Velkommen til ISACA Danmarks Medlemmer
Velkommen til vores april-udgave, mens vi afslutter første kvartal af 2026 og ser frem mod maj. April har været en skelsættende måned for dansk cybersikkerhed, præget ikke af dramatiske brud, men af et fundamentalt skift i, hvordan vi skal tænke på cyberrisiko. Samtalen udvikler sig fra "kan vi stoppe angreb?" til "kan vi stole på og kontrollere det digitale økosystem, vi er afhængige af?"
Denne måned bragte os DNV Cybers banebrydende Danmark-resiliens-rapport, der afslører, at 54% af kritisk infrastrukturs ledere er afhængige af leverandører fra geopolitisk spændte lande. ISACA Danmark afholdt sin årlige generalforsamling den 20. april, hvilket forstærkede vores fællesskabs fokus på governance og resiliens. Den 23. april mødtes Connect4Cyber Episode 3 i Stockholm og åbnede veje for danske organisationer til at få adgang til Horizon Europe cybersikkerhedsfinansiering. Og gennem hele perioden har Østersøen fortsat mindet os om, at kritiske infrastruktursårbarheder strækker sig under bølgerne. I maj vil V2 Security 2026 samle over 5.500 deltagere i København til Danmarks største årlige samling af cyber- og informationssikkerhedsprofessionelle.
Mens vi går ind i maj, konvergerer disse udviklinger til et klart budskab: supply chain-cybersikkerhed er nu Danmarks definerende cyber-udfordring. Denne artikel undersøger, hvad vi lærte i april, og hvad ISACA-medlemmer skal forberede sig på i de kommende måneder.
DNV Cyber-Vækkekaldet: Digital Suverænitet Møder Indkøbsvirkelighed
Den 9. april 2026 offentliggjorde DNV Cyber forskning, der fundamentalt bør ændre, hvordan danske organisationer tænker på cybersikkerhedsrisiko. Deres rapport "How Cyber Resilient is Denmark?" undersøgte 200 ledere inden for danske kritiske infrastrukturorganisationer og 500 medlemmer af offentligheden og afslørede ubehagelige sandheder om Danmarks digitale afhængigheder.
Hovedresultaterne er skrappe. Fireoghalvtreds procent af danske kritiske infrastrukturledere anerkender, at de er afhængige af tredjeparts leverandører fra lande, hvor geopolitiske spændinger stiger. Mere bemærkelsesværdigt ville 52% støtte flytning af deres digitale supply chain til allierede nationer—en bemærkelsesværdig erklæring om vilje til at prioritere suverænitet over omkostninger eller bekvemmelighed.
Disse tal repræsenterer mere end undersøgelsesdata. De afspejler en strategisk opvågning blandt danske infrastrukturledere om, at leverandørforhold ikke længere er rent tekniske eller kommercielle beslutninger. De er geopolitiske risikobeslutninger med nationale sikkerhedsimplikationer.
Forskningen, udviklet i partnerskab med FT Longitude og gennemført mellem november 2025 og januar 2026, inkluderede dybdegående interviews med ledere fra Dansk Industri, Ørsted, Sundhedsdatastyrelsen, AL Sydbank, Green Power Denmark og DNV Cyber selv. Deres kollektive budskab er konsistent: Danmarks cyber-resiliens afhænger ikke kun af, hvad vi bygger, men af hvem vi stoler på til at bygge det med os.
Hvorfor Supply Chains Betyder Mere End Nogensinde
Supply chains er attraktive angrebsmål, fordi de giver potentielle single-entry punkter til flere organisationer og systemer, inklusive kritisk infrastruktur. Som DNV Cybers forskning fremhæver, kan leverandør-relaterede cyber-hændelser påvirke organisationer langt ud over det oprindelige mål. Dette er ikke teoretisk spekulation. Vi så det udspille sig i Sveriges CGI-brud (dækket i vores marts-nyhedsbrev), hvor et kontraktørkompromis afslørede arkitektonisk intelligens om systemer, der betjener 8,6 millioner borgere.
