IT-sikkerhed er de tekniske og organisatoriske foranstaltninger der beskytter virksomhedens data, systemer og brugere mod uautoriseret adgang, tab, manipulation og nedbrud. Det omfatter tre kerneprincipper: fortrolighed, integritet og tilgængelighed.
Denne guide forklarer IT-sikkerhed fra bunden: CIA-triaden, de fem områder disciplinen dækker, forskellen på IT-sikkerhed, cybersikkerhed og informationssikkerhed, de vigtigste trusler mod danske virksomheder og hvor I konkret starter.
IT-sikkerhed er gennem de seneste år gået fra at være et teknisk specialområde til et ledelsesansvar. Med NIS2-direktivet, der trådte i kraft i dansk lovgivning 1. juli 2025, er sikkerhed ikke længere noget IT-afdelingen kan håndtere alene. Det er en bestyrelsessag med personligt ledelsesansvar og dokumentationskrav.
Samtidig er trusselsbilledet ændret. Hvor angreb tidligere var rettet mod store virksomheder og statslige institutioner, rammer ransomware, phishing og credential-læk i dag særligt danske SMV'er, fordi de typisk har færre forsvarslag og ofte agerer som indgang til større forsyningskæder.
Vil I vide hvor jeres egen virksomhed står efter at have læst guiden, kan I afslutte med et gratis baseline-tjek, men det er ikke nødvendigt for at få værdi af artiklen.
Al moderne IT-sikkerhed bygger på tre principper kendt under den engelske forkortelse CIA: Confidentiality, Integrity og Availability. Hver gang en sikkerhedskontrol skal vurderes, kan man spørge: hvilket af de tre principper beskytter den? Hvis kontrollen ikke kan placeres et sted, er det sjældent en sikkerhedskontrol. Det er noget andet.
Kun autoriserede personer kan se data. Beskyttes via adgangsstyring, multi-faktor-godkendelse (MFA), kryptering og rettighedsstyring efter least privilege-princippet.
Data er korrekte og uændrede. Beskyttes via versionsstyring, audit-logs, digitale signaturer, checksums og kontrolfunktioner der opdager utilsigtede eller ondsindede ændringer.
Data og systemer kan tilgås når der er behov. Beskyttes via backup, redundans, kapacitetsplanlægning, beredskab og DDoS-beskyttelse.
CIA-triaden blev formuleret i 1970'erne og er fortsat den internationale standard for at strukturere IT-sikkerhed. Nogle frameworks tilføjer ekstra principper som autenticitet og uafviselighed, men CIA er udgangspunktet.
IT-sikkerhed handler ikke kun om firewall og antivirus. En komplet sikkerhedspostur omfatter fem komplementære områder, der alle skal være på plads. Det hjælper ikke at have det stærkeste tekniske setup, hvis medarbejderne klikker på alle links de modtager.
Firewall, antivirus, multi-faktor-godkendelse (MFA), kryptering af data i transit og at rest, patch-management og sårbarhedsscanning. Det er de værktøjer og konfigurationer der beskytter selve infrastrukturen.
Hvorfor: uden teknisk fundament er resten kun politik på papir.
Politikker, processer, ansvarsfordeling og roller. Hvem gør hvad når en medarbejder fratræder? Hvordan godkendes ny software? Hvem håndterer en hændelse uden for åbningstid?
Hvorfor: NIS2 og D-mærket kræver dokumenteret organisatorisk forankring, ikke kun teknik.
Adgangskontrol til kontorer og serverrum, låste skabe til bærbare enheder, sikker bortskaffelse af gamle harddiske og kontrol over hvem der har adgang til hvilke lokaler.
Hvorfor: en stjålet laptop på et uåbnet kontor er en GDPR-hændelse, uanset hvor stærk firewallen er.
GDPR (databeskyttelsesforordningen), NIS2 (sikkerhed i samfundsvigtige sektorer), persondataloven, bogføringsloven og branchespecifikke krav. Databehandleraftaler, fortegnelser og dokumentation til tilsyn.
Hvorfor: et brud uden dokumentation koster både bøde, indtjening og omdømme. Med dokumentation kan hændelsen typisk håndteres.
Løbende træning, simulerede phishing-mails, opdatering af medarbejdere om aktuelle trusler og en kultur hvor det er trygt at rapportere fejl. Mennesker er ikke det svageste led; de er den sidste forsvarslinje.
Hvorfor: cirka 90 procent af succesfulde angreb starter med phishing eller social engineering.
