Guides, Tips & Viden

Cybersikkerhed for små virksomheder: Start her

Trine Thorsen
Trine Thorsen
Redaktør, NetPlus
 · 18. marts 2026 · 8 min læsning
Cybersikkerhed for små virksomheder: Start her

Cybertrusler er ikke længere et problem, der udelukkende rammer store koncerner og offentlige institutioner. Faktisk er små og mellemstore virksomheder i dag blandt de mest sårbare mål for cyberkriminelle — og konsekvenserne kan være katastrofale. Et enkelt vellykket angreb kan koste en lille virksomhed alt fra kundedata og omdømme til selve eksistensgrundlaget. Den gode nyhed er, at du ikke behøver et stort IT-budget eller en hel sikkerhedsafdeling for at beskytte din virksomhed effektivt. Du skal blot vide, hvor du starter.

Hvorfor er små virksomheder i risiko?

Der eksisterer en udbredt misforståelse om, at hackere primært jagter store virksomheder med millionværdier. Realiteten er en anden. Cyberkriminelle opererer i stor stil med automatiserede angreb, der scanner internettet for sårbare systemer — og her skiller mange små virksomheder sig negativt ud.

Årsagerne er flere og ofte sammenkoblede:

  • Begrænsede ressourcer: Mange små virksomheder har ingen dedikeret IT-afdeling og er afhængige af generalist-medarbejdere eller freelancere til teknisk support.
  • Forældet software: Systemer og applikationer opdateres ikke regelmæssigt, hvilket efterlader kendte sikkerhedshuller åbne.
  • Manglende sikkerhedspolitikker: Der findes ingen formelle regler for, hvordan medarbejdere håndterer data, adgangskoder og e-mails.
  • Overdreven tillid: Virksomheder antager fejlagtigt, at de er for små til at være interessante for angribere.

Ifølge Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) udgør phishing og ransomware fortsat de mest udbredte angrebsformer mod virksomheder af alle størrelser. For en lille virksomhed uden backup-systemer eller responsplaner kan et ransomware-angreb betyde total driftsstop.

Desuden befinder mange små virksomheder sig i digitale transformationsprocesser — eksempelvis overgangen til cloud-løsninger eller implementering af nye digitale arbejdsgange. Disse overgangsfaser skaber midlertidige sårbarheder, som angribere aktivt udnytter. Læs mere om, hvordan du håndterer denne overgang sikkert i vores guide til Digital transformation: Guide til at modernisere virksomhedens IT.

Væsentlige sikkerhedsfundamenter

Inden du investerer i avancerede sikkerhedsværktøjer, bør du sikre dig, at de grundlæggende fundamenter er på plads. En solid sikkerhedsbase behøver hverken være dyr eller kompliceret at etablere.

Opdaterede systemer og software

Det lyder simpelt, men det er en af de mest effektive beskyttelsesforanstaltninger: hold al software opdateret. Operativsystemer, browsere, plugins og forretningsapplikationer bør opdateres automatisk, hvis det er muligt. Mange velkendte angreb udnytter sårbarheder, der faktisk allerede er patchet af leverandøren — problemet er blot, at virksomheden endnu ikke har installeret opdateringen.

Firewall og netværkssegmentering

En firewall er din første forsvarslinje mod uautoriseret adgang. Sørg for, at din router og eventuelle netværksfirewalls er korrekt konfigurerede og ikke bruger standardadgangskoder. Overvej desuden at segmentere dit netværk, så eksempelvis gæste-wifi er adskilt fra det netværk, hvor virksomhedens kritiske data befinder sig.

Backup-strategi med 3-2-1-reglen

En effektiv backup er din absolut vigtigste forsikring mod ransomware og datatab. Brug 3-2-1-reglen:

  1. Opbevar 3 kopier af dine data
  2. 2 forskellige medier (f.eks. lokal harddisk og cloud)
  3. Med mindst 1 kopi offsite (eksternt opbevaringssted)

Test regelmæssigt, at dine backups faktisk kan gendannes. En backup, du ikke kan gendanne fra, er værdiløs i en krisesituation. Overvejer du at flytte dine backups og øvrige IT-infrastruktur til skyen, kan vores artikel om Cloudmigration: Fra on-premise til Sky-løsninger hjælpe dig godt på vej.

