En praktisk tjekliste til danske SMV-ledere der skal vælge eller skifte IT-sikkerhedsleverandør. Otte kendetegn på et godt match, seks advarselssignaler at være opmærksom på og fem spørgsmål I kan stille jeres nuværende leverandør i dag.
Markedet for IT-sikkerhed i Danmark er fragmenteret. Der findes alt fra enmandshold der ringer rundt med USB-stick-tilbud til store internationale cybersikkerhedsfirmaer der primært servicerer enterprise-kunder. Et dansk IT-sikkerhedsfirma der reelt passer til en SMV med 5-100 ansatte er noget tredje, og det er ikke altid let at gennemskue forskellen før kontrakten er underskrevet.
Tjeklisten her kan I tage med i en samtale med enhver dansk IT-sikkerhedsleverandør, inklusiv os. Hvis jeres nuværende cybersikkerhedsfirma leverer på alle otte punkter, har I et godt match. Hvis ikke, har I en konkret liste over hvad I skal kigge efter nær I overvejer at skifte.
De otte punkter er destilleret fra CFCS-anbefalinger (Center for Cybersikkerhed under Forsvarets Efterretningstjeneste), D-mærkets kriterier og hverdagen hos danske SMV'er der har bedt os om en second opinion på deres eksisterende leverandør.
Leverandøren skal selv kunne dokumentere det sikkerhedsniveau, de rådgiver om. D-mærket er Dansk Erhvervs mærkningsordning og dækker GDPR, NIS2 og grundlæggende kontroller. ISO 27001 er den internationale pendant.
Hvorfor: et IT-sikkerhedsfirma uden egen certificering har ingen ekstern validering af deres egen sikkerhedspostur.
Priser skal kunne ses offentligt eller oplyses inden for få minutter. Bindingsperioder over 12 måneder er sjældent retfærdige på SMV-niveau, hvor jeres behov kan ændre sig hurtigt.
Hvorfor: skjulte priser og lange bindinger er ofte tegn på at værdien ikke holder uden kontraktlås.
Support skal kunne fås på dansk inden for normal arbejdstid, og kritiske hændelser skal kunne eskaleres uden for åbningstiden. Telefonen skal tages af et menneske, ikke en chat-bot eller ticket-formular.
Hvorfor: når noget brænder, tæller minutter. Ikke timer i en anden tidszone.
Den danske NIS2-lov trådte i kraft 1. juli 2025 og udvider compliance-kravene til mange flere SMV'er: direkte for væsentlige enheder, indirekte via forsyningskæden. Leverandøren skal kunne forklare jeres konkrete forpligtelser, ikke bare nikke til ordet.
Hvorfor: GDPR og NIS2 er konkrete dokumentationskrav, ikke buzzwords.
En månedlig rapport skal vise konkrete fund med dato, alvorlighed og anbefalet handling, ikke bare et generisk dashboard med farver. Rapporten skal kunne forstås af en ikke-teknisk bestyrelse.
Hvorfor: hvis I ikke kan vise jeres revisor eller forsikring hvad I gør ved sikkerheden, hjælper det ikke i en tilsynssag.
Selv et helt managed setup har situationer hvor on-site kørsel er nødvendigt: server-overdragelse, kompromitteret enhed der skal isoleres fysisk, eller workshops med medarbejdere.
Hvorfor: 100% remote er fint i 95% af tilfældene. Det er de sidste 5% der koster.
Et IT-sikkerhedsfirma der primært servicerer storkunder vil ofte foreslå værktøjer og processer der er overdimensionerede for en SMV med 25 ansatte. SMV-fokuserede leverandører kender forskellen.
Hvorfor: enterprise-tools koster typisk 5-10x mere og kræver intern admin-tid I sjældent har.
Rådgivningen skal kunne forankres i CFCS' anbefalinger (awareness, MFA, patch-management, backup som basis-niveau), den danske persondatalov, bogføringsloven og NIS2. Ikke kun amerikanske frameworks som NIST og CIS.
Hvorfor: amerikanske frameworks er gode, men danske myndigheder bruger CFCS som baseline ved tilsyn.
Ikke alle problemer viser sig første møde. Her er seks røde flag vi har set gentaget i samtaler med SMV'er, der har skiftet IT-sikkerhedsfirma efter et dårligt forløb. Et enkelt af punkterne er ikke nødvendigvis diskvalificerende, men flere samtidig bør få alarmen til at lyse.
Hvis leverandøren ikke kan opgive prisniveau før møde, er det ofte fordi prisen tilpasses jeres oplevede betalingsevne, ikke jeres reelle behov.
SMV'er ændrer sig hurtigt. En 36-måneders kontrakt med opsætningsgebyr og opsigelsesgebyr er konstrueret til at fange jer, ikke til at give jer fleksibilitet.
Hvis I modtager identiske PDF'er fra en generisk dashboard-leverandør på engelsk, er det tegn på at leverandøren ikke selv går data efter. De bare videresender et værktøj.
Et cybersikkerhedsfirma uden egen ekstern certificering har ingen tredjepart, der har valideret deres sikkerhedspostur. Det er som en revisor uden eksamen.
Hvis løsningen på et kritisk problem er en support-medarbejder i en helt anden tidszone, taber I tid på sproglige misforståelser og forsinket eskalering.
Et firma der både installerer printere, bygger hjemmesider, leverer telefoni og managed sikkerhed er sjældent specialiseret i sikkerhed. IT-sikkerhed er en fagdisciplin.
Fem konkrete spørgsmål I kan stille jeres nuværende IT-sikkerhedsfirma i dag. Hvis I ikke får klare, dokumenterede svar inden for en uge, er det i sig selv et signal om at noget halter.