For Danmark, med sin højt digitaliserede økonomi og koncentrerede leverandørekosystem, multipliceres supply chain-risiko hurtigt. Når energi, transport, vand, sundhedspleje og finansielle tjenester alle afhænger af et relativt lille antal store IT-kontraktører og tjenesteudbydere, kan et enkelt leverandørkompromis kaskadere på tværs af flere kritiske sektorer samtidig.
Den koncentration, der muliggør Danmarks effektive digitale regering, skaber også systemiske sårbarheder, som sofistikerede modstandere—både statssponsorerede og kriminelle—aktivt udnytter.
Fra Tillid til Verificering
DNV-rapportens nøgleanbefaling er lige så simpel, som den er udfordrende at implementere: "Du kan ikke sikre, hvad du ikke kender." Organisationer har brug for bedre forståelse af sårbarheder i deres supply chains ved at anvende tilgange, der giver større tilsyn med leverandører.
Dette oversættes til praktiske imperativer for danske organisationer:
Bedre adressering af cybersikkerhedskrav i indkøb og leverandørkontrakter før valg, ikke som eftertanker. Sikkerhed skal være et primært indkøbskriterium sammen med omkostninger og funktionalitet.
Øget fokus på sikkerhed i designet af processer og aktiver fra begyndelsen. At eftermontere sikkerhed på systemer bygget uden det er eksponentielt dyrere og mindre effektivt end security-by-design.
Involver cyber-teams tidligere i projekter, særligt i leverandørvalg og integrationsplanlægning. Sikkerhedsekspertise skal informere indkøbsbeslutninger, ikke kun revidere dem bagefter.
Implementer løbende test- og detect-and-response-kapaciteter, der specifikt målretter supply chain-angrebsvektorer. Antag kompromis og byg detektionssystemer derefter.
Hvad Dette Betyder for ISACA-Medlemmer
For cybersikkerhedsgovernance-professionelle skaber DNV-fundene både udfordring og mulighed. Udfordringen er, at supply chain-risikostyring kræver kapaciteter, som de fleste organisationer endnu ikke har bygget: omfattende leverandør-inventarer, kontinuerlig overvågning af leverandørers sikkerhedspositioner, kontraktlige mekanismer, der faktisk håndhæver sikkerhedskrav, og hændelsesresponsplaner, der tager højde for leverandør-oprundede kompromiser.
Muligheden er, at executive awareness om supply chain-risiko nu er høj. Når 52% af kritiske infrastrukturledere ville støtte flytning til allierede nationers leverandører, signalerer de vilje til at investere i sikkerhed selv til omkostningen af operationel forstyrrrelse. Dette skaber politisk kapital for governance-initiativer, der ville have virket for dyre eller forstyrrende for blot måneder siden.
ISACA Danmarks medlemmer bør bruge dette øjeblik til at presse på for supply chain-sikkerhedsprogrammer, der inkluderer: formelle leverandør cybersikkerhedsrisiko-vurderingsprocesser, sikkerhedskrav indlejret i alle indkøbsworkflows, kontinuerlig overvågning af kritiske leverandørmiljøer (ikke kun periodiske audits) og tabletop-øvelser, der specifikt tester leverandørkompromis-scenarier.
DNV-rapporten giver os dataene til at lave business casen. Spørgsmålet er, om vi vil handle, mens vi har executive opmærksomhed, eller vente på Danmarks egen CGI-stil hændelse for at tvinge samtalen.
ISACA Danmark Årsmøde: Styrkelse af Vores Fællesskab
Den 20. april 2026 afholdt ISACA Danmark sin årlige generalforsamling på Copenhagen Marriott Hotel. Årsmødet gav medlemmerne faglige præsentationer, indblik i ISACAs arbejde og planer for 2026/2027 og værdifulde netværksmuligheder med andre governance-, risiko- og compliance-professionelle.
Timingen var særlig betydningsfuld. Som vores nyhedsbrevsserie har dokumenteret, står Danmark over for konvergerende cyber-udfordringer: krympende privacy-budgetter midt i stigende regulatoriske krav (januar), geopolitisk cyberkrigsførelse gennem OpDenmark og fremkomsten af AI-agenter (februar), centraliserede identitetssystemsårbarheder afsløret af Sveriges BankID-brud (marts), og nu supply chain-suverænitetsproblemer (april).
