Ny cyberaftale giver SMV’er et digitalt sikkerhedsløft – men økonomien halter stadig

Af /

image text

Ny cyberaftale giver SMV’er et digitalt sikkerhedsløft – men økonomien halter stadig

40 procent af Danmarks små og mellemstore virksomheder har et sikkerhedsniveau, der ikke står mål med den risiko, de reelt er udsat for. Samtidig rammer professionelle hackerangreb nu lige så hårdt i den lokale produktionsvirksomhed, webshoppen eller håndværksfirmaet som i ministerier og koncerner. Derfor er den nye brede politiske aftale om landets fremtidige cyber- og informationssikkerhed langt mere end endnu et kabeltræk i maskinrummet – den får direkte betydning for hverdagen i tusindvis af virksomheder.

SMVdanmark kalder aftalen et vigtigt og længe ventet skridt. Særligt etableringen af en ny national SMV-CERT-enhed, styrket vejledning gennem erhvervshusene, udvidet cyberværnepligt og flere erhvervsrettede uddannelsespladser bliver fremhævet som konkrete forbedringer, der kan mærkes på gulvet. Til gengæld kritiserer organisationen, at politikerne endnu en gang har undladt at indføre målrettede fradrag eller straksafskrivninger til investeringer i it-sikkerhed.

Cybertruslen rammer hele værdikæden – ikke kun de store

Direktør i SMVdanmark, Jesper Beinov, gør det klart, at trusselsbilledet for længst har ændret sig. Cyberangreb er ikke længere et nicheproblem for højt profilerede institutioner.

Tre centrale pointer fra SMVdanmark om truslen:

  • Angreb rammer stadig oftere mindre virksomheder – både direkte og via underleverandører.
  • Et enkelt angreb kan lamme driften, stoppe produktion, låse lager- og økonomisystemer og koste kunder.
  • Brud på kundedata og personoplysninger kan skade omdømme og medføre bøder og erstatningskrav.

Mange B2B-virksomheder indgår i komplekse værdikæder, hvor de leverer komponenter, delydelser eller data til større aktører. Hvis en underleverandør kompromitteres, kan det påvirke hele kæden. Derfor er styrket sikkerhed på SMV-niveau ikke kun et spørgsmål om at beskytte den enkelte virksomhed, men om at holde hele det danske erhvervsliv kørende.

SMV-CERT: Nyt nationalt værn for mindre virksomheder

Den mest markante nyskabelse i aftalen er etableringen af en dedikeret SMV-CERT-enhed, der skal arbejde målrettet med sikkerhed for mindre og mellemstore virksomheder. Hvor den nationale CERT-indsats hidtil primært har været orienteret mod statslige og større kritiske aktører, bliver der nu afsat kræfter til den del af erhvervslivet, som oftest mangler både budget og specialister.

Hvad kan SMV-CERT betyde i praksis?

  • Målrettet trusselsinformation: Oversættelse af teknisk tung viden til konkrete, operationelle anbefalinger, som mindre virksomheder kan handle på.
  • Hurtigere respons ved angreb: Mulighed for koordineret hjælp, erfaringsdeling og støtte, når en virksomhed rammes.
  • Fælles standarder og værktøjer: Enhedlige retningslinjer, tjeklister og skabeloner, så virksomheder slipper for at opfinde sikkerhedsarbejdet fra bunden.

For en typisk B2B-virksomhed uden egen it-afdeling kan forskellen være markant: Hvor sikkerhed i dag ofte håndteres ad hoc af en driftsansvarlig eller direktøren selv, kan SMV-CERT blive den faste livline, der både forebygger hændelser og hjælper med at minimere skaderne, når uheldet er ude.

