Velkommen tilbage til ISACA Danmarks nyhedsbrev. Denne udgave er lidt anderledes. I stedet for at scanne den bredere horisont for dansk og nordisk cybersikkerhedsudvikling vender vi blikket indad — mod selve rummet. Den 20. april afholdt ISACA Danmark sit årsmøde og generalforsamling, og programmet den dag tilbød noget sjældent: fem præsentationer i forlængelse af hinanden, hver med sit eget afsæt, men alle kredsende om den samme ubehagelige sandhed. Vi ved godt, hvordan risiciene ser ud. Det svære er stadig at omsætte den viden til beslutninger, prioriteringer og robuste organisationer.
Det følgende er et referat af de vigtigste pointer fra den dag — skrevet til de medlemmer, der var til stede og gerne vil genbesøge det sagte, men i lige så høj grad til dem, der ikke kunne deltage og gerne vil vide, hvad de gik glip af. Hver session er værd at bruge tid på for sig selv. Tilsammen udgør de et sammenhængende argument om, hvilken retning dansk cybersikkerhedspraksis bør tage.
Trusler uden grænser — Finn Engberg Villadsen, E-nettet
Finn Engberg Villadsen, Senior Security Advisor hos E-nettet, åbnede programmet med et panoramisk blik på cybertrusler set gennem en geopolitisk linse. Hans udgangspunkt var bevidst beskedent: ingen enkelt aktør, organisation eller efterretningstjeneste sidder med det fulde billede. Trusselsvurderinger samles af fragmenter, og fragmenterne går aldrig helt op i en helhed.
Hans trusselmodel kortlagde landskabet direkte. Rusland, Kina, Nordkorea, Iran, USA, organiserede kriminelle grupper, hacktivister og insidere fremstår alle som mulige trusselaktører. Metoderne spænder fra phishing og forsyningskædeangreb til AI-assisteret intrusion og kompromittering af kildekode-repositories. De synlige hændelser — ransomware, DDoS, spionage, datalækage — er blot overfladen af det, der rapporteres offentligt.
Det, der gav sessionen dens aktualitet, var dimensionen af hybridkrig. Villadsen placerede langt de fleste nutidens cybertrusler på et spektrum, der strækker sig fra finansielt motiveret kriminalitet i den ene ende til forstyrrelser af forsyningskæder og destruktive angreb i den anden. Jo tættere en aktør eller hændelse nærmer sig den mørkere ende af spektret, jo mere sandsynligt er det, at motivationen er geopolitisk snarere end opportunistisk. Danmark og den bredere nordiske region befinder sig i den første ring af E-nettets trusselskort — det, Villadsen kaldte den nærmeste proximitetzone. De seneste hændelser illustrerer pointen konkret: brud på undersøiske kabler mellem Baltikum og Skandinavien, et mislykket destruktivt cyberangreb mod polsk energiinfrastruktur med tilknytning til en russisk-affilieret gruppe, danske vandværker ramt af hackerangreb i løbet af én uge, og en kabelbrand i Berlin, der mørklagde titusinder af husstande. FE har offentligt tilskrevet mindst to af disse hændelser til Rusland.
Med blik fremad præsenterede Villadsen en bekymrende tidslinje for militær kapacitetsopbygning. Hans projektion placerer Rusland klar til lokal konflikt i 2027, regional krig i 2028 og storskalakrig i 2031. Kina vurderes at kunne nå invasionsparathed over for Taiwan inden for en lignende tidsramme. Implikationen for danske organisationer er ikke, at krig er umiddelbart forestående, men at det geopolitiske miljø, der genererer disse trusler, ikke vil blødgøres. Vinduet for stille og roligt at opbygge cyberrobusthed uden eksternt pres er ved at lukke sig.
Hans afsluttende spørgsmål til publikum var strukturelt snarere end teknisk: hvem i din organisation har egentlig det fulde trusselsbillede — og hvis det ærlige svar er "ingen", hvad betyder det så for, hvordan I træffer beslutninger?
Fra trusselssignal til beslutning — Jens Christian Høy Monrad, Arx Insight
Hvor Villadsen beskrev miljøet, tog Jens Monrad fra Arx Insight fat på det sværere spørgsmål om, hvad organisationer egentlig gør med trusselsvurderinger, når de først har dem. Hans præsentation, "Fra trusselssignal til beslutning", var en af dagens mere intellektuelt udfordrende sessioner.