Antivirusbeskyttelse og endpoint-sikkerhed

Installer anerkendt antivirussoftware på alle enheder i virksomheden — inklusiv smartphones og tablets, hvis de bruges til arbejdsformål. Moderne endpoint-sikkerhedsløsninger tilbyder ofte realtidsbeskyttelse, adfærdsanalyse og centraliseret administration, der giver dig overblik over alle enheders sikkerhedsstatus.

Password management og to-faktor godkendelse

Svage og genbrugte adgangskoder er årsagen bag en overraskende stor andel af sikkerhedsbrud. Selvom det er et velkendt problem, kæmper mange virksomheder stadig med at implementere gode adgangskodepolitikker i praksis.

Implementér en password manager

En password manager er et program, der genererer og opbevarer stærke, unikke adgangskoder for hvert eneste system og service din virksomhed bruger. Medarbejderne skal kun huske én master-adgangskode, mens password manageren håndterer resten. Populære løsninger til virksomheder inkluderer Bitwarden, 1Password og LastPass Business.

Krav til stærke adgangskoder bør inkludere:

  • Minimum 16 tegn
  • Kombination af bogstaver, tal og specialtegn
  • Unik adgangskode til hvert system — ingen genbrug
  • Regelmæssig rotation ved mistanke om kompromittering

To-faktor godkendelse (2FA) er ikke valgfrit

To-faktor godkendelse (2FA) tilføjer et ekstra sikkerhedslag ud over adgangskoden. Selv hvis en angriber får fat i et brugernavn og en adgangskode, kan de ikke logge ind uden den anden faktor — typisk en engangskode fra en autentificeringsapp, en SMS eller en hardware-nøgle.

Aktivér 2FA på alle kritiske systemer:

  • E-mailkonti (særligt vigtige, da de bruges til adgangskodegenoprettelse)
  • Cloud-tjenester og fildelingsplatforme
  • Banktjenester og regnskabssystemer
  • Administratorkonti på alle platforme
  • VPN-adgang og fjernskrivebordsløsninger

Autentificeringsapps som Google Authenticator eller Microsoft Authenticator er at foretrække frem for SMS-baseret 2FA, da SMS-verifikation er sårbar over for SIM-swapping angreb.

Medarbejderudannelse og bevidsthed

Tekniske sikkerhedsforanstaltninger er kun effektive, hvis de mennesker, der bruger systemerne, handler sikkert. Undersøgelse efter undersøgelse viser, at menneskelige fejl er den primære årsag til vellykkede cyberangreb. Phishing-e-mails, der narrer medarbejdere til at klikke på ondsindede links eller afsløre loginoplysninger, er stadig den mest effektive angrebsmetode.

Løbende sikkerhedstræning

Sikkerhedstræning bør ikke være en engangsbegivenhed ved ansættelsen. Trusselsbilledet ændrer sig konstant, og medarbejdere skal regelmæssigt opdateres om nye angrebsmetoder. Overvej:

  • Kvartalsvise træningssessioner med aktuelle eksempler på phishing og social engineering
  • Simulerede phishing-tests for at identificere, hvem der har brug for ekstra træning
  • Klare procedurer for, hvad medarbejdere skal gøre, hvis de modtager en mistænkelig e-mail
  • Sikkerhedspolitik-dokumenter der er tilgængelige og letforståelige

Skab en sikkerhedskultur

Det vigtigste er at skabe en kultur, hvor sikkerhed er et fælles ansvar — ikke kun IT-afdelingens. Medarbejdere skal føle, at de kan rapportere mistænkelig aktivitet eller egne fejl uden frygt for konsekvenser. En medarbejder, der straks rapporterer, at de har klikket på et phishing-link, giver virksomheden mulighed for at reagere hurtigt. En medarbejder, der tier af frygt, kan betyde, at et angreb går ubemærket hen i dage eller uger.