ISACA Danmarks rolle som videndelingsplatform og fællesskabshub bliver mere kritisk, efterhånden som disse udfordringer intensiveres. Individuelle organisationer kan kæmpe for at navigere AI-forordningscompliance, NIS2-implementering, supply chain-risikostyring og digital identitets-governance samtidig. Men kollektivt, gennem organisationer som ISACA Danmark, kan vi dele best practices, lære af hinandens erfaringer og argumentere for regulatorisk klarhed og industristandarder.
Årsmødet fremhævede også ISACAs globale anerkendelse af governance og privacy-lederskab. ISACAs 2026 Global Achievement Awards hædrer professionelle, der har ydet betydelige bidrag til IT-governance, privacy, risiko og cybersikkerhed. Mens disse priser anerkender individuel præstation, signalerer de også, hvor professionen er på vej hen: mod at behandle cybersikkerhed ikke kun som teknisk forsvar, men som organisatorisk kapacitetsopbygning, governance på bestyrelsesniveau og strategisk risikostyring.
For danske medlemmer er denne indramning særlig relevant. De udfordringer, vi står over for—fra AI-governance til supply chain-resiliens til digital identitetssikkerhed—kan ikke løses gennem teknologi alene. De kræver governance-rammer, executive lederskab, tværfagligt samarbejde og præcis den slags professionel ekspertise, ISACA-medlemmer bringer.
Connect4Cyber Episode 3: Åbning af Horizon Europe-Veje
Den 23. april 2026 mødtes Connect4Cyber Episode 3 i Stockholm, co-organiseret af det svenske civile forsvars- og beredskabsagentur (NCC-SE), den finske transport- og kommunikationsagentur (NCC-FI) og den estiske informationssystemmyndighed (NCC-EE). Denne tredje udgave af matchmaking-eventet samlede cybersikkerhedsinteressenter fra hele Europa med et specifikt mål: at bygge konsortier til Horizon Europe Cluster 3 cybersikkerhedsfinansieringsopkald.
Hvorfor Dette Betyder Noget for Danmark
Horizon Europe repræsenterer betydelige finansieringsmuligheder for cybersikkerhedsforskning og innovation. 2026 cybersikkerhedsopkaldene under Cluster 3 inkluderer emner om sikre AI-systemer, avanceret kryptografi og sikkerhed i software- og hardwareudvikling—præcis de områder, hvor Danmark har brug for kapacitetsudvikling givet vores supply chain-afhængigheder og kritiske infrastruktursårbarheder.
Connect4Cyber målretter specifikt universiteter, forskningsinstitutter, industriaktører og SMV'er, der er interesserede i at ansøge om opkald, der lukker 15. september 2026. Eventets pitching-sessioner giver organisationer mulighed for at præsentere projektideer på 3-5 minutter for potentielle partnere og koordinatorer, hvilket faciliterer konsortieopbygning.
For danske organisationer, særligt dem, der er forbundet til Danmarks National Cybersecurity Coordination Center (NCCC), repræsenterer dette en realistisk vej til EU-finansiering, der kan støtte den kapacitetsudvikling, Danmark presserende har brug for. Eventformatet—fokuseret matchmaking snarere end generisk netværk—er designet til at producere handlingsdygtige konsortieformationer, ikke kun introduktioner.
Danmarks EU-Finansieringsinfrastruktur
Danmark har allerede støttestrukturer til at facilitere Horizon Europe-deltagelse. EuroCenter giver vejledning om Horizon Europe generelt, mens EUopSTART tilbyder forslagsforberedelsesstøtte til både Horizon Europe og European Defence Fund. Danmark har historisk klaret sig godt med at sikre Horizon Europe-finansiering, hvilket gør casen for dansk-ledede eller dansk-deltagende cyber-konsortier endnu stærkere.
Connect4Cyber-modellen—nordisk samarbejde med bredere europæisk deltagelse—stemmer godt overens med Danmarks strategiske positionering. Vores supply chain-bekymringer overlapper betydeligt med svenske, finske og estiske udfordringer. Et nordisk-forankret konsortium, der adresserer supply chain-cybersikkerhed, AI-sikkerhedsgovernance eller kritisk infrastruktur-resiliens, ville have både politisk støtte og praktisk anvendelighed på tværs af regionen.