Deep insight 1: Fra ”best effort” til struktureret sikkerhed

En af de største udfordringer i mindre virksomheder er, at sikkerhed sjældent er forankret som en egentlig ledelsesdisciplin. Det bliver noget, man ”gør, når man får tid”. Med en national SMV-CERT er der potentiale for at løfte sikkerhedsarbejdet op på et mere systematisk niveau:

  • Ledelsen kan bruge nationale anbefalinger som pejlemærker i stedet for at navigere i tilfældige leverandørråd.
  • Risikovurdering kan standardiseres, så investeringer prioriteres efter reel risiko – ikke tilfældige mavefornemmelser.
  • Virksomheder kan dokumentere over for kunder, at de arbejder efter anerkendte retningslinjer, hvilket kan blive et konkurrenceparameter i udbud og B2B-samarbejder.

På den måde bliver sikkerhed ikke kun en omkostning, men et element i forretningsstrategien, der både mindsker risiko og styrker tilliden i markedet.

Styrket vejledning gennem erhvervshuse og målrettet rådgivning

Et andet centralt element i aftalen er en udbygning af erhvervshusenes rolle. De regionale erhvervshuse har i forvejen en tæt kontakt til virksomhederne, men fremover skal de i højere grad fungere som indgang til rådgivning om digital sikkerhed.

Det nye set-up rummer flere konkrete forbedringer:

  • Bedre forebyggende vejledning: Virksomheder kan få hjælp til at identificere deres vigtigste systemer, processer og data – og få anbefalinger til de første, mest effektive skridt.
  • Opsøgende rådgivning: I stedet for at vente på, at virksomhederne selv henvender sig, skal erhvervshusene i højere grad ud i marken og aktivt tilbyde hjælp.
  • Støtte til certificering: Midler til certificeringshjælp kan gøre det mere realistisk for en mindre leverandør at opnå fx ISO 27001 eller andre relevante standarder.

For B2B-virksomheder, som ofte arbejder med større kunder, kan netop certificering være nøglen til at fastholde eller vinde kontrakter. Flere store virksomheder kræver allerede dokumenteret sikkerhedsniveau hos deres leverandører. Her kan støtte til certificering være forskellen på adgang til et marked – eller et nej tak.

Deep insight 2: Sikkerhed som konkurrenceparameter – ikke konkurrenceulempe

Jesper Beinov peger på en vigtig pointe: Hvis kravene til sikkerhed stiger, uden at mindre virksomheder får redskaber til at følge med, bliver sikkerhed en konkurrenceulempe for netop de virksomheder, der har færrest ressourcer. Aftalens fokus på vejledning og certificeringshjælp går imod den udvikling.

Det åbner blandt andet for:

  • Flere kvalificerede leverandører: Når flere SMV’er kan dokumentere deres sikkerhedsniveau, øger det konkurrencen i leverandørkæderne.
  • Mindre afhængighed af få store aktører: Store virksomheder kan vælge blandt flere leverandører, uden at gå på kompromis med sikkerheden.
  • Stærkere lokal forankring: Regionale og lokale leverandører, der lever op til sikkerhedskrav, kan fastholde ordrer, som ellers ville søge mod større kæder eller internationale spillere.

For B2B-markedet betyder det i sidste ende mere robust konkurrence – og en lavere systemisk risiko, fordi flere led i værdikæden er hærdede mod angreb.

Cyberværnepligt og uddannelse: Flere hænder og hoveder til sikkerhedsopgaver

Aftalen udvider samtidig den danske cyberværnepligt. Det giver mulighed for at uddanne flere unge med stærke digitale kompetencer, som efterfølgende kan gøre en forskel i både offentlige og private virksomheder.

Kombinationen af flere værnepligtige med cyberprofil og flere erhvervsrettede studiepladser, plus bedre adgang til efteruddannelse, er særlig interessant set fra et B2B-perspektiv:

  • Virksomheder, der mangler it-sikkerhedsprofiler, får et bredere rekrutteringsgrundlag.
  • Eksisterende medarbejdere kan opkvalificeres, så sikkerhed integreres i drift, udvikling, produktion og salg.
  • Viden fra militære og statslige miljøer kan i højere grad finde vej til mindre virksomheder via konsulenter, ansatte eller samarbejder.

