ESG & Resiliens

SMV’er glemmer cybersikkerhed hos leverandørerne. Det skaber store sårbarheder

Danske små- og mellemstore produktionsvirksomheder (SMV’er) efterlader en åben bagdør til deres egne systemer: De stiller sjældent krav om cybersikkerhed til deres leverandører – og gør dermed hele forsyningskæden sårbar over for angreb, datalæk og driftsstop.

”Mange SMV’er antager, at deres leverandører er sikre – men de tjekker det aldrig”, fortæller Jan Stentoft. Foto: 123rf.com

07.05.2026

Poul Breil-Hansen, SCM.dk

’Vi stoler på vores leverandører’ er en risikabel strategi. Sådan kan man formulere et af hovedbudskaberne i undersøgelsen ’Cybersikkerhed i praksis: Indsigter fra danske produktionsvirksomheder’ gennemført af et samarbejde mellem SDU, Forsvarsakademiet og Industriens Fond. Undersøgelsen tegner et alarmerende billede af, hvordan manglende opmærksomhed på leverandørers sikkerhedsniveau skaber systemiske risici for både SMV’erne selv og de store virksomheder, de leverer til.

Undersøgelsen bygger på svar fra 155 danske produktions-SMV’er, og den afslører, at kun 2,15 ud af 5 af virksomhederne aktivt stiller krav om cybersikkerhed til deres leverandører. Til sammenligning ligger kravet til egne kunder endnu lavere – på 1,95. Det betyder, at de fleste SMV’er ikke engang spørger ind til, om deres leverandører har basale sikkerhedsforanstaltninger på plads.

”Det er som at lade døren stå åben og så håbe, at ingen uønskede gæster kommer ind. Men i dag er det ikke et spørgsmål om ’hvis’, men ’hvornår’ en leverandør bliver kompromitteret – og så spreder angrebet sig op og ned ad kæden”, fortæller Jan Stentoft, professor i supply chain management ved SDU og medforfatter til rapporten.

Et klassisk eksempel er SolarWinds-hændelsen i 2020, hvor hackere via en lille, ubeskyttet softwareleverandør fik adgang til amerikanske myndigheder, tech-giganter og forsvarsleverandører. 

”SMV’erne er ofte det svage led, fordi de har færre ressourcer – og fordi de sjældent bliver stillet krav af deres kunder”, lyder det i rapporten.

Tre kritiske huller i forsyningskæden

Undersøgelsen identificerer tre centrale sårbarheder, der opstår, når SMV’er ignorerer leverandørers cybersikkerhed:

1. Fjernadgang uden kontrol: Eksterne leverandører – for eksempel it-serviceudbydere, automationspartnere eller maskinleverandører – har ofte fjernadgang til SMV’ernes systemer. ”Hvis leverandørens legitimationsoplysninger kompromitteres, kan angriberen få direkte adgang til produktionsmiljøet”, advarer rapporten. Alligevel kræver kun 22 procent af SMV’erne to-faktorgodkendelse eller andre sikkerhedsforanstaltninger for eksterne logins.

2. Ingen screening af software og opdateringer: Sårbarheder i tredjepartssoftware – for eksempel ERP-systemer, firmware til maskiner eller cloud-løsninger – er en hyppig indgangsvej for angreb. ”Mange SMV’er installerer opdateringer uden at tjekke, om de er sikre”, afdækker rapporten. 

Kun 2,37 ud af 5 har en strategi for risikostyring af cybersikkerhed i forsyningskæden – og endnu færre (1,88) ved, hvad der sker med data, når et samarbejde ophører.

3. Manglende beredskab for kædeangreb: ”Hvis en leverandør bliver ramt af ransomware, kan det lamme SMV’ens produktion – og dermed også deres kunder”, skriver forfatterne. Alligevel har kun 2,95 ud af 5 en plan for, hvordan de håndterer cyberhændelser sammen med leverandører.

”Det er ikke nok at have sin egen backup. Man skal også vide, om leverandørerne har en”, pointerer Jan Stentoft.

