Cyberforsikring: 5 ting dit forsikringsselskab kræver

Opdateret april 2026 · 5 min. læsetid

Du har tegnet en cyberforsikring. Godt. Men har du læst det med småt?

Over 40% af alle cyberforsikringskrav bliver afvist af forsikringsselskabet. Ikke fordi skaden ikke er reel — men fordi virksomheden ikke kunne dokumentere, at de levede op til forsikringens sikkerhedskrav.

Det svarer til at have en brandforsikring, men uden røgalarmer. Forsikringsselskabet betaler ikke, hvis du ikke har gjort din del.

Her er de 5 krav, som stort set alle cyberforsikringer stiller i 2026 — og hvad det betyder for din virksomhed.

1. Multi-Factor Authentication (MFA)

Det her er den absolutte minimumskrav. Ifølge Coalition's 2024-rapport blev 82% af alle afviste forsikringskrav afvist, fordi virksomheden manglede MFA.

MFA betyder, at dine medarbejdere skal bruge mere end bare et password for at logge ind — typisk en kode fra en app eller en fysisk nøgle. Det gælder især for:

• Email (Microsoft 365, Google Workspace)
• VPN og fjernadgang
• Administratorkonti og kritiske systemer

Hvis bare én admin-konto mangler MFA, kan forsikringsselskabet bruge det som grundlag for at afvise dit krav. Så simpelt er det.

2. Endpoint Protection på alle enheder

Windows Defender er ikke nok. Forsikringsselskaber kræver managed endpoint detection and response (EDR) — altså software der aktivt overvåger og reagerer på trusler, ikke bare scanner for virus.

Det skal være installeret på alle enheder: bærbare, stationære, servere. Og det skal kunne dokumenteres med logs. "Vi troede det var installeret" holder ikke i en skadesanmeldelse.

3. Backup med verificering

At have backups er ikke nok. Forsikringen kræver at du kan bevise, at dine backups faktisk virker. Det betyder:

• Regelmæssig test af restore-procedurer
• Offline eller immutable backups (som ransomware ikke kan kryptere)
• Dokumentation af hvornår backups sidst blev verificeret

Vi ser det igen og igen: virksomheder der troede de havde backups, men som opdager under et angreb, at backuppen har fejlet i månedsvis. Forsikringen dækker ikke, når du ikke kan gendanne dine data.

4. Incident Response Plan

Hvem ringer du til, når det sker? Hvem beslutter om I betaler løsesum? Hvem kontakter Datatilsynet inden for 72 timer?

Forsikringsselskaber kræver en skriftlig plan for håndtering af sikkerhedshændelser. Den skal indeholde:

• Kontaktpersoner og ansvarsfordeling
• Eskaleringsproces (hvornår involveres ledelsen, jurister, myndigheder)
• Kommunikationsplan (internt og eksternt)
• Teknisk inddæmning og genopretning

Planen behøver ikke være 50 sider. Men den skal eksistere, og folk skal vide, hvor den ligger.

5. Security Awareness Training

Dine medarbejdere er det svageste led — det ved forsikringsselskabet også. 80% af alle hackingangreb starter med stjålne eller svage credentials ifølge Verizon DBIR 2025. Ofte fordi en medarbejder klikkede på det forkerte link.

Forsikringen kræver typisk:

• Årlig security awareness-træning for alle medarbejdere
• Phishing-simuleringer
• Dokumentation af deltagelse

Det behøver ikke koste en formue. Men det skal kunne dokumenteres.

Hvad sker der, når et krav afvises?

Lad os sige, I bliver ramt af ransomware. Jeres systemer er nede i gennemsnitligt 24 dage. I anmelder skaden til forsikringen.

Forsikringsselskabet sender en forensics-ekspert, der gennemgår jeres systemer. De finder ud af, at jeres CFO's konto ikke havde MFA aktiveret — og det var præcis den konto, hackerne brugte til at komme ind.

Krav afvist. I står nu med:

• Hundredtusindvis af kroner i tabte indtægter under nedetiden
• Udgifter til genopretning af systemer
• Potentielle GDPR-bøder fra Datatilsynet
• Og en forsikring der ikke betaler en krone

Det er ikke en hypotetisk situation. Det sker for danske virksomheder lige nu.

Sådan hjælper Netdk med forsikringsdokumentation

Hos Netdk dokumenterer vi løbende, at jeres sikkerhed lever op til forsikringskravene. Det betyder:

• MFA-status på alle konti — med rapporter I kan sende til forsikringen
• Endpoint protection med managed EDR og compliance-logs
• Backup-verificering med automatiske test og notifikation ved fejl
• Incident response plan tilpasset jeres virksomhed
• Awareness-træning med dokumenteret deltagelse

Når forsikringsselskabet spørger "kan I dokumentere X?" — så har I svaret klar. Ikke som en hektisk øvelse efter angrebet, men som en del af den daglige drift.

Det handler ikke bare om at overholde kravene. Det handler om at kunne bevise det, når det gælder. Og det er præcis det, en managed security-løsning giver jer.