ESG & Resiliens

SMV’er glemmer cybersikkerhed hos leverandørerne. Det skaber store sårbarheder

Danske små- og mellemstore produktionsvirksomheder (SMV’er) efterlader en åben bagdør til deres egne systemer: De stiller sjældent krav om cybersikkerhed til deres leverandører – og gør dermed hele forsyningskæden sårbar over for angreb, datalæk og driftsstop.

”Mange SMV’er antager, at deres leverandører er sikre – men de tjekker det aldrig”, fortæller Jan Stentoft. Foto: 123rf.com

07.05.2026

Poul Breil-Hansen, SCM.dk

’Vi stoler på vores leverandører’ er en risikabel strategi. Sådan kan man formulere et af hovedbudskaberne i undersøgelsen ’Cybersikkerhed i praksis: Indsigter fra danske produktionsvirksomheder’ gennemført af et samarbejde mellem SDU, Forsvarsakademiet og Industriens Fond. Undersøgelsen tegner et alarmerende billede af, hvordan manglende opmærksomhed på leverandørers sikkerhedsniveau skaber systemiske risici for både SMV’erne selv og de store virksomheder, de leverer til.

Undersøgelsen bygger på svar fra 155 danske produktions-SMV’er, og den afslører, at kun 2,15 ud af 5 af virksomhederne aktivt stiller krav om cybersikkerhed til deres leverandører. Til sammenligning ligger kravet til egne kunder endnu lavere – på 1,95. Det betyder, at de fleste SMV’er ikke engang spørger ind til, om deres leverandører har basale sikkerhedsforanstaltninger på plads.

”Det er som at lade døren stå åben og så håbe, at ingen uønskede gæster kommer ind. Men i dag er det ikke et spørgsmål om ’hvis’, men ’hvornår’ en leverandør bliver kompromitteret – og så spreder angrebet sig op og ned ad kæden”, fortæller Jan Stentoft, professor i supply chain management ved SDU og medforfatter til rapporten.

Et klassisk eksempel er SolarWinds-hændelsen i 2020, hvor hackere via en lille, ubeskyttet softwareleverandør fik adgang til amerikanske myndigheder, tech-giganter og forsvarsleverandører. 

”SMV’erne er ofte det svage led, fordi de har færre ressourcer – og fordi de sjældent bliver stillet krav af deres kunder”, lyder det i rapporten.

Tre kritiske huller i forsyningskæden

Undersøgelsen identificerer tre centrale sårbarheder, der opstår, når SMV’er ignorerer leverandørers cybersikkerhed:

1. Fjernadgang uden kontrol: Eksterne leverandører – for eksempel it-serviceudbydere, automationspartnere eller maskinleverandører – har ofte fjernadgang til SMV’ernes systemer. ”Hvis leverandørens legitimationsoplysninger kompromitteres, kan angriberen få direkte adgang til produktionsmiljøet”, advarer rapporten. Alligevel kræver kun 22 procent af SMV’erne to-faktorgodkendelse eller andre sikkerhedsforanstaltninger for eksterne logins.

2. Ingen screening af software og opdateringer: Sårbarheder i tredjepartssoftware – for eksempel ERP-systemer, firmware til maskiner eller cloud-løsninger – er en hyppig indgangsvej for angreb. ”Mange SMV’er installerer opdateringer uden at tjekke, om de er sikre”, afdækker rapporten. 

Kun 2,37 ud af 5 har en strategi for risikostyring af cybersikkerhed i forsyningskæden – og endnu færre (1,88) ved, hvad der sker med data, når et samarbejde ophører.

3. Manglende beredskab for kædeangreb: ”Hvis en leverandør bliver ramt af ransomware, kan det lamme SMV’ens produktion – og dermed også deres kunder”, skriver forfatterne. Alligevel har kun 2,95 ud af 5 en plan for, hvordan de håndterer cyberhændelser sammen med leverandører.

”Det er ikke nok at have sin egen backup. Man skal også vide, om leverandørerne har en”, pointerer Jan Stentoft.

