Økonomi & Finans

Fra uformel praksis til dokumenteret sikkerhed: Sådan forbereder danske SMV’er sig på ISO 27001 certificering i 2026

Henrik Andersen
Henrik Andersen
Redaktør, Company in Denmark
 · 20. maj 2026 · 11 min læsning

Du har måske allerede “styr på sikkerhed” i praksis — men når en stor kunde beder om dokumentation, en offentlig kontrakt kræver kontroller, eller en leverandørkæde pludselig refererer til NIS2 og DORA, opdager mange danske SMV’er i 2026, at det uformelle ikke længere er nok.

I denne artikel får du et praktisk overblik over, hvad en struktureret certificeringsproces kræver: hvad et ISMS er i hverdagen, hvordan en gap-analyse gennemføres, hvordan risikovurdering gøres operationel, og hvad intern og ekstern audit reelt forventer af dig. Du får også konkrete pejlemærker for tidsforbrug, ressourcebehov, typiske fejl og hvornår certificering faktisk styrker din konkurrenceposition.

Hvorfor informationssikkerhed pludselig bliver et salgs- og adgangskrav i 2026

For mange iværksættere og virksomhedsejere handler informationssikkerhed ikke længere primært om “IT”. Det handler om at kunne blive godkendt som leverandør, vinde udbud og passere kunders due diligence. Kravene kommer både fra store private kunder (vendor risk management), fra offentlige udbud og fra EU-regulering, der presser ned gennem leverandørkæder.

NIS2 skærper kravene til cybersikkerhed for en række sektorer og deres leverandører, og DORA stiller tydelige forventninger til IKT-risikostyring i finanssektoren, som ofte sender krav videre til underleverandører. Selvom din virksomhed ikke er direkte omfattet, kan du blive indirekte ramt, når din kunde skal dokumentere, at deres leverandører ikke er den svage led.

Det typiske SMV-problem: I gør meget rigtigt, men kan ikke bevise det

Jeg ser ofte virksomheder med fornuftige praksisser: MFA på mail, adgangsstyring i cloud, backup, onboarding/offboarding og en “sund paranoia” omkring phishing. Men når spørgeskemaet kommer, eller auditoren spørger efter evidens, opstår hullet: Hvem har besluttet kontrollerne? Hvornår er de sidst testet? Hvilke systemer er i scope? Hvor er risikovurderingen? Hvilke afvigelser er accepteret og hvorfor?

En kort definition: Hvad er et ISMS, og hvorfor betyder det noget?

Et ISMS (Information Security Management System) er et ledelsessystem, der gør informationssikkerhed styrbart og dokumenterbart gennem politikker, risikovurdering, kontroller, målinger og løbende forbedringer. Pointen er ikke flere dokumenter for dokumenternes skyld, men at skabe en gentagelig måde at beskytte data på — og kunne vise det til kunder, myndigheder og auditorer.

Hvad et ISMS indebærer i praksis (ikke i teorien)

Et ISMS bliver først værdifuldt, når det afspejler, hvordan virksomheden faktisk arbejder. I praksis består det af et sæt beslutninger, rutiner og evidens, der binder sikkerhed sammen med forretningen.

De byggesten, som næsten altid skal på plads

  • Scope: Hvilke forretningsområder, systemer, lokationer og data er omfattet?
  • Informationsklassifikation: Hvad er følsomt, og hvordan håndteres det?
  • Risikostyring: Metode, kriterier og ansvar for vurdering og behandling.
  • Kontroller: Tekniske og organisatoriske foranstaltninger (fx adgangsstyring, logging, leverandørstyring).
  • Hændelseshåndtering: Hvordan opdages, eskaleres og læres der af incidents?
  • Træning og awareness: Dokumenteret introduktion og løbende opdatering.
  • Ledelsesforankring: Roller, beslutningsforum og prioritering af ressourcer.

Dokumentation som “bevis”, ikke som bureaukrati

Den dokumentation, der gør forskellen, er den der kan efterprøves: udtræk fra IAM, log- eller ticket-system, referater fra risikomøder, ændringshistorik, testresultater fra backup-restore, leverandørvurderinger og godkendelser. Hvis din sikkerhed kun lever i folks hoveder eller i Slack-tråde, er den svær at sælge som moden.

Gap-analysen: Sådan finder du afstanden mellem “nu” og kravene

En gap-analyse er den hurtigste måde at få et realistisk billede af, hvor du står i forhold til en standard eller et kundekrav. Den afdækker både manglende kontroller og manglende evidens. Mange virksomheder har kontrollerne, men ikke sporbarheden.

Sådan gennemfører du en gap-analyse, der kan bruges til en plan

  1. Definér mål og reference: fx ISO 27001, kundekrav, NIS2-inspirerede minimumskrav.
  2. Fastlæg scope tidligt: vælg hellere et afgrænset, forretningskritisk scope end “hele virksomheden” fra dag 1.
  3. Indsaml eksisterende materiale: politikker, procedurer, systemoversigter, leverandørlister, logs, kontrakter.
  4. Interview nøglepersoner: IT, drift, HR, salg, ledelse, evt. produkt/udvikling.
  5. Vurdér modenhed pr. område: ikke kun “findes/ findes ikke”, men om det efterleves og kan dokumenteres.
  6. Prioritér gaps efter risiko og forretningsimpact: hvad blokerer udbud, hvad reducerer reelle risici.