Deep insight 3: Fra mangel på kompetencer til tværfaglige sikkerhedsteams

Et tilbagevendende problem for mindre virksomheder er ikke kun mangel på budgetter, men mangel på mennesker med viden om sikkerhed. Selv hvis ledelsen ønsker at investere, kan det være svært at finde de rette profiler. Aftalens fokus på uddannelse og cyberværnepligt kan på sigt ændre den virkelighed.

Potentialet ligger ikke kun i flere specialister, men i opbygningen af tværfaglige teams, hvor fx produktionschefen forstår de mest kritiske systemer, salgschefen kender risici ved kundedata, og en intern eller ekstern it-ansvarlig kan omsætte det til tekniske tiltag.

Når kompetencerne løftes bredt, kan virksomheder arbejde med sikkerhed som en integreret del af forretningsudviklingen: Nye digitale services, SMV-e-handel, kundelogin, fjernsupport, IoT og automatisering kan designes med sikkerhed indbygget fra start i stedet for som et eftertænkt lag.

Den økonomiske barriere: Hvorfor manglende fradrag skuffer SMVdanmark

Selvom SMVdanmark samlet set roser aftalen, er der ét markant hul: Manglen på skattefradrag eller straksafskrivninger målrettet investeringer i digital sikkerhed. Organisationen har længe argumenteret for, at økonomi er en hovedbarriere for mindre virksomheders investeringer i fx:

  • Opgradering af servere, firewall og netværksudstyr
  • Implementering af backup- og gendannelsesløsninger
  • Indkøb af overvågnings- og logningsværktøjer
  • Ekstern sikkerhedsrådgivning og penetrationstest
  • Certificeringsforløb og audit

For en mindre virksomhed kan udgiften til et struktureret sikkerhedsprojekt være betydelig i forhold til omsætningen. Uden målrettede fradrag eller hurtigere afskrivningsmuligheder må investeringerne ofte konkurrere med maskiner, rekruttering eller ekspansion. Det kan udskyde vigtige tiltag i årevis – indtil et angreb eller et kunde­krav gør dem uundgåelige.

SMVdanmark lægger derfor op til at fortsætte dialogen med politikerne om at få økonomiske incitamenter med i næste runde. Pointen er enkel: En relativt begrænset skattemæssig håndsrækning kan for mange virksomheder være det, der tipper beslutningen fra udsættelse til handling.

Hvad betyder aftalen konkret for en B2B-virksomhed?

For læsere på b2bonline.dk er spørgsmålet ikke kun, hvad aftalen indeholder på papiret, men hvordan den vil kunne mærkes i praksis. Groft sagt kan man se på tre tidshorisonter: her og nu, de næste 1–3 år og det længere strategiske sigte.

På kort sigt: Lettere adgang til hjælp og viden

  • Virksomheder kan forvente mere målrettet vejledning via erhvervshusene.
  • Der vil gradvist komme mere lettilgængelig information, tjeklister og værktøjer udviklet specifikt til mindre virksomheder.
  • Bevidstheden omkring krav til sikkerhed i leverandørkæder kan stige, når politikere og brancheorganisationer sætter fokus på emnet.

For mange vil første skridt være at tage en snak med erhvervshuset om, hvor virksomheden står i dag, og hvilke lavthængende frugter der kan plukkes uden store investeringer.

På mellemlangt sigt: Flere krav – men også bedre værktøjer

  • Større kunder og offentlige ordregivere kan begynde at skærpe deres krav til leverandørers dokumenterede sikkerhed.
  • Certificering eller dokumenteret efterlevelse af standarder kan blive afgørende i udbud og større B2B-aftaler.
  • SMV-CERT kan udvikle fælles baseline-niveauer og anbefalinger, som branchen samler sig om.

For virksomheder, der vil stå stærkt, gælder det om hurtigt at få et overblik over, hvilke krav kunderne sandsynligvis vil stille om 2–3 år, og begynde at bygge det nødvendige sikkerhedsniveau op allerede nu.

