Oversigt:

De dyreste it-sikkerhedsfejl er sjældent tekniske – de er organisatoriske. Og med skærpede lovkrav er konsekvenserne af ikke at have styr på tingene for alvor til at mærke.

  • Tre eksempler, der er nemme at overse, og hvordan du undgår dem
  • Sanktioner, tab og følgeomkostninger
  • Personligt ansvar for direktør og bestyrelse – ikke kun for virksomheden

Vis mere
Skjul

Det er sjældent de avancerede cyberangreb, der forårsager de største skader.

Det er sjældent de avancerede cyberangreb, der forårsager de største skader. De dyreste it-sikkerhedsfejl er sjældent tekniske – de er organisatoriske. Og med skærpede lovkrav er konsekvenserne af ikke at have styr på tingene for alvor til at mærke.

At man ikke blot forsvarer sig mod trusler, men proaktivt opbygger, dokumenterer og opretholder en stærk digital modstandsdygtighed, er ikke længere et valg – det er et lovkrav. Den nye NIS2-lovgivning, som officielt trådte i kraft fra EU's side, markerer et tydeligt skift. Antallet af danske virksomheder, der er direkte omfattet, er mangedoblet over natten. Dertil kommer titusindvis af underleverandører, som påvirkes indirekte.

Men den største forandring ligger i de økonomiske og juridiske konsekvenser af at have mangler i sin interne kontrol. De nye juridiske spilleregler i korthed:

  • Millionbøder som standard: Overtrædelser af cybersikkerhedslovgivningen kan føre til bøder på op til 10 millioner euro eller 2 % af den globale årlige omsætning (afhængigt af hvad der er højest).
  • Dobbelt bødesmæk: Hvis manglerne desuden vedrører adgang til persondata, kan GDPR anvendes separat, hvilket tilføjer yderligere potentielle bøder på op til 4 % af omsætningen.
  • Personligt ansvar: Direktør (CEO) og bestyrelse kan nu holdes direkte personligt ansvarlige. Det kræver ikke engang, at der faktisk er sket et angreb – at have mangler i sine processer er i sig selv tilstrækkeligt til at udløse sanktioner.

Det er let at lade sig narre af følelsen af, at "der ikke sker noget", fordi tidligere EU-direktiver har manglet tænder. Men nu er der ingen tvivl. Fejlkonfigurerede rettigheder, mangelfulde rutiner og processer med utydeligt ejerskab bliver hurtigt en direkte forretningsrisiko.

Her er tre almindelige organisatoriske fejl, der hænger sammen og forstærker hinanden – og hvordan dit ERP-system kan forhindre dem.

1. Fireøjne-princippet overses - intern kontrol følger ikke med, når virksomheden vokser.

At en og samme person kan kontrollere flere trin i et følsomt økonomisk flow, sætter sporbarheden ud af spil og åbner op for intern svindel og dyre fejl.

At en og samme person kontrollerer mere end ét trin i et følsomt økonomisk flow, kan få katastrofale konsekvenser for virksomheden. Det bør ikke være muligt for én person for eksempel at oprette en leverandør og godkende fakturaer på samme tid, eller oprette ordrer for derefter at godkende betalingerne – alligevel er det udbredt selv i større virksomheder, som er lovmæssigt forpligtet til at opretholde funktionsadskillelse (Segregation of Duties, SoD).

Risiciene ved, at samme person kontrollerer mere end ét trin i et økonomisk flow, er mange. Det indebærer en øget risiko for utilsigtede fejl, misbrug og svindel, som hverken ses i en alarmlog eller opdages ved en overfladisk gennemgang. En alarmlog registrerer afvigelser fra systemets regler – men hvis en person har legitim rettighed til at udføre begge trin, ser systemet intet mistænkeligt. En overfladisk gennemgang kontrollerer, at trinnene er udført, ikke at de er udført af det rette antal personer. Det, der mangler, er et uafhængigt sæt øjne et sted i flowet – og det opdages ikke, før nogen aktivt leder efter det.

Når det er bevidst, kan det stå på i måneder, nogle gange år, inden det opdages. Svindel via manglende funktionsadskillelse opdages i gennemsnit først efter 12 til 18 måneder. Ud over det direkte økonomiske tab kommer der omkostninger til undersøgelser, revision og juridisk rådgivning.

