Ny model kan gøre SMV’ers forsyningskæder robuste i en usikker verden

En ny rapport fra Syddansk Universitet (SDU) og Forsvarsakademiet fra september 2025 peger på en løsning på, hvordan SMV’er gør deres forretning og forsyningskæde mere sikker og robust. Projektet ’Cybersikkerhed og Forretningskontinuitet’ har udviklet en fasedelt procesmodel, der skal hjælpe SMV’er med at kortlægge, analysere og styrke deres forsyningskæder – ikke bare for at overleve, men for at blive mere konkurrencedygtige i en tid, hvor risici er en del af hverdagen.

Hvorfor er SMV’erne særligt sårbare?

SMV’erne udgør rygraden i den danske økonomi. De er innovative, fleksible og skaber jobs. Men de er også ofte det svageste led i forsyningskæden, når vi taler sikkerhed og resiliens. Ifølge rapporten mangler mange SMV’er ressourcer, viden og strategisk overblik til at håndtere de cybertrusler og geopolitiske risici, der i stigende grad præger det globale erhvervsliv. Tre centrale udfordringer toner tydeligt frem:

• Cyberangreb er ikke længere et spørgsmål om hvis, men hvornår. Hver femte danske produktions-SMV har allerede oplevet et cyberangreb.
• Geopolitiske chok – som USA’s mulige tilbagetrækning fra Europa, konflikter om Taiwan eller klimaforandringer – kan øjeblikkeligt afbryde forsyningslinjer og lamme produktionen.
• Mange SMV’er ser cybersikkerhed som en omkostning, ikke en investering. De reagerer ofte først, når krisen er et faktum – og det kan være for sent.

SMV’erne er ikke bare udsatte for cyberangreb. De er også en attraktiv indgang for hackere, der vil ramme større virksomheder længere oppe i forsyningskæden, lyder det i rapporten.

Modellen gør resiliens håndgribelig

Rapporten præsenterer en firetrins procesmodel, som er udviklet i tæt samarbejde med danske SMV’er. Modellen skal gøre det nemmere at arbejde struktureret med forsyningskædens modstandsdygtighed – også kaldet ’supply chain resilience’. Se de fire faser i procesmodellen i figur 1 nederst i artiklen.

Kernen i modellen er tværfunktionelt samarbejde. I praksis betyder det, at indkøb, it, produktion og ledelse skal tale sammen – ikke arbejde i siloer.

Mange SMV’er har et fragmenteret billede af deres risici. Procesmodellen skal tvinge dem til at se på hele forsyningskæden og finde ud af, hvor de reelt er sårbare.

Scenarier gør truslerne levende

Rapporten er ikke bare teori. For at gøre de abstrakte trusler konkrete har forskerne udviklet fem narrative scenarier, der viser, hvordan geopolitiske begivenheder kan ramme en dansk SMV – og hvad virksomheden kan gøre for at forberede sig.

Eksempel: USA trækker sig fra Europa. Hvad sker der, hvis USA reducerer sin militære og økonomiske støtte til Europa? Rapportens scenarie beskriver, hvordan danske SMV’er pludselig står over for:

• Handelsbarrierer, der lammer eksporten.
• Øgede cyberangreb fra Rusland, når den amerikanske sikkerhedsparaply forsvinder.
• Pressede offentlige budgetter, der tvinger virksomheder til at klare sig selv.

Scenarierne er tænkt som værktøjer, der skal hjælpe SMV’erne med at tænke: Hvad nu hvis? Og så handle, før det er for sent.

Hvad får SMV’erne ud af det?

Rapporten viser, at virksomheder, der har arbejdet med modellen og scenarierne, opnår fire centrale fordele:

1. Fra abstrakt trussel til konkret handling: SMV’erne får et klart billede af, hvordan en geopolitisk krise eller et cyberangreb kan ramme netop deres forretning – og hvad de kan gøre for at minimere risici.
2. Proaktiv krisehåndtering: Ved at “stressteste” deres operationer mod plausible fremtidsscenarier kan virksomhederne forberede sig på forstyrrelser, før de sker.
3. Bedre internt samarbejde: Processen bryder siloer ned og skaber en fælles forståelse af risici på tværs af afdelinger.
4. Cybersikkerhed som konkurrenceparameter: Virksomheder, der kan dokumentere robuste beredskabsplaner, bliver mere attraktive for større kunder og offentlige kontrakter.

Idéen med scenarierne er at gøre truslerne levende, så ledere og medarbejdere i SMV’er får øjnene op for, at cybersikkerhed ikke bare er et it-problem, men også en forretningskritisk investering.

Hvad skal der til for at lykkes?

Rapporten understreger, at ledelsens engagement er afgørende. Cybersikkerhed og forsyningskæderesiliens kan ikke overlades til it-afdelingen alene. Det kræver:

• En kultur, der ser risikostyring som en del af forretningsudviklingen.
• Ressourcer til at implementere handlingsplaner – også når der er travlt.
• Støtte fra erhvervsorganisationer og myndigheder, for eksempel gennem værktøjer som Cyber Safe Robotics.

Resiliens er en nødvendighed

Verden bliver ikke mere stabil. Tværtimod: Cybertrusler, geopolitiske spændinger og klimakriser vil fortsat udfordre danske SMV’ers forsyningskæder. Men rapporten viser, at der er noget, virksomhederne kan gøre.

Den nye procesmodel er en praktisk vejledning til at gøre det komplekse håndgribeligt – og til at omdanne trusler til konkurrencefordel.

For SMV’erne handler det ikke længere om, om de skal arbejde med cybersikkerhed og forsyningskæderesiliens. Det handler om, hvordan de gør det – og hvordan de sikrer, at de står stærkt, når verden igen skifter under deres fødder.

Hent rapporten ’Cybersikkerhed og Forretningskontinuitet i små og mellemstore danske produktionsvirksomheder’.