Monrads centrale argument var dette: en trusselsvurdering er ikke det samme som en krise. En national trusselsvurdering, som SAMSIK, beskriver miljøet på populationsniveau. Den fortæller dig, at truslen fra cyberkriminalitet er MEGET HØJ, at cyberspionage — særligt fra Rusland og Kina — er MEGET HØJ, at cyberaktivisme er HØJ, og at destruktive cyberangreb er MIDDEL i sandsynlighed. Det den ikke kan gøre, er at fortælle dig, hvad disse trusselsniveauer konkret betyder for netop din organisation. Den oversættelse er dit ansvar.
Distinktionen er vigtig, fordi trusselstræthed er reel. Når et trusselsniveau har stået på "MEGET HØJ" i flere år i træk, holder organisationer op med at reagere på det som et signal. Patches springer over, alarmer ignoreres, og kløften mellem ledelsens mentale model af risikoen og organisationens faktiske eksponering vokser stille og roligt. Monrad gav dette et navn: kognitiv gæld. Det er ikke et resultat af uansvarlighed, men af normalisering — "MEGET HØJ" bliver baselinen, og baselinen ophører med at drive handling.
Anden halvdel af hans præsentation drejede sig om Cyber Risk Quantification og årsagerne til, at det så hyppigt fejler i at producere brugbare output. En CRQ-model kræver tre inputs: en klar definition af hændelsen, en målbar frekvens og et estimerbart tab. For mange reelle scenarier — han brugte medarbejderes brug af AI som eksempel — er ingen af disse betingelser opfyldt. Der er ingen aftalt definition af, hvad der tæller som et brud, ingen frekvensdata at trække på, og skaden er diffus og svær at værdisætte. Når ingen af inputs er til stede, returnerer modellen ingenting. Og i praksis behandles ingenting som nul. Nul betyder ingen beslutning. Ingen prioritering. Ingen handling.
Den praktiske pointe, Monrad efterlod hos publikum, er, at efterretnings- og kvantificeringsværktøjer kun er så nyttige som de organisatoriske processer, der fortolker og handler på dem. Eksterne trusselsvurderinger beskriver miljøet — ikke din organisation. Risikokvantificeringsmodeller forudsætter inputs, du måske ikke har. Når begge fejler i at producere brugbare tal, er standardsvaret passivitet. At lukke det hul kræver en bevidst indsats for at definere, hvad hændelser betyder i din specifikke kontekst, og for at opbygge det interne datagrundlag — dog ufuldkomment — der er nødvendigt for at træffe beslutninger under usikkerhed.
NIS2: Få papirtigeren til at brøle — Christian Schmidt, Dediko
Christian Schmidt fra Dediko satte compliance-dimensionen i skarp relief med en session, der åbnede med en direkte afstemning blandt publikum: hvor mange af jer arbejder primært med compliance, for eksempel ISO 27001? Hvor mange med praktisk cybersikkerhed, for eksempel CIS 18? Og — det provokerende spørgsmål — fører compliance til cybersikkerhed?
Hans svar, udviklet omhyggeligt gennem præsentationen, var, at det meget ofte ikke gør det. Schmidt identificerede seks vedvarende myter om compliance, som organisationer bærer med sig ind i deres NIS2-implementeringsarbejde. Compliance producerer ikke automatisk sikkerhed. Det er ikke i sig selv tilstrækkeligt til at opfylde NIS2-kravene. Det involverer ikke i sig selv ledelsen. ISO 27001 er ikke det rigtige redskab for alle organisationer. Politikker kobler sjældent rent til operationel virkelighed. Og compliance er ikke et projekt — det er en løbende proces, der kræver vedvarende måling og ressourcer.
Den juridiske indramning, han tilbød, er værd at holde fast i. Den danske NIS2-lovgivning bærer den fulde titel "Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau" — en lov om at opnå et højt niveau af cybersikkerhed, ikke et højt niveau af compliance. Denne distinktion er ikke semantisk. Den har håndhævelsesmæssige implikationer.
