 39 96 62 96
Anton
Anton Hvidtjørn Konsulent | Consultant
Standardisering | Digital & Bæredygtighed
E: ahv@ds.dk
T: 39 96 62 53

Se også

Hold jeres IT-systemer kørende under driftsforstyrrelser

15. juli 2025

Hold jeres IT-systemer kørende under driftsforstyrrelser

Den internationale standard ISO/IEC 27031 er netop blevet revideret. Standarden vejleder om, hvordan organisationer kan arbejde med IKT-parathed, så de kan holde driften i gang under fx cyberangreb og tekniske nedbrud, samtidig med den understøtte...

Sådan hjælper standarder med at opfylde kravene i NIS 2-direktivet

09. juli 2025

Sådan hjælper standarder med at opfylde kravene i NIS 2-direktivet

Den 1. juli 2025 trådte NIS 2-direktivet i kraft i Danmark. Det betyder nye og skærpede krav til cybersikkerhed for både offentlige myndigheder og private virksomheder i samfundskritiske og vigtige sektorer. Heldigvis kan internationalt anerkendte...

Nis2 Selv 800

17. juni 2025

Webinar om implementering af NIS2-kravene med vejledninger og ISO/IEC 27001

Vil du have inspiration til, hvordan I implementerer de nye cybersikkerhedskrav fra NIS2-loven? Se eller gense dette webinar og bliv klogere på både indholdet i de nye NIS2-vejledninger, og hvilken værdi det kan give at tage udgangspunkt i standar...

Standarder til AI Act er i fuld gang med at blive udviklet

14. maj 2025

Standarder til AI Act er i fuld gang med at blive udviklet

Den 2. august 2026 skal organisationer, der udvikler eller anvender AI-systemer, som bliver karakteriseret som højrisiko, leve op til en række krav i AI Act, den europæiske forordning for kunstig intelligens. Kommende standarder skal hjælpe organi...