På længere sigt: Sikkerhed integreret i forretningen

  • Flere medarbejdere vil have sikkerhedsforståelse som en naturlig del af deres faglighed.
  • Digitale produkter og services vil i stigende grad skulle designes med sikkerhed og compliance som salgsargument.
  • Virksomheder, der investerer tidligt, kan bruge deres dokumenterede sikkerhedsniveau som konkurrencefordel – især i internationale B2B-sammenhænge.

Dem, der venter, risikerer modsat at stå i en forsvarsposition, hvor sikkerhedsprojekter gennemføres under pres, fordi de er blevet et krav, snarere end et aktivt strategisk valg.

Tre strategiske skridt SMV’er bør tage nu

Mens lovgivningen rulles ud, og SMV-CERT etableres, er der en række skridt, små og mellemstore virksomheder selv kan tage for at stå stærkere – uden at skulle vente på næste politiske udspil.

1. Gennemfør en enkel risikovurdering af forretningen

Start med at stille nogle få, men centrale spørgsmål:

  • Hvilke systemer kan vi reelt ikke undvære i mere end 24 timer?
  • Hvilke data ville skade os mest, hvis de blev offentliggjort eller slettet?
  • Hvilke kunder eller samarbejdspartnere vil blive påvirket, hvis vi går ned?

Disse svar giver et hurtigt overblik over, hvor virksomheden er mest sårbar – og hvor første investering bør ligge. Mange bliver overraskede over, hvor meget der afhænger af helt konkrete systemer som økonomi, lager, produktionsstyring eller CRM.

2. Forankr ansvar for sikkerhed i ledelsen

Uanset virksomhedens størrelse bør der være en navngiven person i ledelsen, der har det overordnede ansvar for sikkerhed. Vedkommende behøver ikke være tekniker, men skal have mandat til at:

  • Prioritere og godkende de vigtigste tiltag.
  • Følge op på, at aftalte tiltag faktisk gennemføres.
  • Stille krav til eksterne it-leverandører om dokumenteret sikkerhed.

Det sender et klart signal internt og eksternt om, at sikkerhed tages alvorligt – og reducerer risikoen for, at ansvaret ”forsvinder” mellem it, drift og økonomi.

3. Kombinér tekniske løsninger med træning af medarbejdere

Mange alvorlige hændelser starter med en enkelt kompromitteret konto eller et klik på et ondsindet link. Derfor er det ikke nok at købe nye systemer; adfærden skal med.

En effektiv basispakke kan bestå af:

  • To-faktor-login på mail, økonomisystemer, cloud-løsninger og andre kritiske systemer.
  • En kort, gentaget træning af medarbejdere i phishing, stærke adgangskoder og håndtering af mistænkelig aktivitet.
  • Etablering af klare procedurer: Hvem kontaktes, hvis der opdages noget mistænkeligt? Hvordan reagerer virksomheden de første 60 minutter?

Med aftalens styrkede vejlednings- og uddannelsesindsats vil der blive lettere adgang til netop denne type materiale og kurser – men gevinsten er størst for de virksomheder, der begynder tidligt.

Hvorfor politisk fokus på SMV-sikkerhed også er makroøkonomi

At flytte sikkerhed op på dagsordenen for landets små og mellemstore virksomheder er ikke kun et brancheønske. Det er også et spørgsmål om samfundsøkonomi. SMVdanmark repræsenterer omkring 18.000 virksomheder på tværs af brancher – men hele SMV-segmentet i Danmark tæller langt flere.

Når en mindre aktør i en kritisk forsyningskæde rammes, kan konsekvenserne brede sig:

  • Forsinkelser i produktion hos større industrivirksomheder.
  • Problemer i logistik, lager og distribution.
  • Udskudte byggeprojekter, serviceopgaver eller implementeringer.

