Danske SMV’er fejer supply chain cybersikkerhed ind under gulvtæppet

Der er store huller i både opmærksomhed, kompetencer og ressourcer, når man ser nærmere på cybersikkerheden i danske SMV’er (små og mellemstore virksomheder) inden for forsvars- og it-sektorerne. Det viser en undersøgelse foretaget af ph.d.-studerende. Og der er god grund til at tro, at sikkerheden er endnu mere hullet i andre sektorer, der typisk er mindre regulerede end it- og forsvarsindustri.

”Danske SMV’er ser ud til at have den opfattelse, at så længe de – ligesom den enkelte sild i en stor sildestime - ikke stikker ud og ’gemmer’ sig godt i mængden af andre SMV’er, så sker der nok ikke noget. Der hersker en slags ’good luck strategy’”, fortæller Judith Kankam-Boateng. Foto: 123rf.com

24.03.2026

Poul Breil-Hansen, SCM.dk

Det kan godt være, at det danske cyberlandshold kunne lade sig hylde som vinder af hovedprisen ’Det Gyldne Gitter’ ved årets Cyber Security Awards 2026 for at sætte Danmark på verdenskortet inden for cybersikkerhed. Men det betyder altså ikke, at danske virksomheder kan føle sig på sikker grund i det internationale cyberlandskab, der i stigende grad bliver præget af både it-kriminalitet og geopolitisk motiverede hackerangreb.

Tværtimod. En aktuel undersøgelse gennemført af ph.d.-studerende Judith Kankam-Boateng viser, at små og mellemstore danske virksomheder har en meget tilbagelænet holdning til cybersikkerhed. ”Der hersker en slags ’silde-effekt’ på området. Danske SMV’er ser ud til at have den opfattelse, at så længe de – ligesom den enkelte sild i en stor sildestime - ikke stikker ud og ’gemmer’ sig godt i mængden af andre SMV’er, så sker der nok ikke noget. Der hersker en slags ’good luck strategy’”, fortæller hun.

Hun er fra Department of Mathematics and Computer Science ved Syddansk Universitet og er tilknyttet det forskningsbaserede projekt ’Cybersikkerhed og Forretningskontinuitet’, der er et samarbejde mellem Syddansk Universitet og Forsvarsakademiet med finansiering fra Industriens Fond.

Overordnet set består ’cybersikkerheds-værdikæden’ af tre grupper, nemlig 

  • ’policymakers’, som etablerer reguleringer; 
  • industrieksperter, som oversætter reguleringer til bedste praksisser og 
  • SMV’er, der implementerer tiltagene for at beskytte deres virksomhed.

De mentale modeller er ude af sync

Judith Kankam-Boateng har gennem en serie fokusgruppe-diskussioner kortlagt de tre gruppers mentale modeller for cybersikkerheden, og kortlægningen afslører, at der hersker fundamentalt forskelligartede opfattelser af cybersikkerhed i forsyningskæden i de tre grupper.

”Det er et problem, fordi manglende overensstemmelse på tværs af de tre grupper skaber ineffektive sikkerhedstiltag. For nu at sige det mildt”, fortæller hun.

Hendes analyser viser, at policymakers anskuer cybersikkerhed gennem en strategisk optik, mens SMV’er kæmper med praktiske implementeringsbarrierer og ressourceknaphed. Industrieksperterne sidder i midten og forsøger at oversætte teknisk dybde til praktiske vejledninger.

”Reguleringer foretaget på policy-niveau formår som regel ikke at tage højde for den virkelighed, SMV’erne opererer i. Det kan være små budgetter, træningsmangler og konkurrerende prioriteter. Samtidig ser vi, at bedste praksisser fra industriorganisationer ofte er teknisk valide, men ikke er praktisk realiserbare. Så der sker en dekobling i denne værdikæde, som ikke understøtter fremme af cybersikkerhed”, fortæller hun og tilføjer:

”De mentale modeller er simpelthen for langt fra hinanden, og det er en alvorlig trussel for forretningskontinuiteten og den økonomiske resiliens i danske SMV’er i forsvars- og it-sektorerne”.

Læs også: Europa skal være mere selvforsynende med energi

Hun peger på en række anbefalinger, som hun mener vil gøre parterne stærkere i arbejdet for at fremme cybersikkerhed i forsyningskæderne. For policymakers og industrieksperter handler det først og fremmest om at blive bedre til at kommunikere på en forståelig og menneskelig måde, som ikke er tynget af teknisk dokumentationssprog.