Derfor er det et problem for hele kæden

For store virksomheder, der er afhængige af SMV’erne som underleverandører, skaber den lave modenhed tre konkrete risici:

1. Angreb via det svageste led: Hackere skanner forsyningskæder for at finde det mindst beskyttede punkt – og det er ofte en SMV. ”Et angreb på en lille leverandør kan bruges som springbræt til at ramme en stor virksomheds systemer”, forklarer rapporten.

2. Driftsstop og forsinkelser: Hvis en SMV’s produktion lammes af ransomware, kan det stoppe leverancer til hele værdikæden. ”Vi har set tilfælde, hvor en enkelt SMV’s nedbrud har forsinket produktion hos flere store kunder,” siger Jan Stentoft.

3. Regulatoriske bøder og tab af kontrakter: NIS 2-direktivet stiller skærpede krav til cybersikkerhed – også for SMV’er i kritiske sektorer. ”Hvis en SMV ikke kan dokumentere sikkerhed, risikerer den at miste kontrakter – eller endda få bøder”, advarer rapportforfatterne. Alligevel ved 11 procent af SMV’erne slet ikke, om de er omfattet af NIS 2.

Læs også: Danskerne panter rekordmange flasker og dåser

4 trin for at lukke de værste huller

Rapporten peger på fire handlinger, som både SMV’er og deres kunder kan sætte i værk for at lukke hullerne:

1. Stil klare, kontraktmæssige krav: ”Cybersikkerhed skal være en del af alle leverandøraftaler”, skriver forfatterne. Minimumskrav bør omfatte:

  • To-faktorgodkendelse for fjernadgang.
  • Regelmæssige sikkerhedsaudits af kritiske leverandører.
  • Dokumentation for backup- og beredskabsplaner.

2. Segmenter netværk og systemer: ”Produktions-/logistik-IT (OT) og kontor-IT skal adskilles”, anbefaler rapporten. ”Hvis en leverandør kompromitteres, skal angriberen ikke kunne bevæge sig frit rundt i hele netværket”.

3. Test leverandørers sikkerhed: ”Mange SMV’er antager, at deres leverandører er sikre – men de tjekker det aldrig”, fortæller Jan Stentoft. Løsning:

  • Spørg om certificeringer (for eksempel ISO 27001 eller IEC 62443).
  • Udfør simulerede phishing-tests af leverandørers medarbejdere.
  • Krav om gennemsigtighed ved databrud.

4. Samarbejd om beredskab: ”Cybersikkerhed er et fælles ansvar – ikke et individuelt”, skriver forfatterne. Fælles øvelser og delt trusselsinformation kan styrke hele kædens robusthed. ”Hvis I ved, hvordan leverandørerne håndterer et angreb, kan I også reagere hurtigere”, pointerer rapporten.

Tid til at handle – før det er for sent

Undersøgelsen er et opråb – ikke kun til SMV’erne, men også til de store virksomheder, der er afhængige af dem. ”Hvis I ikke stiller krav til jeres leverandørers cybersikkerhed, så gør I dem – og jer selv – til et let mål. Det er ikke længere et spørgsmål ’om’ I bliver ramt. Det er et spørgsmål om ’hvornår’ – og om I er forberedt”, konkluderer Jan Stentoft.

For ledere i forsyningskæden betyder det: 

  • Spørg ind til leverandørers sikkerhedsniveau – og kræv dokumentation.
  • Integrer cybersikkerhed i kontrakter – både opad og nedad i kæden.
  • Del viden og ressourcer – for ’en stærk kæde kræver stærke led’.

”Cybersikkerhed er ikke længere et it-problem. Det er et ledelsesansvar – og en konkurrenceparameter”, slutter rapporten.

