Danske SMV'ers cybersikkerhed: Et kritisk efterslæb og vejen frem
- Christoffer Sevaldsen
- 28. maj
- 4 min læsning

Danmark er i mange henseender et digitalt foregangsland. Vi er hurtige til at tage nye teknologier til os, og mange virksomheder – store som små – har gjort digitalisering til en hjørnesten i deres forretningsmodel. Alligevel halter mange små og mellemstore virksomheder (SMV’er) efter, når det kommer til cybersikkerhed.
Det er ikke blot et teknisk spørgsmål om firewalls og antivirus. Det er i lige så høj grad et spørgsmål om ledelse, ansvar og forretningsforståelse.
Når ambitioner og sikkerhed ikke følges ad
En undersøgelse fra Styrelsen for Samfundssikkerhed (2024) har kortlagt situationen, og resultaterne bør give anledning til alvorlige overvejelser i enhver SMV.
Hele 40 procent af virksomhederne har et cybersikkerhedsniveau, der ikke matcher deres faktiske risikoprofil. Det betyder, at mange sætter sig selv i fare – ubevidst eller på grund af ressourcemangel. Det gælder især, når man ser på, hvor mange virksomheder der håndterer følsomme oplysninger: forretningskritiske data, kundedatabaser, og i mange tilfælde også persondata med høj følsomhed.
Det gør dem til oplagte mål for cyberangreb. Og realiteten er hård: 60 procent af SMV’erne ville ikke kunne udføre deres kerneopgaver uden adgang til deres it-systemer. Et vellykket ransomware-angreb kan derfor ikke blot forstyrre – men i værste fald lukke – virksomheden.
Hvor bliver ledelsen af?
Et særligt problemfelt er ledelsesinvolvering. Selvom der er en klar sammenhæng mellem ledelsens engagement og virksomhedens cybersikkerhedsniveau, er det kun 40 procent af SMV-ledelser, der i høj grad tager ansvar for it-sikkerhed. Det er for få. Cybersikkerhed er ikke noget, der kan overlades til teknikere alene – det skal forankres i den øverste ledelse og gennemsyre hele organisationen.
Positive bevægelser – men ikke nok
Det ville være forkert at sige, at intet sker. Tværtimod er der lyspunkter. I dag tager 94 procent af SMV’erne backup af data, og andelen, der gennemfører risikoanalyser, er steget til 59 procent. Men samtidig er der stadig 41 procent, som ikke analyserer deres sikkerhedsrisici systematisk. Det svarer til at køre bil uden bremsetjek – man ved ikke, hvornår det går galt, men man ved, det kan ske.
Erhvervslivets stemme: En balance mellem regler og realiteter
Dansk Erhverv har reageret på den aktuelle udvikling med en kombination af bekymring og forsigtig optimisme. På den ene side ser de tegn på fremskridt i SMV’ernes tilgang til sikkerhed. På den anden side udtrykker de bekymring over, hvor hurtigt truslerne udvikler sig. De efterspørger en mere brugervenlig tilgang til nye cybersikkerhedsregler – især med henblik på implementeringen af NIS2-direktivet og en kommende national strategi.
Deres appel er klar: Gør det lettere, ikke tungere, for virksomhederne at følge med. Anvend principper som ”Only-once”, og etabler fælles rammer for tilsyn og vejledning. Et bureaukratisk regelsæt uden praktisk støtte kan i værste fald hæmme frem for at hjælpe.
Cybersikkerhed som kultur – ikke kun som kode
Vi – hos Leadership Capital Group - mener at i dag handler cybersikkerhed mere om kultur end om kode. Teknologi er vigtig, ja, men uden den rette adfærd og forståelse blandt medarbejderne er selv den bedste software sårbar. Der skal være beredskabsplaner, roller og ansvar skal være defineret, og medarbejderne skal løbende trænes. Cybersikkerhed er en fælles opgave.
Praktiske barrierer – og hvor de rammer
37 procent af SMV’erne angiver, at de har konkrete udfordringer med at styrke deres it-sikkerhed. De hyppigste årsager er:
Usikkerhed om, hvorvidt investering i it-sikkerhed kan betale sig
Manglende viden og kompetencer
Økonomiske begrænsninger
Det er ikke bare et spørgsmål om manglende vilje – ofte er det manglende viden og kapacitet, der spænder ben. Desuden viser tallene, at de virksomheder, der oplever disse udfordringer, i gennemsnit anvender færre sikkerhedstiltag – og derfor også er mere udsatte.

Interne kompetencer kan ikke outsources helt
Mange SMV’er vælger at udlicitere sikkerhedsopgaver til eksterne eksperter – 73 procent, ifølge den seneste måling. Det giver mening, især for mindre virksomheder uden egne it-afdelinger. Men undersøgelsen peger også på, at de mest sikre virksomheder er dem, der kombinerer interne kompetencer med ekstern hjælp.
Eget ejerskab er afgørende – man kan ikke udlicitere ansvar.
Branchedynamik og ubalancer
Nogle brancher er hårdere ramt end andre. I byggebranchen har næsten halvdelen af virksomhederne kun implementeret meget få sikkerhedstiltag, mens informationsbranchen generelt er bedre sikret – men også langt mere udsat.
Det understreger, at én størrelse ikke passer alle. Sikkerhed skal tilpasses den enkelte virksomheds virkelighed og risikoprofil.
Fremtidens sikkerhed hviler på tre søjler
Skal vi sikre de danske SMV’er bedre, kræver det en strategi bygget på tre grundsten:
Kultur: Sikkerhed starter med mennesker. Der skal opbygges en sikkerhedsbevidsthed i alle led af organisationen.
Kompetencer: Medarbejdere og ledelse skal have den nødvendige viden og kunne følge med i udviklingen.
Compliance: Det handler ikke blot om at følge reglerne – men om at forstå formålet med dem og bruge dem strategisk.
Tiden er nu
Danmarks SMV’er udgør rygraden i vores erhvervsliv. Men uden tilstrækkelig cybersikkerhed bliver de et let bytte. Det handler ikke om frygt, men om rettidig omhu. Med den rette ledelse, en stærk sikkerhedskultur og adgang til støtte og vejledning kan virksomhederne ikke bare beskytte sig – men blive mere robuste og konkurrencedygtige.
Det handler ikke længere om, hvorvidt man bliver angrebet – men om, hvordan man reagerer, når det sker. Vejen frem er ikke enkel, men den er klar: Erkend udfordringen, tag ejerskab og skab en sikker fremtid.
Leadership Capital Group hjælper og rådgiver danske SMV'er til at få et stærkt beredskab, så de er klar når en krise rammer. Vores erfarne konsulenter har store erfaring med kriseberedskab og hjælper jeg med løsninger der virker.
Ydelser LCG tilbyder:
Analyse og vurdering af eksisterende beredskab og risikobillede.
Udvikling og implementering af beredskabs- og kriseplaner.
Træning og rådgivning af krisestab og ledelse.
Design og facilitering af realistiske krisesimuleringer.
Kommunikationsstrategier før, under og efter kriser.
Etablering af governance og ledelsesstruktur i kriseberedskabet.
Comments