At have mangler i sin funktionsadskillelse sker nemt. En kollega dækker ind for en anden, og gamle vaner som "sådan har vi altid gjort" hænger ved, når virksomheden vokser. Risiciene forsvinder ikke, før I fjerner dem strukturelt. Det kræver et tydeligt ejerskab, der sikrer, at rettigheder og kontroller vedligeholdes over tid.

Og det er vigtigt at tilføje - funktionsadskillelse beskytter ikke kun organisationen, det beskytter også den enkelte medarbejder. En person med for store beføjelser er ubeskyttet, hvis noget går galt. Hvis et beløb forsvinder, eller en leverandør viser sig at være fiktiv, lander mistanken let på den, der har haft adgang til hele flowet – uanset om vedkommende er skyldig eller ej.

Sådan siger cybersikkerhedsloven om funktionsadskillelse (i korthed)

Segregation of Duties (SoD) er et grundkrav i EU's regelsæt, og organisationer, der er omfattet af NIS2-kravene, skal kunne fremvise streng kontrol over rettigheder. Ved en revision skal der kunne fremvises digitale logfiler og systemspærringer, der beviser, at funktionsadskillelsen opretholdes.

Økonomisk tab og omkostninger ved manglende funktionsadskillelse

At have mangler i sin funktionsadskillelse kan medføre et hårdt økonomisk slag på flere planer ud over de juridiske sanktioner, for eksempel:

  • Interne tab: De penge, I mister på grund af intern svindel og dyre, uopdagede fejl i håndteringen af fakturaer, lønninger og lager.
  • Skjulte følgeomkostninger: Løbske revisionshonorarer, højere lånerenter på grund af øget risikoprofil samt tabte forretningsmuligheder, når kunder vælger leverandører fra, der mangler pålidelige kontroller.

System og struktur for sikker funktionsadskillelse

Et moderne ERP-system bygger funktionsadskillelsen direkte ind i arbejdsgangene – ikke som en regel, nogen skal huske at følge, men som en struktur, der aktivt forhindrer, at forkerte kombinationer af rettigheder tildeles den samme person. Systemet blokerer kombinationer, der skaber rum for svindel, og flagger afvigelser automatisk, uanset arbejdsbelastning, ferie eller personaleudskiftning.

Parallelt skabes dybe, digitale revisionsspor – audit trails – som logger hvem, der har gjort hvad, hvornår det blev gjort, og fra hvilken enhed. Ved en revision kan den information eksporteres direkte som en færdig rapport.

2. Ukontrollerede rettigheder – mangel på styring af, hvem der har adgang til hvad

Mangler i jeres identitetsstyring kan være en tikkende bombe for skjulte og løbske omkostninger – med millionbøder som risiko.

Rettigheder i ERP-systemer har en tendens til at vokse organisk. Og at medarbejdere over tid samler flere systemrettigheder sammen, end de har brug for, risikerer at maksimere skaden ved et eventuelt indbrud. Ikke at have kontrol over sine digitale identiteter risikerer at åbne døren for kontokapringer, som både kan føre til datatyveri, manipulation af finansielle oplysninger eller at skadelig kode installeres i systemet.

Rettighedsskred (privilege creep) er mere udbredt, end man skulle tro. En kollega skifter rolle og får nye rettigheder, men de gamle fjernes ikke. En konsulent med midlertidig adgang glemmes. Uden en overordnet ansvarlig for rettigheder og automatiserede kontroller kan dette hurtigt blive som et lydløst, løbsk tog, ubemærket indtil det brager sammen...

Ifølge flere sikkerhedsvirksomheder, herunder Truesec, starter over 70 % af alle succesfulde cyberangreb mod virksomheder med, at angriberen overtager en brugerkonto eller udnytter svage/forkerte adgangsrettigheder.

Sådan siger cybersikkerhedsloven om identitetsstyring og adgangskontrol (i korthed)

Identitetsstyring og streng adgangskontrol er et grundkrav i EU's regelsæt, og organisationer, der er omfattet af cybersikkerhedsloven, skal kunne fremvise fuldstændig kontrol over digitale identiteter og hvem, der har adgang til hvad. Ved en revision skal der kunne fremvises digitale logfiler, sikre autentificeringsmetoder og systemspærringer, der beviser, at uautoriseret adgang forhindres.