Derfor er det et problem for hele kæden

For store virksomheder, der er afhængige af SMV’erne som underleverandører, skaber den lave modenhed tre konkrete risici:

1. Angreb via det svageste led: Hackere skanner forsyningskæder for at finde det mindst beskyttede punkt – og det er ofte en SMV. ”Et angreb på en lille leverandør kan bruges som springbræt til at ramme en stor virksomheds systemer”, forklarer rapporten.

2. Driftsstop og forsinkelser: Hvis en SMV’s produktion lammes af ransomware, kan det stoppe leverancer til hele værdikæden. ”Vi har set tilfælde, hvor en enkelt SMV’s nedbrud har forsinket produktion hos flere store kunder,” siger Jan Stentoft.

3. Regulatoriske bøder og tab af kontrakter: NIS 2-direktivet stiller skærpede krav til cybersikkerhed – også for SMV’er i kritiske sektorer. ”Hvis en SMV ikke kan dokumentere sikkerhed, risikerer den at miste kontrakter – eller endda få bøder”, advarer rapportforfatterne. Alligevel ved 11 procent af SMV’erne slet ikke, om de er omfattet af NIS 2.

Læs også: Danskerne panter rekordmange flasker og dåser

4 trin for at lukke de værste huller

Rapporten peger på fire handlinger, som både SMV’er og deres kunder kan sætte i værk for at lukke hullerne:

1. Stil klare, kontraktmæssige krav: ”Cybersikkerhed skal være en del af alle leverandøraftaler”, skriver forfatterne. Minimumskrav bør omfatte:

  • To-faktorgodkendelse for fjernadgang.
  • Regelmæssige sikkerhedsaudits af kritiske leverandører.
  • Dokumentation for backup- og beredskabsplaner.

2. Segmenter netværk og systemer: ”Produktions-/logistik-IT (OT) og kontor-IT skal adskilles”, anbefaler rapporten. ”Hvis en leverandør kompromitteres, skal angriberen ikke kunne bevæge sig frit rundt i hele netværket”.

3. Test leverandørers sikkerhed: ”Mange SMV’er antager, at deres leverandører er sikre – men de tjekker det aldrig”, fortæller Jan Stentoft. Løsning:

  • Spørg om certificeringer (for eksempel ISO 27001 eller IEC 62443).
  • Udfør simulerede phishing-tests af leverandørers medarbejdere.
  • Krav om gennemsigtighed ved databrud.

4. Samarbejd om beredskab: ”Cybersikkerhed er et fælles ansvar – ikke et individuelt”, skriver forfatterne. Fælles øvelser og delt trusselsinformation kan styrke hele kædens robusthed. ”Hvis I ved, hvordan leverandørerne håndterer et angreb, kan I også reagere hurtigere”, pointerer rapporten.

Tid til at handle – før det er for sent

Undersøgelsen er et opråb – ikke kun til SMV’erne, men også til de store virksomheder, der er afhængige af dem. ”Hvis I ikke stiller krav til jeres leverandørers cybersikkerhed, så gør I dem – og jer selv – til et let mål. Det er ikke længere et spørgsmål ’om’ I bliver ramt. Det er et spørgsmål om ’hvornår’ – og om I er forberedt”, konkluderer Jan Stentoft.

For ledere i forsyningskæden betyder det: 

  • Spørg ind til leverandørers sikkerhedsniveau – og kræv dokumentation.
  • Integrer cybersikkerhed i kontrakter – både opad og nedad i kæden.
  • Del viden og ressourcer – for ’en stærk kæde kræver stærke led’.

”Cybersikkerhed er ikke længere et it-problem. Det er et ledelsesansvar – og en konkurrenceparameter”, slutter rapporten.

amfori a.i.s.b.l.