N.C. Nielsen A/S

Sponseret

N.C. Nielsen lancerer verdens mest effektive el-truck

SCM.dk

Stort tema om smart produktion i praksis: Fra Industri 4.0 til 5.0

Relateret indhold

ESG & Resiliens

06.05.2026SCM.dk

Danske forsyningskæder er kun 4 procent cirkulære

ESG & Resiliens

06.05.2026SCM.dk

Esbjerg Havn udpeget som global grøn industriklynge

Distribution

SCM.dk

BAUHAUS Tilst moderniserer varehus med ny drive-in

ESG & Resiliens

SCM.dk

Danske forsyningskæder er kun 4 procent cirkulære

ESG & Resiliens

30.04.2026SCM.dk

Matas-lager får guld for ansvarlig drift

ESG & Resiliens

28.04.2026SCM.dk

Mere brugt elektronik skal tilbage i kredsløb

ESG & Resiliens

27.04.2026PALOMAT

Sponseret

Dragsbæk fik mere plads, mere tid og mere ro

ESG & Resiliens

27.04.2026DNV Business Assurance Denmark

Sponseret

Flere virksomheder skal implementere energiledelse

ESG & Resiliens

27.04.2026SCM.dk

CHEP og REMA forlænger aftale om cirkulære paller

ESG & Resiliens

24.04.2026SCM.dk

Robuste værdikæder er både konkurrencevåben og sikkerhedspolitik

Hold dig opdateret med SCM.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor ledelse af forsyningskæden, Nyhedsbrevet kommer kun to gange pr. uge.

Seneste temaer

Se alle

Tema: Optimering af last-mile-logistik 2026 – hurtigere, grønnere og smartere levering

Tema: AI og automation i forsyningskæden 2026 – fra data til handling

Tema: Den livsnødvendige gennemsigtighed i forsyningskæden

Tema: Risikostyring og sikkerhed i forsyningskæden

Tema: Banebrydende AGV’er og AMR’er

Tema: ESG-optimering i forsyningskæden

Events

Se alle
DNV Business Assurance Denmark
Kursus
Få styr på BEK 1138/2025 (tidl. 761/2024): Bekendtgørelse om obligatoriske energiledelsessystemer og energisyn samt klimasyn i visse virksomheder

Er din virksomhed omfattet af Bekendtgørelse om obligatoriske energiledelsessystemer og energisyn og klimasyn i visse virksomheder, skal I sikre, at I opfylder kravene i Bekendtgørelsen. På dette 3-times online minikursus, giver vi dig den nødvendige viden, så du kan afgøre om din virksomhed er omfattet, og i givet fald hvad der skal til, for at leve op til kravene.

Dato

08.05.2026

Sted

Online

DNV Business Assurance Denmark
Kursus
Sæt strøm til ISO/IEC 27002 med CIS18

Få konkrete anvisninger til opbygning af dine sikkerhedsforanstaltninger

Dato

11.05.2026

Sted

København

Bureau Veritas
Kursus
ISO 45003 guideline - del 1 (Psykisk arbejdsmiljø)

Den internationale standard for arbejdsmiljøledelse, ISO 45001, fik i 2021 følgeskab af ISO 45003 guidelinen, som beskriver forventningerne til håndtering af trivsel og psykisk arbejdsmiljø i et arbejdsmiljøledelsessystem opbygget efter ISO 45001.

Dato

11.05.2026

Sted

Vejle

DNV Business Assurance Denmark
Kursus
Grundlæggende Kvalitetsledelse

Formålet med kurset er at give deltagerne et grundlæggende kendskab til kvalitetsledelsessystemer og kravene i ISO 9001 standarden.

Dato

12.05.2026

Sted

Odense

Dansk Standard
Kursus
NIS2 i praksis – med ISO/IEC 27001 som fundament for compliance

På dette diplomkursus får du overblik over NIS2-kravene i praksis, og du lærer, hvordan ISO/IEC 27001 kan bruges som en praktisk ramme til at styrke jeres informationssikkerhed og sikre compliance med den nye NIS2-lov.

Dato

12.05.2026

Sted

Dansk Standard, Nordhavn

Bureau Veritas
Kursus
Kvalitetskultur med udgangspunkt i ISO 10010:2022 og adfærdsdesign

En ny version af ISO 9001 er på vej og forventes lancereret i september 2026. Denne revision sætter fokus på at lederskab skal sikre en kvalitetskultur.

Dato

12.05.2026

Sted

Middelfart

Udgiver

Horisont Gruppen a/s

Strandlodsvej 44

2300 København S

Telefon: 53506060

www.horisontgruppen.dk

Indhold

Digital & tech
Distribution
Lager
Planlægning
ESG & Resiliens
Produktion
Sourcing
Strategi & ledelse
Rapporter og relevante filer
Events
Jobmarked
Partnere
RSS-feed
Nyhedsbrev

Copyright 2023