Små virksomheder mangler cybersecurity-ledelse – her er løsningen

Cyberangreb koster danske små og mellemstore virksomheder (SMV’er) i gennemsnit over 2 millioner kroner. Samtidig ligger lønnen for en it-sikkerhedschef (CISO) på mellem 2 og 4 millioner kroner om året. Det viser den seneste CISO-rapport 2026 fra Sophos og Cybersecurity Ventures. Mange SMV’er kan ikke bære disse omkostninger og håber blot på, at de ikke bliver ramt – en risikabel strategi for virksomheder, der udgør rygraden i dansk erhvervsliv.

En virtuel it-sikkerhedschef (vCISO) eller deltidsbaseret it-sikkerhedschef (fCISO) kan være en praktisk løsning. Efterhånden som økonomien digitaliseres, er SMV’er i stigende grad afhængige af de samme systemer som store virksomheder: skybaserede løsninger, betalingssystemer, fjernadgang, kundedata og tredjepartsleverandører. Uden erfaren ledelse ender cybersecurity imidlertid ofte som en samling af værktøjer, tjeklister, forsikringspapirer og leverandørrådgivning – en løsning, der måske klarer et spørgeskema, men ikke bygger reel modstandsdygtighed.

Cybertruslen vokser – og rammer SMV’er hårdest

Næsten halvdelen af alle rapporterede cyberangreb involverer mindre virksomheder. Den globale økonomiske skade forventes at nå 12,2 billioner dollars årligt inden 2031. Truslen bliver både større og mere sofistikeret. Hackere bruger i stigende grad AI til at automatisere angreb, udvikle skadelig software og gennemføre phishing-kampagner i stor skala. Det reducerer omkostninger og kompetencebehov for at målrette SMV’er.

Desuden indsamler hackere krypteret data med det formål at dekryptere det senere, når kvantecomputere bliver tilgængelige. Virksomheder inden for forsvarsindustri, sundhedssektoren og finansielle forsyningskæder håndterer ofte følsomme data, der giver adgang til større virksomheders systemer – men de fleste er ikke forberedte på at implementere kvantebestandig kryptering.

Manglende ledelse er det største problem

SMV’er er klar over, at de står over for cyberrisici. Det egentlige problem er manglen på lederskab: en person, der kan omsætte tekniske sårbarheder til forretningsmæssige beslutninger, prioritere indsatser, rådgive direktionen, forberede revisioner og holde leverandører ansvarlige. For de fleste SMV’er er det imidlertid økonomisk urealistisk at ansætte en fuldtids it-sikkerhedschef.

En virtuel it-sikkerhedschef tilbyder fjernbaseret, on-demand lederskab og rådgivning og støtter typisk flere organisationer samtidig. En deltidsbaseret it-sikkerhedschef er en dedikeret, deltidsekspert, der er mere integreret i virksomhedens daglige drift og strategiske planlægning. Begge modeller giver SMV’er adgang til senior-ekspertise på en fleksibel og økonomisk overkommelig måde.

Offentlig støtte kan gøre forskellen

Regeringen bør gøre det lettere for SMV’er at ansætte deltidsbaserede it-sikkerhedschefer, da markedet ikke selv løser dette problem. Cybersecurity and Infrastructure Security Agency (CISA) og Small Business Administration (SBA) kan hjælpe ved at udgive købervejledninger: verificerede kriterier for evaluering af leverandører, eksempel på arbejdsomfang og leverancer samt cases, der viser, hvordan en høj kvalitets vCISO- eller fCISO-ordning bør se ud.

Klar vejledning er afgørende, fordi mange SMV’er har svært ved at skelne mellem ægte cybersecurity-ledelse og en leverandør, der kun sælger værktøjer, compliance-konsulenter eller generiske it-servicekontrakter. Vejledningen bør fremhæve erfaring med at opbygge og drive sikkerhedsprogrammer, uafhængighed af leverandørincitamenter og produktkvoter samt dokumenteret ekspertise inden for relevante brancher.