Handlingspunktet for ISACA-Medlemmer
For danske cybersikkerhedsprofessionelle, særligt dem i organisationer med forskningskapaciteter eller innovationskapacitet, nærmer 15. september-deadlinen for disse Horizon Europe-opkald sig. Organisationer bør:
Kortlægge eksisterende kapaciteter mod opkaldsemnerne (sikre AI-systemer, avanceret kryptografi, software/hardware-sikkerhed) for at identificere realistiske ansøgningsområder.
Identificere konsortiestemaer, hvor dansk ekspertise tilføjer værdi. Danmarks styrker i digital regering, vedvarende energi-infrastruktursikkerhed og maritim cybersikkerhed er alle relevante for flere opkaldsemner.
Forberede kortfattede kapacitetspitches (maksimalt 3-5 minutter), der klart artikulerer, hvad du bringer til et konsortium, og hvilke partnerskaber du har brug for.
Engagere dig med nordiske modparter, der deltog i Connect4Cyber for at udforske konsortiumdeltagelse, selv hvis du ikke deltog i Stockholm-eventet.
Horizon Europe-muligheden er betydelig—finansiering spænder fra €1 million til €8 millioner per projekt afhængigt af opkaldet, som normalt dækker op til 100% af omkostningerne. For danske organisationer, der kæmper for at finansiere kapacitetsudvikling gennem normale budgetter (husk januars nyhedsbrev om krympende privacy-budgetter), giver EU-finansiering et levedygtigt alternativ, hvis vi handler strategisk.
V2 Security 2026: Danmarks Cyber-Fællesskab Mødes i Maj
V2 Security 2026, der afholdes i København den 6.-7. maj, vil samle over 5.500 deltagere til Danmarks største årlige samling af cyber- og informationssikkerhedsprofessionelle. Med mere end 100 præsentationer, seminarer og 100 udstillere vil konferencen give et omfattende overblik over, hvor danske cybersikkerhedsprioriteter er på vej hen.
Programmet, udviklet i samarbejde med V2-redaktionsteamet og et advisory board af førende eksperter, vil dække hele spektret fra traditionel cybersikkerhed og IoT/OT-sikkerhed til compliance-rammer og den transformative indvirkning af AI på både trusler og forsvar.
Konferencen forventes at fremhæve flere nøgletemaer. Konvergensen af IT- og OT-sikkerhed vil sandsynligvis dominere mange diskussioner, hvilket afspejler Danmarks betydelige industri- og energi-infrastruktur. Eksperter vil understrege, at operationel teknologi ikke længere kan behandles som isoleret fra virksomhedsnetværk, og at traditionel air-gapping giver falsk sikkerhed i forbundne industrielle miljøer.
AI-sikkerhed vil sandsynligvis optage betydelig programtid, med sessioner, der udforsker både defensive applikationer (AI-drevet trusselsdetektion, automatiseret hændelsesrespons) og offensive bekymringer (AI-genereret phishing, automatiseret sårbarhedsudnyttelse, "Know Your Agents" governance-udfordringen, vi introducerede i februars nyhedsbrev).
Compliance-kompleksitet vil sandsynligvis være et andet tilbagevendende emne, særligt konvergensen af GDPR, NIS2 og Danmarks nye AI-forordningsimplementering. Flere sessioner vil sandsynligvis adressere, hvordan organisationer kan bygge integrerede compliance-programmer snarere end at administrere hver ramme isoleret.
For ISACA-medlemmer, der deltager, vil V2 Security forstærke, at dansk cybersikkerhedsmodenhed avancerer ud over tekniske kontroller mod integreret risikostyring, der tager højde for forretningsmæssig kontekst, regulatorisk kompleksitet og geopolitiske faktorer. Samtalerne ved V2 Security vil sandsynligvis handle mindre om specifikke værktøjer og mere om governance-rammer, rapportering på bestyrelsesniveau og organisatorisk cyber-resiliens.