Et løft af sikkerhedsniveauet i bredden er derfor en indirekte forsikring af eksport, offentlige tjenester og store anlægs- og infrastrukturprojekter. Derfor kan investeringer i støtteordninger, uddannelse og rådgivning på sigt være billigere for samfundet end at klare regningen for store hændelser, der starter hos mindre leverandører.

Balancen mellem regulering og incitamenter er ikke på plads endnu

Den nye aftale tegner et billede af, at politikerne vil styrke rammerne for cybersikkerhed i SMV’er gennem vejledning, fælles enheder og kompetenceopbygning. Men diskussionen om økonomiske incitamenter – fradrag, puljer, krav i udbud – er langt fra slut.

For B2B-virksomheder betyder det, at udviklingen de kommende år vil blive formet af to parallelle spor:

  • Frivillig opgradering: Virksomheder, der ser sikkerhed som en del af deres forretning og brand, vil gå forrest og bruge de nye tilbud aktivt.
  • Regulatorisk pres: Branchen vil gradvist opleve, at krav fra lovgivning og fra store kunder trækker de øvrige med – især når dokumenteret sikkerhed gøres til adgangsbillet til ordrer.

SMVdanmark signalerer med sin kritik af de manglende fradrag, at man ønsker at tippe balancen lidt mere over mod incitamenter frem for kun krav. Om det lykkes i næste politiske forhandling, vil være afgørende for, hvor hurtigt det brede lag af virksomheder får løftet deres sikkerhedsniveau.

Sådan kan du som B2B-virksomhed udnytte aftalen strategisk

Den nye cyberaftale er ikke kun endnu en lovpakke, som man passivt må forholde sig til. For virksomheder, der tænker langsigtet, rummer den også en mulighed for at positionere sig klogt i forhold til kunder, konkurrenter og samarbejdspartnere.

  • Brug SMV-CERT som sparringspartner: Hold øje med, når enheden rulles ud, og udnyt dens anbefalinger som fundament for virksomhedens sikkerhedsstrategi.
  • Planlæg certificeringsrejse: Undersøg, hvilke standarder, der er mest relevante i jeres branche, og brug kommende støtteordninger til at planlægge et realistisk forløb.
  • Integrér sikkerhed i salg og markedsføring: Når jeres sikkerhedsniveau løftes, kan det synliggøres i tilbud, på website og i dialogen med kunder som et konkret argument for tillid.
  • Opbyg partnerskaber: Overvej samarbejde med andre virksomheder om fælles uddannelse, erfaringsudveksling og deling af rådgivere eller sikkerhedstjenester.

Med andre ord: Jo tidligere sikkerhed behandles som en strategisk investering på linje med digitalisering, automatisering og eksport, desto større bliver afkastet – både i reduceret risiko og i nye forretningsmuligheder.

Næste skridt for virksomheder, der vil tage forspringet

Den politiske cyberaftale markerer begyndelsen på en ny fase, hvor krav, forventninger og støtte til cybersikkerhed i SMV’er vil stige i takt. For B2B-virksomheder, der vil bruge udviklingen aktivt i stedet for at blive overhalet, er de vigtigste skridt nu:

  • Få overblik over jeres kritiske systemer, data og afhængigheder i værdikæden.
  • Udpeg en ansvarlig i ledelsen og læg en enkel, flerårig plan for sikkerhedsinvesteringer.
  • Kontakt jeres regionale erhvervshus for at afklare, hvilke rådgivnings- og støtteordninger der allerede findes – og hvad der er på vej.
  • Drøft med nøglekunder, hvilke sikkerhedskrav de forventer at stille fremover, så I kan forberede jer i tide.

De kommende år vil vise, om aftalen bliver startskuddet til et reelt løft af cybersikkerhed i SMV’er – eller kun et første skridt, der kræver flere økonomiske incitamenter for at få hele bredden med. Men én ting er sikker: For de virksomheder, der handler nu, bliver cybersikkerhed ikke kun en omkostning, men en klar styrkeposition i B2B-markedet.

Skriv en kommentar

Scroll to Top