Hvis første del af denne udgave vendte blikket indad — mod de idéer og argumenter, der fyldte rummet til ISACA Danmarks årsmøde — vender anden del blikket udad, mod hvad maj har fortalt os om tilstanden i dansk cybersikkerhed, og hvad juni og sommermånederne nu kræver af os.
Det billede, der tegner sig fra maj, er ikke defineret af et enkelt dramatisk brud eller en enkelt overskrift. Det er snarere en måned, der bedst beskrives som et møde med den regulatoriske virkelighed — et punkt, hvor de forpligtelser, Danmark har opbygget hen imod i de seneste to år, kolliderer med den operationelle hverdag i organisationer, der stadig er ved at indhente det forsømte. Samtalen i det danske marked har stille og roligt, men mærkbart, forskudt sig. Vi taler mindre om, hvorvidt vi vil blive angrebet, og mere om, hvorvidt vi er reelt klar til at absorbere, reagere på og komme os over hvad end der måtte komme.
Kløften mellem NIS2 på papiret og NIS2 i praksis
Danmarks primære NIS2-lovgivning trådte i kraft den 1. juli 2025, med registreringsforpligtelse senest den 1. oktober. Lovrammen er ikke længere et fremtidigt anliggende — det er gældende ret, og tilsynsaktiviteten er i gang på tværs af den sektorbaserede tilsynsmodel, Danmark har valgt. Alligevel tyder signalerne fra maj på, at mange organisationer befinder sig i en tilstand af delvis beredskab: de har gennemført selvevalueringer, begyndt at kortlægge leverandører og fået skeletstrukturer for hændelsesrapportering på plads — men de har endnu ikke bevist, at disse processer holder under pres.
Den kløft, der betyder mest, er ikke teknisk. Den er governancemæssig. NIS2 er eksplicit om, at cyberrisiko skal håndteres på direktions- og bestyrelsesniveau, ikke uddelegeres til IT og blive der. Bestyrelsen er juridisk ansvarlig for at godkende sikkerhedsforanstaltninger, overvåge deres implementering og sikre, at ledelsesmedlemmer gennemfører dokumenteret cybersikkerhedsuddannelse. Det er ikke bløde forventninger. Manglende efterlevelse har konsekvenser for det personlige ansvar hos dem, der sidder øverst i organisationen.
Det mønster, der fortsat viser sig i rådgivningssamtaler og sektorvurderinger, er dette: større, mere regulerede organisationer — teleselskaber, energivirksomheder, store finansielle institutioner — er i stigende grad parate. Mellemstore virksomheder, kommunenære organisationer og enheder, der befinder sig i anden og tredje ring af forsyningskædeafhængighed, er stadig ved at indhente. Den ulighed er i sig selv en risiko, fordi NIS2's bestemmelser om tredjeparts risikostyring betyder, at en dårligt styret leverandør er en sårbarhed for enhver organisation, der afhænger af dem. Danmark har vedtaget loven. Mange bestyrelser har endnu ikke bestået den reelle prøve: at demonstrere, at de kan håndtere cyberrisiko som et operationelt og strategisk anliggende — ikke som et compliance-flueben.
De fire huller, der oftest går igen i aktuelle vurderinger, er værd at nævne direkte. For det første: fraværet af klart bestyrelsesejerskab af cyberrisiko og genopretning — ikke en CISO, der rapporterer opad, men et ledelsesorgan, der reelt har forholdt sig til, hvad risikoen betyder for organisationens kontinuitet og ansvar. For det andet: ufuldstændig kortlægning af leverandør- og koncentrationsrisiko, særligt for kritiske tjenester, hvor svigt hos én leverandør kan brede sig. For det tredje: uafprøvede hændelsesrapporterings- og eskaleringsveje — de fleste organisationer kan beskrive NIS2's 24-timers-, 72-timers- og månedlige rapporteringsforpligtelser i princippet, men langt færre har reelt øvet den interne beslutningskæde, der skal aktiveres, hvis en reel hændelse rammer. For det fjerde: fraværet af tværfunktionelle kriseøvelser, der involverer jura, drift, økonomi og kommunikation side om side med sikkerhedsfunktionen. En cybersikkerhedshændelse er ikke blot en IT-hændelse. De organisationer, der håndterer dem godt, har øvet sig i at behandle dem som forretningshændelser.
V2 Security 2026: Regulering som det nye omdrejningspunkt
V2 Security Copenhagen fandt sted den 6. og 7. maj og samlede over 5.500 deltagere til Danmarks største årlige samling af cyber- og informationssikkerhedsprofessionelle. Med over hundrede præsentationer og hundrede udstillere gav konferencen et bredt tværsnit af, hvilken retning dansk og nordisk cybersikkerhed bevæger sig i 2026.
Det, der slog iagttagere ved dette års program, var den grad, hvori regulering — frem for teknologi eller trusselsvurdering — var blevet det organiserende tema. Samtalerne på V2 Security handlede mindre om, hvilken ny angrebsvektor man skulle bekymre sig om, og mere om, hvordan compliance-krav, indkøbsstandarder og operationel risikostyring er ved at omforme, hvad cybersikkerhedsfunktioner reelt gør i hverdagen. Det skift afspejler en modenhed i markedet. Når et fagfællesskab på 5.500 professionelle samles, og den dominerende ramme er governance frem for hændelseshåndtering, signalerer det, at feltet har bevæget sig fra reaktiv til strukturel tænkning. Cybersikkerhed er ikke længere primært noget, man gør, efter at noget er gået galt. Det er noget, man bygger ind i den måde, organisationen opererer, indkøber og rapporterer på.
