Det er ikke kun giganter som Mærsk og Vestas, der er mål for hackerne. Da en underleverandør til DSB blev ramt i 2022, stod togtrafikken i Danmark stille en hel dag. Og i år blev 165.000 danskeres persondata stjålet fra en lille it-leverandør til højskoler og efterskoler.
Pointen er, at selv en mindre virksomhed kan udløse store konsekvenser, hvis den rammes af et cyberangreb.
Ifølge EU’s sikkerhedsagentur ENISA vender hackerne blikket mod smv’erne, fordi de store virksomheder har skruet op for beskyttelsen – og dermed bliver de mindre virksomheder forsyningskædens svageste led.
Derfor er de små store mål
I juli trådte den danske NIS2-lovgivning i kraft. Den skal højne og ensarte EU’s cybersikkerhed og gøre det mere gennemsigtigt, hvad virksomheder skal kunne dokumentere. Kravene til risikostyring, beredskab og rapportering er skærpet, og ansvaret placeres nu tydeligt hos ledelsen.
Men selvom loven især er målrettet kritiske sektorer som energi, transport og sundhed, vil mange smv’er blive indirekte omfattet via kunder og samarbejdspartnere. Og netop i den kontekst gør det dem til oplagte mål, fortæller Tina Helsted Vengsgaard, direktør i Dansk Standard: “Cyberkriminelle kan ofte hente større udbytte hos de store virksomheder, men deres cyber- og informationssikkerhed er ofte stærkere end små og mellemstore virksomheder. Derfor ser vi i højere grad, at smv’erne er et oplagt mål.”
De små virksomheder har faktisk ikke et valg. Vi er nødt til at forholde os til cyber- og informationssikkerhed på samme måde som de store
Source
Kortlæg risiko og kerneopgaver
Men før man som smv kaster sig hovedkulds ud i en løsning, bør man først forstå sin egen sårbarhed, forklarer Tina Helsted Vengsgaard. Hvilke dele af forretningen kan eksempelvis gå i stå, hvis sikkerheden kompromitteres?
“Der er ikke ét svar på, hvor udsat man er. Derfor handler det hele tiden om at afveje, hvilke trusler man står overfor, og hvad sandsynligheden er for at blive ramt – samt hvor store konsekvenserne i så fald vil være.”
Det arbejde kræver ressourcer og tid, men der er i dag ingen vej uden om, lyder det fra Anders Becker, partner i healthtech-virksomheden Vicorda:
“De små virksomheder har faktisk ikke et valg. Vi er nødt til at forholde os til cyber- og informationssikkerhed på samme måde som de store. Vi er ude af den tid, hvor man kunne undskylde sig med manglende ressourcer eller viden.”
FAKTA
NIS2 på dansk
Den danske NIS2-lov trådte i kraft i juli 2025 og skærper cybersikkerhedskravene for virksomheder i kritiske sektorer som energi, transport, sundhed og it. Det kræver dokumenteret risikostyring, beredskab, sikkerhedsforanstaltninger og hurtig indrapportering af cyberhændelser. Formålet er et højt og ensartet cybersikkerhedsniveau i EU, der beskytter virksomheder, samfund og borgere.
Vicorda har valgt at implementere og blive certificeret efter de internationale standarder for både informationssikkerhed og privatlivsbeskyttelse. Det gav, fortæller Anders Becker, på én gang en mere systematisk tilgang, stærkere dokumentation og større tillid hos kunderne.
“Det har været en udfordring at kombinere certificering med den daglige drift og en aggressiv vækststrategi, fordi man skal få styr på alle kravene, mens organisationen vokser og udvikler sig. Implementeringen af standarderne er ressourcekrævende, og det er nødvendigt med en nær involvering af ledelsen i organisationen for at lykkes,” siger han, men peger alt imens på, at arbejdet kommer med klare gevinster.
“Det har gjort det nemt for os at demonstrere vores indsats over for kunder og leverandører, også på internationalt niveau.”