Sponseret

Hvorfor det er afgørende for ansvarlige forsyningskæder at håndtere overdreven arbejdstid

SCM.dk

Stort tema om smart produktion i praksis: Fra Industri 4.0 til 5.0

Relateret indhold

ESG & Resiliens

04.06.2026SCM.dk

Producentansvar: Kritik af kompensationsmodel for emballageaffald

ESG & Resiliens

03.06.2026Dansk Standard

Sponseret

DS Bæredygtighedsdag sætter trivsel på dagsordenen

Strategi & ledelse

SCM.dk

DI om vismandsrapport: Virksomheder oplever en anden hverdag

Digital & tech

SCM.dk

Fragt: 52 % genindtaster samme data i flere systemer

ESG & Resiliens

02.06.2026SCM.dk

Hackere går efter de mindste byttedyr på cybersavannen

ESG & Resiliens

01.06.2026SCM.dk

Mangel på elnet kan forsinke virksomheder i op til 10 år

ESG & Resiliens

01.06.2026SCM.dk

IKEA integrerer sociale virksomheder i forsyningskæden

ESG & Resiliens

31.05.2026SCM.dk

Bæredygtighed og resiliens er samme logik og skal tænkes sådan

ESG & Resiliens

29.05.2026amfori a.i.s.b.l.

Sponseret

Hvorfor det er afgørende for ansvarlige forsyningskæder at håndtere overdreven arbejdstid

ESG & Resiliens

29.05.2026SCM.dk

Sådan sikrer vi opbakning til klimaindsatsen

Hold dig opdateret med SCM.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor ledelse af forsyningskæden, Nyhedsbrevet kommer kun to gange pr. uge.

Seneste temaer

Se alle

Tema: Optimering af kølekæden – effektiv, sikker og bæredygtig cold supply chain 2026

Tema: Intralogistik og materialehåndtering 2026

Tema: Optimering af last-mile-logistik 2026 – hurtigere, grønnere og smartere levering

Tema: AI og automation i forsyningskæden 2026 – fra data til handling

Tema: Den livsnødvendige gennemsigtighed i forsyningskæden

Tema: Risikostyring og sikkerhed i forsyningskæden

Events

Se alle
DNV Business Assurance Denmark
Kursus
NIS2 kursus målrettet offentlig forvaltning, stat, regioner og kommuner

Med NIS2-direktivet følger nye krav, der skal sikre et højt niveau af cybersikkerhed på tværs af EU-landene, og med den danske lovimplementering vil også den offentlige sektor skulle leve op til kravene.

Dato

08.06.2026

Sted

Copenhagen, Denmark

Dansk Standard
Kursus
ISO/IEC 27001 Lead Implementer - certificeret af PECB

Få bevis på dine kompetencer med den internationale personcertificering i informationssikkerhed, PECB ISO/IEC 27001 Lead Implementer.

Dato

08.06.2026

Sted

Comwell, Odense

Bureau Veritas
Kursus
Emballage og cirkulær økonomi

EU-regler og den nye (EU) 2025/40-forordning

Dato

08.06.2026

Sted

Nyborg

Bureau Veritas
Kursus
ISO 14001:2026 – sådan sikrer du en smidig overgang

ISO 14001:2015 er på vej til at blive revideret, og en ny version forventes udgivet i marts 2026. Dette kursus kombinerer en introduktion til de nye krav med en genopfriskning af centrale elementer i miljøledelse, så du får indsigt i, hvordan standarden bedst implementeres i praksis.

Dato

08.06.2026

Sted

Online

Dansk Standard
Kursus
CE-mærkning af maskiner og anlæg - diplomkursus

Sådan udfører du CE-mærkning af maskiner, maskinlinjer og ombyggede maskiner – Diplomkursus – 2 dage

Dato

09.06.2026

Sted

3S, Fredericia

DNV Business Assurance Denmark
Kursus
Systematiseret risikoledelse efter DS/ISO 31000

Et væsentligt krav i ISO ledelsessystemstandarderne er, at man som certificeret virksomhed skal etablere en systematisk tilgang til at arbejde med risici i ledelsessystemet – også kaldet Risk Thinking.

Dato

10.06.2026

Sted

Odense

Udgiver

Horisont Gruppen a/s

Strandlodsvej 44

2300 København S

Telefon: 53506060

www.horisontgruppen.dk

Indhold

Digital & tech
Distribution
Lager
Planlægning
ESG & Resiliens
Produktion
Sourcing
Strategi & ledelse
Rapporter og relevante filer
Events
Jobmarked
Partnere
RSS-feed
Nyhedsbrev

Copyright 2023