7 anbefalinger til SMV’er

  1. Det er strategisk: SMV’er skal erkende, at cybersikkerhed ikke blot er compliance og noget med at sætte flueben i et skema. Det er en strategisk komponent, der er afgørende for deres virksomheds fremtid.
  2. Husk leverandørerne: SMV’ernes cybersikkerhedsindsats fokuserer næsten udelukkende på tiltag inde for egne fire vægge. De glemmer alle leverandørerne, der tilsammen udgør en kæmpestor bagdør og sårbarhed. Det er nødvendigt at række ud til leverandørerne og sætte cybersikkerhed på agendaen.
  3. Skærp opmærksomheden: SMV’ernes største trussel er ikke så meget tekniske huller, men først og fremmest ledere og medarbejderes manglende opmærksomhed på trusler. Det gælder særligt geopolitisk motiverede trusler, som langt hen ad vejen bliver overset. ”Danmarks støtte til Ukraine gør alle danske virksomheder til angrebsmål for russiske hackergrupper”, fortæller Judith Kankam-Boateng.
  4. Husk en formelle træning: Alt for meget cybersikkerhed i SMV’erne er overladt til den uformelle udveksling mellem medarbejdere. Det er afgørende, at SMV’erne etablerer formel træning.
  5. Opsøg hjælp: Reguleringer som NIS2 er komplicerede tiltag, der ofte vil kræve ekstern hjælp, Der vil ofte være hjælp at hente hos industriorganisationer.
  6. Pas på de blinde vinkler: Mange ledere og medarbejdere gør brug af it-systemer og apps som Chat GPT og andre. Disse systemer og den måde, de bliver brugt på, udgør en stor sikkerhedsrisiko, fordi brugen ikke er styret eller reguleret.
  7. Bliv proaktiv: Den allervigtigste anbefaling er indstillingen. Optikken på cybersikkerhed er i dag reaktiv, når det går bedst. Den skal flytte sig til at blive proaktiv med scenariebaserede trusselsvurderinger, incident respons plans, cyber drills, opmærksomhedstræning og så videre.

N.C. Nielsen A/S

Sponseret

Efter 20 år med samme truckmærke sender lagerchef stafetten videre hos INOX

SCM.dk

Stort tema om smart produktion i praksis: Fra Industri 4.0 til 5.0

Relateret indhold

03.07.2026SCM.dk

OT-sikkerhed lever et skjult og risikofuldt liv i mange virksomheder

02.07.2026SCM.dk

Nyt lermateriale kan reducere madspild i forsyningskæden

SCM.dk

AI-agenter øger presset på virksomhedernes netværk

SCM.dk

Nyt lermateriale kan reducere madspild i forsyningskæden

30.06.2026SCM.dk

Ny digital værktøjskasse skal accelerere grøn omstilling

25.06.2026SCM.dk

Kvasir henter 75 millioner kroner til grønt skibsbrændstof

24.06.2026SCM.dk

Ny guide skal styrke værnet mod identitetssvindel

23.06.2026SCM.dk

Ingka køber sine første solparker i Spanien

23.06.20269altitudes Danmark A/S

Sponseret

Robusthed skabes ikke i strategien. Den skabes i eksekveringslaget.

22.06.2026SCM.dk

16 partnere vil genanvende plast fra blodposer

Jobmarked

Se alle

Hold dig opdateret med SCM.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor ledelse af forsyningskæden, Nyhedsbrevet kommer kun to gange pr. uge.

Seneste temaer

Se alle

Events

Se alle
Consafe Logistics
Webinar
CYBERSIKKERHED – Beskyttelse af WMS-operationer

Forstå cyberrisici i moderne lagerdrift.

Dato

01.08.2026

Sted

On-Demand Webinar

Bureau Veritas
Seminar
ISO 22000 inspirationsseminar

Med udgangspunkt i praktiske cases giver vores ISO 22000 Inspirationsseminar dig en grundlæggende forståelse for fortolkning af ISO 22000 standardens kravelementer og opbygning samt fødevarestandardens integration med andre standarder.

Dato

17.08.2026

Sted

Vejle

Dansk Standard
Kursus
ISO 14001 kursus: Diplomkursus i miljøledelse

På to dage præsenteres du for det grundlæggende indhold i ledelsesstandarden ISO 14001 Miljøledelse, og lærer hvordan de enkelte krav efterleves i praksis. Der vil undervejs i kurset være praktiske øvelser, der kan inspirere dig til arbejdet til i din egen organisation efterfølgende. Som afslutning følger en multiple choice eksamen, som måler på dine erhvervede viden og færdigheder.

Dato

18.08.2026

Sted

Nordhavn, København

Dansk Standard
Kursus
ISO/IEC 27002 Diplomkursus - træf de rigtige foranstaltninger

På dette kursus får du hjælp til at træffe de rigtige foranstaltninger med ISO 27002, og bliv bedre til at kvalificere og udpege de handlinger, der er nødvendige for din virksomheds informationssikkerhed.

Dato

18.08.2026

Sted

Nordhavn, København

Dansk Standard
Kursus
CE-mærkning af maskiner og anlæg - diplomkursus

Sådan udfører du CE-mærkning af maskiner, maskinlinjer og ombyggede maskiner – Diplomkursus – 2 dage

Dato

18.08.2026

Sted

Dansk Standard, Nordhavn

Context& A/S
Webinar
AI i finansafdelingen - hvad kan du automatisere?

Deltag i webinaret og se, hvordan AI automatiserer økonomiprocesser, reducerer manuelt arbejde og giver hurtigere adgang til indsigt i ERP-data.

Dato

18.08.2026

Tid

10:00

Sted

Online - Microsoft Teams