Kan I rammes via kunder
Men selv hvis man – modsat Vicorda – ikke arbejder i en kritisk sektor, kan og vil kravene med stor sandsynlighed komme ind ad bagvejen før eller siden, når kunder og partnere skærper sikkerheden.
Når de store virksomheder bliver underlagt NIS2, flytter kravene sig gradvist ned gennem forsyningskæden, og underleverandørerne skal kunne dokumentere samme sikkerhedsniveau, forklarer Tina Helsted Vengsgaard.
Der er ikke ét svar på, hvor udsat man er. Derfor handler det hele tiden om at afveje, hvilke trusler man står overfor, og hvad sandsynligheden er for at blive ramt – samt hvor store konsekvenserne i så fald vil være
Tina Helsted Vengsgaard, direktør i Dansk Standard
“En del mindre virksomheder vil nu skulle leve op til krav, de ikke er vant til,” siger direktøren i Dansk Standard og peger på, at de nye krav ofte kan komme bag på mange af de mindre virksomheder, der ikke tidligere har arbejdet så struktureret med informationssikkerhed.
Det gjaldt til dels også for Vicorda: “Vi valgte at gå ind i det her, fordi vi arbejder med sundhedsdata, og her er der meget høje krav til sikkerhed, både fra danske og internationale kunder og samarbejdspartnere,” siger Anders Becker.
For Vicorda betød det også strengere krav til egne underleverandører og en mere grundig risikoanalyse. Samarbejdet med leverandører tog længere tid, fordi man skulle sikre, at alle havde systemer og processer.
Men igen var gevinsten tydelig: et mere robust og dokumenterbart sikkerhedsnetværk, der gør sikkerhed til en konkurrencefordel, fortæller han.
Sikkerhed som forretningsværdi - også for smv’er
Mens de store virksomheder har ressourcer og kan trække på dedikerede sikkerhedsafdelinger, bør de små og mindre ressourcestærke virksomheder trække på eksisterende værktøjer og standarder frem for at opbygge alt fra bunden, mener Tina Helsted Vengsgaard.
FAKTA
Om ISO 27001
Standarden for cyber- og informationssikerhed, ISO/IEC 27001, er en international standard, der giver organisationen et stærkt fundament til at opnå sikkerhed, compliance, effektivitet og udvikling uanset virksomhedens behov. Standarden fungerer som et styringsværktøj, der bl.a. opstiller krav til risikostyring, forbedring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed. Dette hjælper med at beskytte værdifulde informationer på en sikker og troværdig måde i en verden, der er under konstant forandring.
Standarden giver virksomheder en systematisk tilgang til at arbejde med deres informationssikkerhed. den bruges globalt af både stor og små organisationer som ønsker at styrke informationssikkerheden og demonstre, at de lever op til internationale bedste praksisser
Kilde: Dansk Standard
“Jeg forstår, at det kan virke uoverskueligt og dyrt for virksomheder med få ressourcer, men der findes heldigvis gode værktøjer og rådgivning, som kan hjælpe en i gang,” siger hun.
SAMSIK (Styrelsen for Samfundssikkerhed) tilbyder blandt andet praktiske guides og værktøjet Systemoverblikket, der hjælper virksomheder med at identificere kritiske it-systemer. De peger specifikt på standarden ISO/IEC 27001, som giver en international ramme for risikovurdering, beredskab og dokumentation – og som fungerer som et anerkendt bevis på, at virksomheden arbejder professionelt.
En del af det bevis handler om, at man som virksomhed får en uvildig vurdering af arbejdet, så man som virksomhed kan dokumentere sikkerheden over for kunder og partnere.
“Vi var også nødt til at få andre til at kigge vores arbejde efter i sømmene. Men i dag er cyber- og informationssikkerhed som sagt et forretningskritisk punkt, som afgør, om man overhovedet får lov at levere til sine kunder,” fortæller Anders Becker og afslutter:
“Og det kan som bekendt ske for alle. De store virksomheder med massive cybersikkerhedsbudgetter er jo også blevet ramt. Det afgørende er, om du bagefter kan dokumentere, at du har gjort dit.”
Annoncen er produceret af Børsen Brands i samarbejde med Dansk Standard.