Typiske fund i danske SMV’er

De mest almindelige gaps ligger sjældent i “mangler MFA”. De ligger i: uklart scope, uformel leverandørstyring, manglende risikoregister, ingen fast proces for adgangsrecertificering, mangelfuld logning/overvågning, og at backup aldrig er restore-testet. Et andet klassisk fund er, at HR-processer (onboarding/offboarding, rolleændringer) ikke er koblet tæt nok til adgangsstyring.

Risikovurdering, der ikke ender som et regneark i skuffen

Risikostyring er kernen i et ISMS, fordi den forklarer “hvorfor” dine kontroller giver mening. For at fungere i praksis skal metoden være enkel nok til at blive brugt, men stringent nok til at kunne forklares til en auditor.

En pragmatisk model: Aktiver, trusler, sårbarheder, konsekvens

Start med at identificere dine vigtigste informationsaktiver: kundedata, produktionssystemer, kildekode, økonomisystem, HR-data, kontrakter. For hvert aktiv vurderer du relevante trusler (phishing, ransomware, fejlkonfiguration i cloud, insider, leverandørsvigt) og sårbarheder (manglende segmentering, for brede rettigheder, ingen overvågning). Herefter vurderer du konsekvens og sandsynlighed ud fra klare kriterier.

Gør risikovurderingen operationel med behandlingsplaner

En risikovurdering skaber først værdi, når den munder ud i beslutninger: accepter, reducer, overfør eller undgå risiko. Og når “reducer” vælges, skal der være en konkret plan: hvad gør vi, hvem ejer opgaven, deadline, og hvilken evidens viser, at det er implementeret. Auditors leder efter sporbarhed fra risiko til kontrol til bevis.

Et eksempel: Hvis risikoen er “uautoriseret adgang til kundedata i CRM”, kan behandlingen være princip om mindst privilegium, kvartalsvis adgangsrecertificering, MFA, logging af administrative handlinger og en testet offboarding-proces. Evidens kan være adgangsrapporter, recertificeringssign-off, logudtræk og en ticket-historik.

Hvornår giver det strategisk mening at gå hele vejen til certificering?

Mange kan komme langt med at arbejde struktureret uden formel certificering. Men i 2026 ser jeg især tre situationer, hvor det giver strategisk mening at gå hele vejen: når du ofte møder krav i udbud, når enterprise-kunder kræver tredjepartsverifikation, eller når du vil bruge sikkerhed som en differentierende faktor i et marked med lav tillid.

Hvis du står der, er ISO 27001 certificering typisk den mest anerkendte “valuta” i Danmark og EU, fordi den både adresserer styring (ledelsessystemet) og dokumentation (kontroller og evidens) på en måde, som indkøbere og compliance-funktioner kan genkende.

Som tommelfingerregel: Hvis du bruger mange timer på at svare på sikkerhedsspørgeskemaer, og kravene varierer fra kunde til kunde, kan certificering reducere friktion ved at give et standardiseret bevis. Hvis dine kunder derimod primært er små, og datafølsomheden er lav, kan et lettere program (fx interne politikker, risikoregister og basiskontroller) være et bedre første skridt.

Intern audit: Det er her, du finder sandheden om efterlevelse

Intern audit er ikke en “prøve”, men en kontrolleret måde at opdage svagheder, før andre gør det. Den tester både om dine processer findes, og om de bliver fulgt. For SMV’er er den største udfordring ofte at få audit til at være uafhængig nok uden at blive tung.

Hvad intern audit typisk kræver af jer

  • En auditplan (hvad auditeres hvornår) og en metode (checklister, interview, stikprøver).
  • Adgang til evidens: tickets, logudtræk, kontrakter, politikversioner, træningsregistre.
  • Tid fra nøglepersoner til interview og opfølgning på findings.
  • Afvigelsesstyring: registrering, korrigerende handlinger og verifikation af lukning.

Faldgrube: “Vi auditerer vores dokumenter, ikke vores virkelighed”

En klassisk fejl er at gennemføre intern audit som en dokumentgennemgang: “har vi en politik?” i stedet for “bliver den fulgt?”. Skift fokus til stikprøver. Hvis du fx har en procedure for offboarding, så udvælg fem fratrådte medarbejdere og verificér, at adgange blev fjernet rettidigt, og at der findes sporbarhed.

Ekstern audit: Hvad certificeringsorganet faktisk kigger efter

Ekstern audit handler om at vurdere, om dit ledelsessystem og dine kontroller opfylder kravene, og om de er implementeret effektivt. Den opleves ofte som stressende første gang, men bliver langt mere forudsigelig, når du har styr på scope, risici og evidens.