Østersøens Kabelsikkerhed: Infrastrukturen Under Bølgerne
Gennem april og ind i maj har Østersøen fortsat mindet os om, at cybersikkerhed og fysisk infrastruktursikkerhed i stigende grad er uadskillelige. Selvom ingen nye større kabelhændelser fandt sted i april, fortsatte efterforskninger af tidligere hændelser, og NATOs tilstedeværelse i regionen intensiveredes.
Mønstret af undersøisk kabel- og rørledningsskade siden Ruslands invasion af Ukraine i 2022 har fundamentalt ændret, hvordan Østersøens nationer ser på infrastruktursikkerhed. Fra Nord Stream-eksplosionerne gennem flere telekommunikationskabelseveringer til Estlink 2-strømkabelskaden er Østersøen blevet et teater, hvor hybrid krigsføringstaktikker målretter det fysiske lag, som digital kommunikation afhænger af.
For Danmark, med kritisk forbindelse til Sverige, Tyskland og andre Østersøsnationer, har disse undersøiske sårbarheder direkte implikationer. Når Finland og Estland mister strømtransmissionskapacitet gennem kabelskade, eller når Sverige og Litauen mister telekommunikationsforbindelser, står Danmarks regionale integration og digital forbindelse over for indirekte, men reelle konsekvenser.
Den Digitale-Fysiske Konvergens
Det, der gør Østersøens kabelhændelser relevante for ISACA-medlemmer, er ikke det fysiske sikkerhedsaspekt i sig selv, men demonstrationen af, at omfattende cyber-resiliens kræver beskyttelse af hele stakken—fra fysiske kabler til netværksprotokoller til applikationslag. Organisationer med sofistikeret endpoint-sikkerhed og netværksovervågning kan stadig stå over for katastrofale fejl, hvis fysisk infrastruktur under deres digitale operationer kompromitteres.
Denne konvergens bliver særlig vigtig, efterhånden som Danmark implementerer NIS2-krav. Direktivet adresserer eksplicit både cyber- og fysisk sikkerhed af kritisk infrastruktur og anerkender, at moderne trusler målretter begge samtidig. Danske organisationer underlagt NIS2 skal derfor vurdere risici på tværs af dette fulde spektrum og ikke behandle cyber- og fysisk sikkerhed som separate domæner.
Østersøens kabelhændelser demonstrerer også den geopolitiske dimension af infrastruktursikkerhed, som DNV-rapporten understreger. Når kabler beskadiges af fartøjer fra lande med geopolitiske spændinger, hvad enten det er ved et uheld eller bevidst, er resultatet det samme: kritiske tjenester forstyrret, genvindingsomkostninger pådraget og tillid til infrastrukturpålidelighed undermineret.
NATOs respons—etablering af Combined Task Force Baltic og forbedrede maritime patruljeri—viser, at infrastrukturbeskyttelse nu kræver militær-civil koordination på niveauer uden fortilfælde i fredstid. For kritiske infrastrukturoperatører betyder dette at engagere sig med nationale sikkerhedsmyndigheder på måder, der kan føles ukendte, men er i stigende grad nødvendige.
Fremad Mod Maj: Hvad ISACA-Medlemmer Skal Forberede Sig På
Mens vi bevæger os ind i maj 2026, fortjener flere udviklinger opmærksomhed:
NIS2-Implementeringsacceleration
Danmarks NIS2-implementering går ind i en mere intensiv fase i maj, med sektorspecifik vejledning forventet for kritiske infrastrukturoperatører. Organisationer bør være ved at færdiggøre gap-vurderinger mod NIS2-krav og udvikle saneringsplaner. Supply chain-sikkerhedsbestemmelserne i NIS2 stemmer direkte overens med DNV-rapportens fund—forvent regulatorisk pres for at formalisere leverandørrisikostyring.
AI-Forordnings-Compliance-Deadlines Nærmer Sig
Med gennemsigtighedsforpligtelser for AI-genereret indhold og chatbot-afsløring, der bliver håndhævelige i august 2026, har organisationer mindre end tre måneder til at implementere compliance-mekanismer. For identitets- og adgangsstyringssystemer, der bruger AI til fraud detection eller risikovurdering, bliver højrisiko AI-forordningskrav fuldt anvendelige. Maj er måneden til at færdiggøre AI-system-inventarer og klassifikationer.