Økonomisk tab og omkostninger ved manglende rettigheds- og identitetsstyring

At have mangler i sin kontrol over digitale identiteter og rettigheder er en risiko for dobbelte bøder og kan ud over de juridiske sanktioner indebære blandt andet:

  • Interne tab: Omkostningerne, der opstår ved kontokapringer og databrud, kan blive enorme – og de rammer ofte virksomheden i en i forvejen udsat situation.
  • Skjulte følgeomkostninger: Akutte omkostninger til it-forensiske undersøgelser og genoprettelse efter indbrud, højere forsikringspræmier. Desuden risikerer I tabte forretningsmuligheder, når kunder i stadig højere grad fravælger leverandører, der mangler en sikker identitetsstyring.

System og struktur for sikker rettigheds- og identitetsstyring

Et moderne ERP-system giver fuld kontrol over digitale identiteter gennem en streng rollebaseret rettighedsstruktur, der aktivt forhindrer rettighedsskred. Adgang kobles til specifikke roller frem for til enkelte personer – når nogen stopper, skifter rolle eller afslutter en opgave, opdateres rettighederne automatisk. Det betyder også, at virksomheden lettere kan undgå risikable løsninger som delte konti (shared accounts) - noget der desværre er alt for udbredt, men en stor risiko, der gør opfølgning og revision praktisk talt umulig.

Tidsbegrænset adgang for konsulenter og eksterne brugere ophører automatisk uden manuel opfølgning. Og med indbyggede revisionsspor, der logger hvem der har haft adgang til hvad, hvornår ændringer er foretaget og fra hvilken enhed, er der altid et aktuelt billede af rettighedsstatus – klar til at blive eksporteret ved en revision.

3. Sårbarhed ved forandring – når sikkerhedskontrollen tabes i farten

De tidspunkter, hvor virksomheden forandres mest, er ofte de tidspunkter, hvor sikkerheden er svagest. Det er sjældent et tilfælde.

Under omorganiseringer, stærk vækst, opkøb og systemskift rettes alles blikke naturligt fremad. Men midt i springet er der en stor risiko for, at virksomheden brat kastes bagud. Erfaringen viser, at mange sikkerhedshændelser i ERP-systemer sker netop i forbindelse med store forandringer.

Ifølge globale opgørelser af datalæk forårsages 20–25 % af alle sikkerhedshændelser af ansatte eller konsulenter. Dette er især udbredt ved omorganiseringer – oftest ikke af ond vilje, men på grund af forvirring omkring, hvem der faktisk har ansvaret for hvad.

I midlertidige processer, og når ansvarsfordelingen bliver uklar, havner de daglige sikkerhedsrutiner let i skyggen. Hvis der desuden konstant tilføjes nye lag af rettigheder, som derefter aldrig ryddes op i, skabes der hurtigt "sorte huller" i systemet – blinde vinkler, som bliver ekstremt dyre at undersøge efterfølgende. Resultatet bliver det stik modsatte af en succesfuld ekspansion eller digitalisering.

Sådan siger cybersikkerhedsloven om risikostyring ved forandring (i korthed)

Lovgivningen stiller eksplicitte krav til, at risikostyring og sikkerhedsforanstaltninger opretholdes kontinuerligt – ikke kun i stabil drift, men også under organisatoriske forandringer. Manglende risikostyring i forbindelse med omorganiseringer, opkøb eller systemskift er en eksplicit overtrædelse. Det kræver altså ikke, at et angreb har fundet sted for at give bøder – manglen i sig selv er tilstrækkelig.

Økonomisk tab og omkostninger for sårbarhed ved forandring

Når sikkerhedsrutiner havner i skyggen under omorganiseringer, opkøb eller hurtig vækst, bliver de økonomiske konsekvenser hurtigt mærkbare. Ud over juridiske sanktioner risikerer I:

  • Interne tab: Når nye lag af rettigheder tilføjes, uden at der ryddes op i de gamle, har cyberkriminelle kronede dage. Hvis en konto kapres under en kaotisk forandringsfase, risikerer spredningen og de økonomiske skader af databruddet at blive mange gange større, end de ellers ville have været.
  • Skjulte følgeomkostninger: Kaotiske processer og det at skulle finde ud af, hvem der gjorde hvad efterfølgende, kræver dyre undersøgelser. Manglende kontrol under vækstfaser kan føre til dumpede revisioner, forhøjede forsikringspræmier og tabte forretninger, når kunder og samarbejdspartnere kræver tydelige rettighedsstrukturer.