Den forståelsesramme forbinder sig direkte til samtalen om forsyningskædesouverænitet, som DNV Cybers Danmark-resiliens-rapport satte i gang tidligere på foråret — og som vi dækkede i vores forrige udgave — og som fortsat har præget maj måneds politiske og kommercielle diskussioner. Spørgsmålet om, hvilke leverandører danske organisationer reelt kan stole på, og hvordan man dokumenterer den tillid over for tilsynsmyndigheder og samarbejdspartnere, er ikke ved at forsvinde.
Juni og sommeren: Det svageste punkt i Danmarks cyberberedskab
Der er et risikomønster, der gentager sig hvert år i Danmark, og hvert år tager det nogle organisationer på sengen. Juni ind i juli er den periode, hvor danske organisationer bliver strukturelt mere sårbare. Holdene er mindre. Godkendelser er langsommere. Erfarne beslutningstagere er væk. Kombinationen af reduceret bemanding, højere volumen af fjernadgang og den generelle antagelse om, at "der sker ikke noget stort om sommeren", skaber betingelser, som angribere ved, hvordan de skal udnytte.
De trusselskategorier, der typisk topper i ferieperioden, er ikke eksotiske. De er præcis dem, der udnytter menneskelige og proceduremæssige huller frem for teknisk sofistikering. Phishing og spear-phishing lykkes, fordi den erfarne medarbejder, der normalt ville opdage dem, er på ferie og har bedt en kollega om at holde øje med indbakken — en kollega, der er mindre fortrolig med det normale mønster. Fakturabedrageri og business email compromise fungerer, fordi den kollega, der normalt ville bekræfte en usædvanlig betalingsanmodning, ikke kan nås. Kontoovertagelser eskalerer, fordi nulstilling af adgangskoder og adgangsgenopretning tager længere tid, når de personer, der godkender dem, ikke er tilgængelige. Forsinkelser i ransomware-genopretning strækker sig fra timer til dage, fordi backup-administratoren befinder sig i en anden tidszone, og genopretningsvejledningen aldrig er blevet afprøvet i et reelt scenarie.
Den forberedelse, der er nødvendig inden sommerferien, er ikke kompleks, men den kræver bevidst handling frem for antagelser. Multifaktorgodkendelse skal dække ikke blot den primære mail, men administrationskonsolver, økonomisystemer, fjernadgangsværktøjer og enhver SaaS-platform med adgang til følsomme data eller betalingsgodkendelse. Ikke-nødvendige rettighedsændringer bør fryses, inden ferieperioden begynder, med håndhævede fraværsregler og navngivne personer med eksplicit ansvar for at godkende betalinger, leverandørændringer og nulstilling af adgangskoder i ferieperioden. Backup- og genopretningsprocedurer skal afprøves inden juli — ikke antages at fungere, og ikke opdages at være defekte efter en hændelse. Medarbejdere, der rejser, har brug for klar vejledning om at undgå åbne Wi-Fi-netværk, og organisationer bør gøre mobilt hotspot eller VPN-adgang til standardvalget for fjernarbejde frem for en mulighed.
Den dybere forberedelse er kulturel snarere end teknisk. Sommersårbarhed er delvist et teknologisk hul og delvist et beslutningshul. Hvem har beføjelse til at aktivere en hændelsesresponsproces, hvis CISO'en ikke er tilgængelig? Hvem godkender en akut leverandørkontrakt, hvis den sædvanlige indkøbsansvarlige holder ferie? Hvem kommunikerer med tilsynsmyndighederne under NIS2's 24-timers notifikationsforpligtelse, hvis juridisk afdeling arbejder med reduceret kapacitet? Disse spørgsmål har svar — men svarene skal eksistere inden hændelsen, ikke under den.
Det vi tager med ind i sommeren
ISACA Danmarks årsmøde, V2 Security og den bredere maj-governance-samtale har tilsammen tegnet et rimeligt klart billede af, hvor dansk cybersikkerhed befinder sig, i takt med at vi bevæger os ind i sommeren. Den regulatoriske ramme er på plads. Trusselsmiljøet er forhøjet og geopolitisk drevet. Værktøjerne til at opbygge robuste organisationer — NIS2-implementeringsmodeller, CIS 18-kontroller, IEC 62443 for operationel teknologi, AI-understøttede GRC-platforme — er tilgængelige og i stigende grad velforståede.
Det, der stadig er ujævnt, er viljen og kapaciteten til at omsætte alt det i praksis. De organisationer, der kommer godt igennem sommeren, er ikke nødvendigvis de mest teknisk sofistikerede. Det er dem, der har navngivet, hvem der er ansvarlig for hvad, når noget går galt, afprøvet deres antagelser inden presset opstår, og behandlet cybersikkerhed som et bestyrelsesmæssigt driftsanliggende frem for et IT-afdelingsanliggende.
Det er i bund og grund det samme argument, som alle præsentanter på årsmødet fremførte fra hver sin vinkel. Fra geopolitisk trusselsvurdering til risikokvantificering til NIS2-governance til OT-revision til fremtidens GRC — den røde tråd igennem det hele er den samme. At vide er ikke nok. Beslutningsstrukturer, afprøvede processer og bestyrelsesejerskab er det, der omsætter viden til robusthed.
Vi ønsker alle ISACA Danmarks medlemmer en sikker og velbeskytt sommer. Tag forberedelserne alvorligt, nyd hvilen — og vi ses på den anden side.