Den stærkeste tekniske løsning kan slet ikke kompensere for et svagt organisatorisk fundament, og omvendt. NIS2-tilsyn vurderer alle fem områder samlet, ikke hver for sig.
De tre begreber bruges ofte synonymt, men de dækker forskellige niveauer af samme idé. Den korrekte sondring er vigtig når I taler med leverandører, forsikringsselskaber og myndigheder, fordi NIS2 og GDPR ikke bruger samme afgrænsning.
Beskyttelse af tekniske systemer: servere, netværk, endpoints, software og data der opbevares eller transmitteres digitalt. Den klassiske disciplin med fokus på teknik og konfiguration.
Alt der relaterer sig til cyberspace, altså IT-sikkerhed plus trusler der opstår via internettet: social engineering, identitetstyveri, supply chain-angreb og operationelle hændelser. Inkluderer det menneskelige element.
Beskyttelse af al information uanset format. Inkluderer også papirdokumenter, samtaler, telefonopkald og fysiske medier. Det er det paraply-begreb ISO 27001 anvender, og som D-mærket læner sig op ad.
Praktisk tip: Spørg jeres leverandør hvilket begreb deres ydelse dækker. Hvis de udelukkende leverer teknisk IT-sikkerhed, mangler I ofte awareness, dokumentation og fysisk sikkerhed for at være NIS2-klar.
Trusselsbilledet for danske virksomheder er domineret af fire angrebstyper. De har det til fælles at de udnytter en kombination af teknik og menneske, og at de er kommercielt motiverede. Forståelse af mekanikken er forudsætningen for at vurdere hvad der reelt beskytter.
Mails, sms-beskeder eller opkald der efterligner en kendt afsender og lokker offeret til at oplyse password, godkende en MFA-prøve eller åbne en vedhæftet fil. Moderne phishing er sproglig perfekt, AI-genereret, og ofte personligt tilpasset.
90% af angreb starter herMalware der krypterer virksomhedens data og kræver løsesum for genopretning. Moderne ransomware-grupper anvender double extortion: først stjæles data, derefter krypteres systemet, og betaling kræves både for nøglen og for ikke at offentliggøre de stjålne data.
Gennemsnitlig nedetid: 3 ugerInfostealer-malware på medarbejderes privat-pcer eller utilsigtet læk via tredjepartstjenester. Passwords ender på cybercrime-fora og bruges direkte mod virksomhedens Microsoft 365 og andre tjenester, ofte uden at offeret ved det.
Median tid til opdagelse: 200+ dageAngriberen kompromitterer en mindre leverandør (en konsulent, en softwareleverandør eller en serviceudbyder) og bruger den tillidsrelation til at få adgang til den egentlige målvirksomhed. NIS2 pålægger virksomheden ansvar for at vurdere leverandører.
Stigning: +600% siden 2020Hvis I er nye på rejsen, kan IT-sikkerhed virke unødvendigt komplekst. CFCS' anbefaling er at starte med fem konkrete handlinger der til sammen blokerer langt størstedelen af automatiserede angreb. Rækkefølgen herunder er prioriteret efter effekt-til-indsats.
Start med Microsoft 365, derefter bank, regnskab, løn og samarbejdsværktøjer. MFA alene blokerer over 99,9 procent af automatiserede password-angreb. Det er den enkelt mest virkningsfulde kontrol I kan indføre i denne uge.
Tidsforbrug: 2-4 timerBackup uden test er ikke backup; det er håb. Indfør en politik hvor I hver måned faktisk gendanner en tilfældig fil fra backup for at sikre at processen virker. Brug 3-2-1-reglen: 3 kopier, på 2 forskellige medier, 1 off-site.
Tidsforbrug: 1 dag til opstart, derefter 1 time/månedKritiske sårbarheder skal lukkes inden for 14 dage, høj-prioritet inden for 30 dage. CVE'er offentliggøres dagligt. Uden et overvågnings-setup ved I ikke hvad I har eller mangler. På Microsoft 365 sker meget automatisk; servere og netværksudstyr kræver løbende opfølgning.
Tidsforbrug: 4 timer/måned for typisk SMVKorte, målrettede sessioner, ikke en årlig PowerPoint. Kombinér 10-15 minutters lektion med en simuleret phishing-mail, så I kan måle forbedring over tid. Belønninger virker bedre end straf; gør det trygt at rapportere fejl.
Tidsforbrug: 30 min/medarbejder/kvartalEn ekstern scanning viser hvad en angriber ser udefra: åbne porte, udløbne certifikater, eksponerede services, lækkede credentials. Start med vores gratis sikkerhedstjek for at få et udgangspunkt at måle forbedring fra.