Schmidts model for, hvor organisationer bør fokusere, placerede ISO 27001 som det framework, der definerer, hvad der skal beskyttes og hvorfor, og CIS 18 som det framework, der definerer, hvordan det beskyttes. Ingen af dem er tilstrækkelige alene. Teknologi, argumenterede han, kan kun beskytte det, den er korrekt konfigureret til at beskytte. Uden governance mister organisationer overblik og retning og ender med fragmenterede, dyre og uoverskuelige sikkerhedsmiljøer, hvor ingen sidder med det fulde billede af risiko, dækning eller huller. De tydeligste advarselstegn på utilstrækkelighed er: cyberrisiko, der de facto ejes af IT frem for bestyrelsen, ingen effektiv 24/7-overvågning, upatchede ikke-Windows-servere og tredjeparts risikostyring, der eksisterer på papiret men aldrig aktivt vurderes.
Bestyrelsens juridiske forpligtelser under NIS2 er ikke bløde forpligtelser. Ledelsesorganet ejer 100% af cyberrisikoen. Det skal godkende sikkerhedsforanstaltninger, følge op på deres implementering og sikre, at medlemmerne gennemfører relevant uddannelse — dokumenteret med kursusbeviser eller deltagelsesbeviser. For organisationer, der ikke er direkte omfattet af NIS2, men som leverer til kunder der er, kaskaderer tredjeparts risikostyringsforpligtelserne ned igennem forsyningskæden. At forstå, hvor din organisation befinder sig i den kæde, er på én gang et compliance-spørgsmål, et juridisk spørgsmål og et kommercielt spørgsmål.
Schmidt afsluttede med en praktisk tre-faset cyberhygiejne-køreplan, der dækker tyve kontroller fra adgangskodehåndtering og MFA på det grundlæggende niveau frem til Zero Trust-arkitektur, forsyningskædesikkerhed og løbende compliance-måling på det avancerede niveau. Hans gratis NIS2-implementeringsmodel, opdateret med energisektorsupport, er tilgængelig direkte fra Dediko for organisationer, der ønsker et struktureret udgangspunkt.
IEC 62443 for IT-revisoren — Tom Madsen
Tom Madsens session henvendte sig til et publikum, der ikke altid ved, at det har brug for at kende IEC 62443: IT-revisoren. I takt med at industrielle miljøer bliver angrebsmål — og efterhånden som IT- og OT-netværk i stigende grad konvergerer — udvider revisorens scope sig, hvad enten de har forberedt sig på det eller ej.
IEC 62443 er den internationale standard for sikring af Industrial Automation and Control Systems (IACS). I modsætning til generiske IT-sikkerhedsframeworks blev den bygget fra grunden til miljøer, hvor oppetid, procesintegritet og fysisk sikkerhed vejer tungere end datafortrolighed alene. Den er risikobaseret og anvender begrebet sikkerhedsniveauer og zone-kanal-arkitektur til at matche kontroller med konsekvenserne ved svigt. Den dækker hele livscyklussen på tværs af anlægsejere, integratorer og leverandører. Og afgørende er den målbar — sikkerhedskrav kan specificeres, vurderes og revideres.
Madsen gennemgik de tre certificerbare dele af standarden. IEC 62443-3-3 definerer systemsikkerhedskrav på tværs af fire sikkerhedsniveauer, fra ingen særlig beskyttelse på Niveau 0 til forsvar mod yderst sofistikerede, velfunderede angribere på Niveau 4. IEC 62443-4-1 definerer krav til sikker produktudviklings-livscyklus med fem modenhedsniveauer, fra ad hoc-praksis på Niveau 1 til løbende forbedring på Niveau 4 og 5. IEC 62443-4-2 fastsætter over 140 tekniske sikkerhedskrav til komponenter, grupperet under syv grundlæggende kategorier, herunder autentificering, systemintegritet, datafortrolighed og ressourcetilgængelighed.
For IT-revisorer er den praktiske implikation, at OT-miljøer nu har revisionsrelevans — særligt i sektorer som energi, produktion, vand og transport, der alle falder inden for NIS2's anvendelsesområde. At kende strukturen i IEC 62443 rustede revisorer til at stille de rigtige spørgsmål, vurdere leverandørers og integratorers udsagn og identificere huller i zonesegmentering, patchhåndtering og sikker udviklingspr praksis. Madsen pegede på flere certificeringsveje for dem, der ønsker at fordybe sig i OT-sikkerhedsekspertise, herunder GIAC ICS-certificeringer, ISA Cybersecurity Certificates og den kommende CompTIA SecOT+-certificering, der forventes i slutningen af 2026.
