Alt for få virksomheder stiller cybersikkerhedskrav til deres leverandører
Jan Stentoft er professor på Syddansk Universitet og beskæftiger sig med forsyningskæder, resiliens og cybersikkerhed.
Cybersikkerhed er blevet et emne som de fleste forholder sig aktivt til. Og mange danske virksomheder har godt styr på det tekniske omkring IT- og OT-systemer. Men cybersikkerhed handler ikke kun om teknik. Det handler også om udsyn, om sikre værdikæder og om at orientere sig mod omverdenen for at vide hvad der rør sig hos de kriminelle og i verden generelt. Og her halter det desværre i den danske produktionssektor. Det viser en ny undersøgelse.
16. april 2026 / Cybersikkerhed
Truslen fra ondsindede aktører i cyberspace er meget reel. Dansk erhvervsliv er ofte i forbrydernes søgelys og en ny analyse, der bygger på svar fra 155 danske produktionsvirksomheder, viser, at 25 procent af virksomhederne har været ramt af cyberangreb inden for de seneste par år.
”Der er derfor god grund til at tage truslen alvorligt og prioritere arbejdet med cybersikkerhed. Og det er der da heldigvis også mange der gør,” siger Jan Stentoft, der er professor på Syddansk Universitet.
Han beskæftiger sig især med forsyningskæder og teknologiledelse, og er en af forfatterne bag den nye undersøgelse.
”Vi kan se i tallene, at de fleste virksomheder har godt greb om de tekniske dele af cybersikkerhedsindsatsen. Basale ting som rettidig installation af sikkerhedsopdateringer, overblik over tilsluttede enheder og tilpasning af cybersikkerhed til OT-systemer er der – groft skåret – fint styr på,” fortæller Jan Stentoft og fortsætter:
”Men det tekniske kan ikke stå alene, og der er nogle af tallene i vores undersøgelse, som jeg synes er alarmerende. Især i forhold til cybersikkerhed i værdikæden, men også når vi kigger på virksomhedernes evner til at navigere i en omskiftelig verden med et højt og foranderligt trusselsbillede. Det skal der fokuseres mere på, hvis virksomhederne vil styrke sig og fremstå som cybersikre og pålidelige samarbejdspartnere.”
Sikkerhed i værdikæden vægtes overraskende lavt
Den nye undersøgelse er en del af projektet Cybersikkerhed og forretningskontinuitet, som Syddansk Universitet, Forsvarsakademiet og Industriens Fond har igangsat i forbindelse med fondens særlige fokus på cybersikre værdikæder i dansk erhvervsliv.
Og tallene i rapporten viser desværre tydeligt, at hele idéen med at fokusere på cybersikkerheden i værdikæderne er relevant og højaktuel – for emnet prioriteres alt for lavt i industrien.
Undersøgelsen
Med besvarelser fra 155 danske produktionsvirksomheder ser undersøgelsen nærmere på arbejdet med cybersikkerhed, værdikæder, udsyn og meget andet.
Undersøgelsen”Noget af det der træder negativt frem i undersøgelsen er, at virksomhederne kun i begrænset omfang stiller cybersikkerhedskrav i deres aftaler med leverandører og kunder. Det er skidt og tyder på en lav modenhed i håndteringen af cybersikkerhed i værdikæden. Og der er også andre tal i undersøgelsen, som peger i samme retning. Samlet set efterlader det et billede af en dansk produktionssektor, der ikke er opmærksom nok på de udfordringer der kan opstå, hvis der ikke er styr på sikkerheden i værdikæderne,” siger Jan Stentoft og peger på endnu et opmærksomhedspunkt:
”Den verden der omgiver virksomhederne, ændrer sig i disse år med høj hastighed. Og mange af ændringerne påvirker erhvervslivet. Men tallene i vores rapport viser, at de danske virksomheder kun i begrænset omfang evner at identificere, udnytte og tilpasse sig cyberrelaterede muligheder og trusler. Det øger risikoen for forsinkede reaktioner og svækker virksomhedernes langsigtede robusthed.”
Øget udsyn skal stå højt på agendaen
Det begrænsede fokus på geopolitiske scenarier, international hacker-aktivitet, krige, konflikter, sanktioner, lovgivning og andre udefrakommende faktorer er et problem, vurderer SDU-professoren, og henviser til, at rapporten også indikerer, at arbejdet med geopolitisk risikostyring er relativt svagt i produktionssektoren.
Konferencer
Virksomheder har, ved forskellige events, kunnet prøve kræfter med værktøjer fra projektet.
Uddannelse
Erfaringer fra projektets virksomhedsnære aktiviteter bruges til undervisning af ledere.
Formidling
Partnerkredsen i projektet bruger mange timer på at formidle resultater fra projektet.
Det bør føre til, at både små og mellemstore virksomheder intensiverer arbejdet med cybersikkerhed i egen biks, men i høj grad også i værdikæderne og med et øget udsyn mod omverdenen.
Kun på den måde kan virksomhederne og deres strategiske og organisatoriske håndtering af geopolitik forbedres.
”Det er klart, at der ligger en stor ledelsesopgave i at få de her ting på plads. Vi kan se af vores undersøgelse, at virksomhedernes daglige ledelse allerede trækker et stort læs i forhold til at få optimeret cybersikkerheden. Til gengæld viser tallene, at der er plads til forbedringer, når vi kigger på bestyrelsernes indsats på området. Så her kunne der godt være gode genveje til at løfte sikkerheden og styrke værdikæderne. Og det er altså en god investering,” fortæller Jan Stentoft.
Der er hjælp at hente
Analysen med de mange indsigter fra danske produktionsvirksomheder er blot ét af mange delelementer i projektet Cybersikkerhed og forretningskontinuitet.
Et andet vigtigt fokus har været udviklingen af metoder, modeller og værktøjer, som dansk erhvervsliv kan benytte i sit arbejde med at øge cybersikkerhed og udsyn.
Projektet har således – gennem konkrete aktiviteter i danske virksomheder, praksisnær forskning og eksisterende teori inden for cybersikkerhed og supply chain management – udviklet letanvendelige værktøjer og relevante scenarieeksempler som virksomheder kan bruge i sikkerhedsindsatser såvel internt i virksomheden som i virksomhedens værdikæder og partnerskaber.
Både værktøjer, den nye undersøgelse og relevante case-oplæg er en del af programmet for projektets afsluttende konference, der afholdes den 29. april 2026.
Værktøjer
En lang række af værktøjer er til rådighed for virksomheder der vil arbejde med cybersikkerhed, værdikæder, scenarier og udsyn.
Værktøjer