Tidsforbrug: 5 minutter at bestille, rapport på 24 timerEfter disse fem handlinger er I på et fornuftigt grundniveau. Det er ikke nok til NIS2-tilsyn eller cyberforsikring, men det er fundamentet alt andet bygger ovenpå.
Fem spørgsmål vi oftest får fra danske SMV-ledere der overvejer hvor de skal starte.
IT-sikkerhed i en virksomhed er de tekniske og organisatoriske foranstaltninger der beskytter virksomhedens data, systemer og brugere mod uautoriseret adgang, tab, manipulation og nedbrud. Det omfatter tre kerneprincipper kaldet CIA-triaden: fortrolighed (kun autoriserede ser data), integritet (data er korrekte og uændrede) og tilgængelighed (data og systemer kan tilgås når der er behov). I praksis dækker IT-sikkerhed fem områder: teknisk (firewall, antivirus, MFA, kryptering), organisatorisk (politikker og processer), fysisk (adgangskontrol til serverrum), juridisk (GDPR, NIS2) og brugeradfærd (awareness, phishing-træning).
IT-sikkerhed er den snævre disciplin der beskytter tekniske systemer: servere, netværk, endpoints, software og data. Cybersikkerhed er det bredere paraply-begreb der dækker alle internet-relaterede trusler, inklusiv social engineering, identitetstyveri og operationelle hændelser der starter eller spredes via cyberspace. Informationssikkerhed er endnu bredere og omfatter al information uanset format, også papirdokumenter, samtaler og fysiske medier. I praksis bruges begreberne ofte synonymt, men en præcis sondring er: IT-sikkerhed = teknik, cybersikkerhed = teknik + internet-trusler + adfærd, informationssikkerhed = alt der beskytter information. Læs mere om cybersikkerhed som paraply-begreb.
De fire største trusler mod danske virksomheder er: 1) Phishing, der starter omkring 90 procent af alle vellykkede angreb og typisk leder til kompromitterede konti eller malware. 2) Ransomware, hvor angribere krypterer virksomhedens data og kræver løsesum. Gennemsnitlig nedetid er 3 uger, og 30 procent betaler. 3) Kompromitterede credentials fra infostealer-malware, hvor medarbejderes passwords lækker via inficerede privat-pcer og genbruges mod arbejdskonti. 4) Supply chain-angreb, hvor en kompromitteret leverandør bruges som indgangsvinkel, særligt aktuelt med NIS2 der pålægger virksomheden ansvar for leverandørstyring.
Tommelfingerregler fra Center for Cybersikkerhed og branche-analyser anbefaler at danske SMV'er bruger 5-10 procent af det samlede IT-budget på sikkerhed. For en typisk virksomhed med 25 ansatte svarer det til 1.500-3.000 kr pr medarbejder årligt, eller 40.000-75.000 kr i alt. Managed sikkerhedspakker hos D-mærkede leverandører starter ved 599 kr/md for basis (ekstern scanning, email-sikkerhed) og ligger på 1.999 kr/md for et fuldt NIS2-klart setup. Til sammenligning koster en intern IT-sikkerhedsspecialist cirka 800.000 kr årligt inklusiv sociale omkostninger. Derfor outsourcer de fleste danske SMV'er sikkerheden til en specialiseret leverandør. Læs mere om hvad et IT-sikkerhedstjek konkret indeholder.
Det første en virksomhed bør gøre er at få et baseline-overblik, altså vide hvor man står lige nu. Det indebærer fem konkrete handlinger: aktivér multi-faktor-godkendelse (MFA) på alle konti, særligt Microsoft 365 og bankkonti; etablér daglig backup med månedlig restore-test så I ved at backuppen faktisk virker; indfør patch-management så kritiske CVE'er lukkes inden for 14 dage; gennemfør awareness-træning hvert kvartal med simulerede phishing-mails; og få et eksternt baseline-tjek der viser angrebsfladen udefra. CFCS anbefaler en lignende prioritering med MFA øverst, og MFA alene blokerer over 99,9 procent af automatiserede angreb mod konti.
Teorien om CIA-triaden og fem områder er fundamentet, men når I skal vide hvor jeres virksomhed står, kræver det et baseline-tjek. Vores gratis sikkerhedstjek viser angrebsfladen udefra: åbne porte, lækkede credentials, certifikat-status og email-konfiguration. Ingen formular ud over jeres domæne, ingen salgssamtale.
Eller ring direkte: 70 23 57 70 · Man-fre 08:00-16:00 · Marøgelhøj 9A, 8520 Lystrup