M365 er angrebsflade nr. 1 for danske SMV'er. En kompetent leverandør kan svare med en dato, en rapport og en handlingsplan, ikke "den kører som standard".
Hvis svaret er "vi har dashboards I kan logge ind på" eller "vi sender ved behov", arbejder leverandøren ikke proaktivt. De venter på I selv finder problemer.
NIS2 og cyberforsikringer kræver konkret evidens: politikker, hændelseslog, risikovurdering, leverandørstyring. Ikke et generisk "vi har styr på det".
Credential leak-overvågning er en grundlæggende kontrol. Hvis leverandøren ikke har et tal og et tilhørende handlingsløb for hvert fund, mangler basisarbejdet.
Jeres logs, M365 globaladmin-adgang, scripts og dokumentation skal være jeres ejendom. Et godt cybersikkerhedsfirma har en udfasningsplan klar fra dag ét.
Hvis I overvejer Netdk som dansk IT-sikkerhedsfirma, ser de første 30 dage typisk sådan ud. Det er ikke en garanti, men en realistisk plan, så I ved hvad I kan forvente når I starter hos os.
Pakkerne starter ved 599 kr/md (Basis), 1.999 kr/md (Pro) og 4.999 kr/md (Enterprise). Alle ex moms, uden binding, opsigelse med 30 dages varsel.
Seks spørgsmål vi oftest får fra SMV-ledere der overvejer at vælge eller skifte cybersikkerhedsfirma.
Et godt dansk IT-sikkerhedsfirma har dokumenteret certificering (D-mærket eller ISO 27001), transparente priser uden lang binding, dansk support i samme tidszone, erfaring med GDPR og NIS2, leverer konkrete rapporter på dansk, har lokal tilstedeværelse med mulighed for on-site support, er specialiseret i SMV-segmentet og refererer til danske myndigheder som CFCS og Digitaliseringsstyrelsen i sin rådgivning. Hvis leverandøren scorer højt på alle otte punkter i tjeklisten over, har I et godt match. Hvis ikke, har I et konkret udgangspunkt for en samtale.
Stil de fem spørgsmål fra selvtjek-sektionen: Kan I se en månedlig rapport på dansk med konkrete fund? Har I dokumentation klar til cyberforsikring og NIS2-tilsyn? Hvornår blev jeres Microsoft 365-tenant sidst hærdet mod CIS-baselines? Tager leverandøren selv initiativ til at bringe sikkerhed op, eller skal I altid spørge? Kan I opsige uden lang binding hvis kvaliteten falder? Hvis I ikke får klare svar på alle fem inden for en uge, er det tegn på at jeres nuværende leverandør ikke leverer på det niveau en moderne dansk SMV har brug for. Det betyder ikke nødvendigvis at I skal skifte med det samme, men I skal have en samtale.
Managed IT-sikkerhed for danske SMV'er starter typisk ved 500-700 kr/md for et basis-fundament med månedlig scanning og email-sikkerhed. Et fuldt NIS2-klart setup med daglig CVE-scanning og dokumentation ligger på 1.500-2.500 kr/md. Enterprise-niveau med 24/7-overvågning ligger fra 4.500 kr/md. Netdks pakker er prissat ved 599, 1.999 og 4.999 kr/md ex moms, uden binding. Vær opmærksom på leverandører der ikke viser priser offentligt: det er ofte tegn på enterprise-fokus, ikke SMV-tilpasning. Til sammenligning koster en intern IT-sikkerhedsspecialist ca. 800.000 kr/år inkl. social cost.
Ja, hvis I planlægger overgangen ordentligt. En seriøs ny leverandør laver først en baseline-scanning så I kender udgangspunktet, derefter en overlappende periode (typisk 30-60 dage) hvor begge leverandører har adgang, og til sidst en kontrolleret overdragelse af nøgler, scripts og dokumentation. Sørg for at jeres databehandleraftale, audit-logs og Microsoft 365-globaladmin-adgang er jeres ejendom, ikke leverandørens. Hos Netdk er der ingen binding, så I kan opsige med 30 dages varsel uden at skulle forhandle om udfasning.
Et almindeligt IT-firma fokuserer på drift: at hardware, software og netværk fungerer. Et IT-sikkerhedsfirma fokuserer specifikt på at beskytte mod cybertrusler: sårbarhedsscanning, hærdning af konfigurationer, overvågning af læk, hændelseshåndtering og compliance-dokumentation (GDPR, NIS2, D-mærket). De to roller supplerer hinanden: IT-drift sørger for at systemerne kører, IT-sikkerhed sørger for at de ikke bliver kompromitteret. Mange danske SMV'er har en IT-leverandør til drift og supplerer med en specialiseret dansk IT-sikkerhedsleverandør som os.
D-mærket er en stærk indikator, men ikke en blanco-garanti. Mærket dokumenterer at leverandøren selv har styr på GDPR, NIS2 og grundlæggende kontroller: ledelsesforankring, risikostyring, adgangsstyring, logning, backup og hændelseshåndtering. Det betyder I køber ind hos en partner der lever op til de krav, de rådgiver om. Suppler dog altid D-mærket med konkret vurdering af leverandørens SMV-erfaring, transparens på priser, kvaliteten af deres rapporter og om de aktivt bringer sikkerhed op, eller kun reagerer når I spørger. Netdk er D-mærket certificeret siden marts 2023.
Start med vores gratis sikkerhedstjek, eller book 15 minutter, hvor vi gennemgår tjeklisten sammen med jer. Ingen salgssamtale, ingen formular, ingen binding.
Eller ring direkte: 70 23 57 70 · Man-fre 08:00-16:00 · Marøgelhøj 9A, 8520 Lystrup