Fremtidens GRC — Trine Vestengen Hopkins & Jeanne Koch Rasmussen, PwC Danmark
PwC's session afsluttede programmet med det bredeste og måske mest strukturelt betydningsfulde spørgsmål på dagen: hvordan ser fremtidens Governance, Risk and Compliance faktisk ud, når organisationer står over for accelererende reguleringstryk, fragmenterede teknologilandskaber og begrænsede ressourcer?
Det datamæssige udgangspunkt kom fra PwC's Global Compliance Survey 2025, der byggede på svar fra 1.802 erfarne fagfolk på tværs af 63 lande, herunder 48 respondenter fra Danmark, Sverige, Norge og Finland. Fire ud af fem nordiske respondenter vurderede, at compliance-risici er blevet mere komplekse i løbet af de seneste tre år. Otte ud af ti identificerede ressourcekapacitet som påvirket af den stigende kompleksitet. Halvdelen pegede på cybersikkerhed som den øverste compliance-prioritet, tæt fulgt af databeskyttelse og privatliv.
Billedet, der tegnede sig, er compliance-funktioner, der forsøger at gøre mere med mindre — der arbejder på overvejende manuelle processer, bruger fragmenterede systemer og bliver bedt om at levere sikkerhed for et stadig bredere regulatorisk scope: NIS2, DORA, GDPR, AI-loven og mere på vej. Den nuværende model, hvor mere end 80% af compliance- og kontrolarbejdet er manuelt og overvejende reaktivt, er ikke bæredygtig.
PwC's vision for fremtidens GRC er en integreret model, der forskyver det forhold. Fremtidens compliance-funktioner vil bruge avanceret dataanalyse til løbende risikokortlægning, AI-agenter til at drive kontroldesign og -drift, og kontinuerlige overvågningsplatforme til at erstatte periodisk stikprøvetestning. Forskydningen går fra manuel og reaktiv til automatiseret og forebyggende — med mennesker fastholdt i tilsynsroller snarere end som det primære udførelsesorgan. De afgørende forudsætninger, som præsentanterne understregede, er mennesker, kultur og ansvarlig AI-adoption. Teknologi transformerer ikke GRC i sig selv; det gør organisationer, der investerer i både teknologi og den menneskelige kapacitet til at styre den.
Køreplanen for at komme derhen har fem stadier: definer en vision og det ønskede slutresultat; identificer use cases med høj værdi baseret på den fordel, de kan drive; udvikl proof of concepts for at teste disse use cases mod reelle datakilder og kontrolrammer; uddan og opkvalificer teams, så begejstringen for teknologien matches af forståelse for dens begrænsninger; og industrialiser og skalér dernæst det, der virker. På hvert stadie var PwC's advarsel konsistent — automatisering og AI der, hvor de tilfører værdi, menneskelig kontrol og tilsyn over outputtet.
Hvad bør du gøre nu?
På tværs af fem sessioner og adskillige timer opstillede ISACA Danmarks årsmøde et sammenhængende argument, der er værd at formulere klart. Trusselsmiljøet er geopolitisk drevet, vedvarende og vil ikke blødgøres. Det regulatoriske miljø er juridisk krævende og placerer reel personlig ansvar hos ledelsesorganerne. De tilgængelige værktøjer til at omsætte trusler til beslutninger — trusselsvurderinger, risikokvantificeringsmodeller, compliance-frameworks — er nyttige men begrænsede, og deres begrænsninger er ofte ikke tilstrækkeligt forstået. Og de GRC-funktioner, der skal navigere alt dette, er underbefolkede og operationelt underautomatiserede.
Det praktiske spørgsmål, som dagen efterlod på bordet, er ikke "hvad skal vi gøre ved cybersikkerhed?" Det svar er godt dækket af CIS 18, NIS2 artikel 21, IEC 62443 og de øvrige frameworks, der blev diskuteret. Det sværere spørgsmål er: hvem i din organisation er ansvarlig for at oversætte eksterne trusselssignaler til organisatoriske beslutninger, og har de den autoritet, de data og det bestyrelsesmæssige engagement, der er nødvendigt for at handle?
Som altid er din feedback meget velkommen, og vi hører gerne, hvordan disse temaer lander i dine egne organisationer. Til næste måned.