CERT.dk, som er det nationale IT-sikkerhedsorgan i Danmark, udgiver løbende vejledninger og advarsler om aktuelle cybertrusler, som du kan bruge som en del af din medarbejdertræning.

Incident response-planlægning

Selv med de bedste sikkerhedsforanstaltninger på plads kan et angreb ikke udelukkes fuldstændigt. Spørgsmålet er ikke blot om din virksomhed bliver ramt, men hvornår — og vigtigere: hvor godt forberedt er I?

Hvad er en incident response-plan?

En incident response-plan (IRP) er en dokumenteret, trinstvis procedure for, hvad virksomheden gør, når et sikkerhedshændelse opstår. Planen sikrer, at der ikke spildes kostbar tid på at finde ud af, hvem der gør hvad, mens angrebet er i gang.

En grundlæggende IRP bør indeholde:

  1. Identifikation: Hvordan opdager og bekræfter vi, at en hændelse har fundet sted?
  2. Indeslutning: Hvilke systemer skal isoleres for at forhindre spredning?
  3. Udrydning: Hvordan fjerner vi truslen fra vores systemer?
  4. Genoprettelse: Hvordan gendanner vi normal drift fra backup?
  5. Kommunikation: Hvem skal kontaktes — medarbejdere, kunder, myndigheder?
  6. Læring: Hvad kan vi gøre bedre fremover?

Lovmæssige forpligtelser ved databrud

Vær opmærksom på, at virksomheder under GDPR er forpligtet til at anmelde brud på persondatasikkerheden til Datatilsynet inden for 72 timer, hvis bruddet udgør en risiko for fysiske personers rettigheder og frihedsrettigheder. Manglende anmeldelse kan resultere i betydelige bøder. Sørg for, at din incident response-plan inkluderer en klar procedure for GDPR-anmeldelse.

Overvej desuden at gennemgå, om din eksisterende teknologiske infrastruktur er bygget til at understøtte sikker vækst. Valget af de rette digitale platforme og rammer har direkte indflydelse på dit sikkerhedsniveau — læs eksempelvis om, hvilke overvejelser du bør gøre i artiklen Sådan vælger du det rette webframework til dit projekt.

Test din plan regelmæssigt

En incident response-plan er kun nyttig, hvis den rent faktisk virker i praksis. Gennemfør mindst én gang om året en tabletop-øvelse, hvor relevante medarbejdere gennemspiller et hypotetisk angrebsscenarie trin for trin. Det afslører huller i planen og sikrer, at alle kender deres roller, inden krisen opstår.

Du kan finde internationale standarder og vejledninger til incident response-planlægning hos NIST Cybersecurity Framework, som er et anerkendt referencepunkt for virksomheder i alle størrelser.

Tag det første skridt i dag

Cybersikkerhed kan virke overvældende, men det behøver ikke at være det. Start med det grundlæggende: opdater dine systemer, aktivér to-faktor godkendelse på alle kritiske konti, og sørg for at have en fungerende backup-løsning. Disse tre tiltag alene kan dramatisk reducere din risiko for et vellykket angreb.

Dernæst involverer du dine medarbejdere, laver en simpel incident response-plan og arbejder dig gradvist frem mod et mere modent sikkerhedsniveau. Cybersikkerhed er ikke et projekt med en slutdato — det er en løbende proces, der vokser med din virksomhed. Jo tidligere du starter, desto bedre stillet er du, når truslen uundgåeligt banker på døren.

Hos NetPlus hjælper vi dig med at navigere den digitale verden sikkert og strategisk. Har du spørgsmål til din virksomheds cybersikkerhed, er du altid velkommen til at tage kontakt.

Trine Thorsen
Trine Thorsen
Skribent & redaktør · NetPlus
Teknologistrateg med passion for digital transformation og online innovation. Jeg hjælper virksomheder og privatpersoner med at navigere i tech-landskabet og udnytte digitale løsninger til vækst.

Relaterede artikler