Horizon Europe-Forslagsudvikling
For organisationer interesseret i 15. september Horizon Europe cybersikkerhedsopkald skal maj være, når konsortieformationen skal solidificeres, og forslagsudviklingen begynder for alvor. Vinduet for opportunistisk deltagelse lukker; seriøse ansøgninger kræver vedvarende indsats gennem sommeren.
Datatilsynets Tematiske Tilsyn
Datatilsynets 2026-tilsynsprioriteter—AI og nye teknologier, personoplysningssikkerhed, gennemsigtighed og pan-europæisk behandling—vil manifestere sig som faktiske inspektioner i de kommende måneder. Organisationer bør udføre selvvurderinger nu mod disse fire temaer snarere end at vente på regulatorisk kontakt.
Konklusion: Tillid Bliver den Kritiske Kontrol
April 2026 lærte danske cybersikkerhedsprofessionelle en fundamental lektion: i højt digitaliserede samfund med koncentrerede leverandørekosystemer er tillid ikke kun en nice-to-have organisatorisk værdi. Det er en teknisk kontrol, der skal aktivt styres, kontinuerligt overvåges og formelt styres.
Når 54% af kritiske infrastrukturledere anerkender afhængighed af leverandører fra geopolitisk spændte lande, indrømmer de, at tillidsforhold er blevet single points of failure lige så kritiske som ethvert teknisk system. Når 52% ville støtte flytning til allierede nationers leverandører, signalerer de, at bevarelse af pålidelige supply chains retfærdiggør operationel forstyrrrelse.
For ISACA Danmarks medlemmer skaber dette både presserende behov og mulighed. Det presserende behov kommer fra anerkendelse af, at supply chain-kompromiser ikke er hypotetiske fremtidige trusler, men nuværende realiteter, der har påvirket nordiske naboer og til sidst vil påvirke Danmark. Muligheden kommer fra executive awareness, der muliggør governance-investeringer, der tidligere blev betragtet som for dyre eller komplekse.
Spørgsmålet for maj og fremefter er, om vi vil handle proaktivt—bygge supply chain-governance, implementere leverandørrisikostyring, udvikle resiliensarkitekturer—eller reaktivt, efter Danmark oplever sin egen vække-hændelse. DNV-rapporten, V2 Security-samtaler (kommende i maj), ISACA årsmøde-diskussioner, Connect4Cyber-muligheder og Østersøens infrastrukturlektioner peger alle mod den samme konklusion: tiden til at handle er nu, mens vi stadig har fordelen af at lære af andres erfaringer snarere end vores egne katastrofer.
ISACA Danmark forbliver jeres platform til at navigere disse udfordringer kollektivt. Deltag i vores kommende events, del jeres supply chain-sikkerhedserfaringer, og hjælp med at forme Danmarks tilgang til pålidelig digital infrastruktur. Sammen kan vi sikre, at Danmark bygger den resiliente, velstyrerede og strategisk sunde cybersikkerhedsposture, som vores digitale samfund kræver.
Nøgledatoer for Maj:
- Løbende: NIS2 gap-vurderinger og saneringsplanlægning
- Inden udgangen af maj: AI-system inventar og klassifikationsafslutning
- Maj-juni: Horizon Europe konsortieformation til 15. september deadline
- Gennem hele maj: Selvvurdering mod Datatilsynets 2026-tilsynstemaer
Ressourcer:
- DNV Cyber: "How Cyber Resilient is Denmark?" rapport
- Connect4Cyber: Nordisk cybersikkerhedskonsortium-bygning
- ISACA Global: 2026 Achievement Awards og governance-rammer
- Horizon Europe: Cluster 3 cybersikkerhedsopkald information
Bliv Involveret: ISACA Danmark fortsætter med at levere essentielle fora til at adressere supply chain-sikkerhed, AI-governance og digital infrastruktur-resiliens. Deltag i vores events, bidrag med din ekspertise, og hjælp med at bygge Danmarks cyber-resiliens gennem kollektiv handling snarere end isolerede indsatser.