System og struktur ved forandringer i organisation og it-miljø

Forandringer i organisationen er den hyppigste årsag til, at kontrollen over rettigheder tabes. Et moderne ERP-system løser det strukturelt ved at koble adgang til roller frem for til enkelte personer. Når nogen stopper, skifter rolle eller afslutter en opgave, opdateres rettighederne automatisk.

I stedet for at rydde op efter hver omorganisering eller opkøb er strukturen indbygget fra starten og følger med, når organisationen forandres.

Det, der afgør, hvor dyrt det bliver, og hvem der får det største smæk

Disse risici hænger ofte sammen og forstærker hinanden. Alt er håndterbart, hvis det opdages i tide. Det, der afgør, om en hændelse bliver ved en mindre forstyrrelse eller får katastrofale følger, er, om organisationen efterfølgende kan vise, hvad der skete, hvornår det skete, og hvem der bar ansvaret.

En virksomhed, der mangler disse svar, har et kritisk svagt udgangspunkt over for revisorer, tilsynsmyndigheder og forsikringsselskaber. Under de nye lovkrav er fraværet af sporbarhed og intern kontrol ikke bare en operativ mangel – det er en direkte regelovertrædelse. Og den kommer med mærkbare økonomiske konsekvenser for virksomheden og et personligt ansvar for ledelsen.

Der findes ingen genveje uden om det grundlæggende: Ledelsen skal eje spørgsmålene, definere ansvaret og stille kravene. Et ERP-system kan indbygge kontrollerne, automatisere revisionen og skabe den sporbarhed, der kræves – men kun hvis organisationen har besluttet sig for at lade systemet gøre arbejdet.

5 hurtige - kender du svaret direkte og med fuld sikkerhed for din virksomhed?

  1. Ved I med 100 % sikkerhed, at ingen medarbejder kontrollerer mere end ét trin i et følsomt økonomisk flow – og kan I nemt bevise det ved en revision?
  2. Har alle i organisationen de rette systemrettigheder til deres nuværende job, og hvem bærer det overordnede ansvar for, at dette vedligeholdes løbende?
  3. Når nogen stopper eller skifter rolle - hvor lang tid går der så, før adgangen til ERP-systemet spærres, eller rettigheder fjernes? Har I en vandtæt proces for dette ved omorganiseringer eller når kolleger fratræder?
  4. Hvis I rammes af et mistænkt indbrud – hvor hurtigt kan I frembringe digitale logspor og dokumentation på, hvem der har haft adgang til hvad, hvornår det skete og fra hvilken enhed?
  5. Hvordan sikrer I, at sikkerhedsstrukturen i en nyligt opkøbt virksomhed opfylder jeres krav – og hvornår i processen foretages den kontrol?

Dato offentliggjort: 
1/7/2026
Dato opdateret: 
1/7/2026

Kategorier

No items found.

FAKTABOKS: NIS2-lovgivningen i korthed

NIS2-lovgivningen bygger på EU's direktiv for cybersikkerhed og er under løbende implementering i dansk lovgivning. Det nye regelsæt sigter mod en mere proaktiv tilgang og slår fast, at cybersikkerhed ikke er et it-spørgsmål – det er et ledelsesspørgsmål. Lovgivningen erstatter det tidligere NIS1-direktiv fra 2018 og er tydeligt skærpet på flere punkter, blandt andet:

  • Betydeligt flere virksomheder er omfattet.
  • Direktør (CEO) og bestyrelse kan holdes personligt ansvarlige ved mangler.
  • Meget strengere sanktioner - højere bøder og hårdere revision.
  • Tydelige tidsfrister for hændelsesrapportering.

Læs mere om NIS2-lovgivningen og cybersikkerhed hos Styrelsen for Samfundssikkerhed

FAKTABOKS: GDPR - databeskyttelsesloven

Når du som virksomhed i Danmark bruger personoplysninger, skal du overholde GDPR.

GDPR står for "General Data Protection Regulation" og er på dansk også kendt som databeskyttelsesforordningen. GDPR er EU-reglerne for databeskyttelse og gælder bl.a., når private virksomheder behandler oplysninger om personer (personoplysninger).

Alle danskere har som EU-borgere en række rettigheder i GDPR. Det betyder konkret, at når du som en privat virksomhed "behandler personoplysninger" om andre – dvs. indsamler, registrerer, videregiver eller sletter personoplysninger om f.eks. dine kunder eller ansatte – skal du overholde GDPR.

Læs mere om GDPR hos Datatilsynet.