Stage 1 vs. Stage 2 (og hvorfor Stage 1 ofte undervurderes)

Stage 1 er typisk en readiness-gennemgang: scope, centrale dokumenter, risikometode, Statement of Applicability og overordnet modenhed. Stage 2 går i dybden med implementeringen via interviews og evidens. Hvis Stage 1 afslører, at scope er uklart, eller at risikostyringen ikke hænger sammen, kan du spare mange frustrationer ved at rette det tidligt.

Hvad gør en audit “dyr” i tid?

Det er sjældent selve auditdagene. Det er jagten på evidens, når den ligger spredt: lidt i e-mail, lidt i et gammelt SharePoint, lidt i en medarbejders lokale mappe. Et simpelt, konsekvent evidensbibliotek (med versionsstyring) kan reducere tidsforbruget markant. Hvis det ikke kan findes på 5 minutter, findes det ikke i audit-verdenen.

Tid, ressourcer og omkostninger: Hvad du realistisk skal regne med

Spørgsmålet “hvad koster det?” afhænger af scope, modenhed og hvor meget du kan løfte internt. For en typisk dansk SMV (10–100 ansatte) ser jeg ofte, at den største omkostning er intern tid: at få processer beskrevet, implementeret og efterlevet.

Som et pragmatisk estimat bruger mange virksomheder 3–9 måneder fra beslutning til audit-klarhed for et afgrænset scope, og 6–12 måneder hvis scope er bredt eller hvis der er mange leverandører/systemer. Internt kræver det typisk en ansvarlig (fx en security/compliance lead) med 0,2–0,6 FTE i perioden, plus bidrag fra IT, HR og ledelse. Ekstern hjælp kan accelerere, men kan ikke erstatte ejerskab.

Direkte udgifter kan omfatte certificeringsorganets audit, eventuelle værktøjer til risikostyring eller dokumentation, og konsulentbistand. Hvis du vil styre budgettet, så vær bevidst om scope: En skarp afgrænsning (fx “SaaS-platform og tilhørende supportprocesser”) kan være forskellen på et overkommeligt projekt og et, der trækker ud.

De mest almindelige faldgruber — og hvordan du undgår dem

De fejl, der oftest forsinker en certificeringsproces, er overraskende ens på tværs af brancher. De handler mere om styring end om teknik.

  • For bredt scope fra start: Start med det, der driver omsætning og kundekrav, og udvid senere.
  • Politikker uden forankring: Hvis medarbejdere ikke forstår “hvorfor”, bliver det hyldevare. Brug korte, konkrete retningslinjer og træning med cases.
  • Risikoregister uden beslutninger: Sørg for, at risici har ejere, deadlines og ledelsesbeslutninger om accept.
  • Leverandører glemmes: Cloud, hosting, løn, CRM, udviklingspartnere. Hav en enkel proces for vurdering, kontraktkrav og opfølgning.
  • Manglende evidensdisciplin: Aftal hvor beviser gemmes, og hvad der tæller som evidens (tickets, rapporter, logs).
  • Ingen rytme: ISMS er en cyklus. Planlæg faste tidspunkter for risikoreview, adgangsrecertificering og ledelsesreview.

En god praksis er at tænke i “minimum viable ISMS”: få de kritiske processer stabile, mål dem, og forbedr dem. Overdreven perfektion tidligt skaber ofte modstand og udmattelse.

Sådan kommer du i gang: En handlingsorienteret plan for de næste 30 dage

Hvis du vil tage et konkret næste skridt uden at låse dig fast på en stor beslutning, kan du bruge de første 30 dage på at skabe klarhed og momentum.

  1. Vælg et foreløbigt scope og skriv det ned i én side: systemer, data, teams, grænser.
  2. Lav en simpel system- og datakortlægning: hvor ligger kundedata, hvem har adgang, hvilke leverandører er involveret.
  3. Gennemfør en mini-gap-analyse mod et sæt krav (fx ISO 27001-områder) og prioriter top 10 gaps.
  4. Definér risikokriterier (konsekvens/sandsynlighed) og opret et risikoregister med 10–20 reelle risici.
  5. Aftal evidensstruktur: et fælles bibliotek med navngivning, ejerskab og versionsstyring.
  6. Planlæg to faste møder: månedligt risikoreview og kvartalsvis ledelsesreview.

Efter 30 dage bør du kunne svare klart på: Hvad er vores vigtigste risici? Hvad er vores største dokumentationshuller? Hvilke krav møder vi i markedet? Og er det realistisk at sigte efter formel certificering inden for 6–12 måneder, eller skal vi først modne fundamentet?

Kilder

Henrik Andersen
Henrik Andersen
Skribent & redaktør · Company in Denmark
Henrik er erhvervskonsulent med 15 års erfaring i virksomhedsrådgivning og startup-udvikling. Han specialiserer sig i danske forretningsprocesser, regulering og vækststrategier for små og mellemstore virksomheder.

Relaterede artikler