Forsvarets Efterretningstjeneste (FE) konkluderer i UDSYN 2025, at Danmark står over for flere og mere alvorlige trusler og sikkerhedspolitiske udfordringer end i mange år – og at Rusland samtidig fører hybridkrig mod NATO og Vesten.
Det er ikke kun et anliggende for myndigheder og de største virksomheder. Det er særligt relevant for danske SMV’er, der leverer til kritisk infrastruktur som lufthavne og energiinfrastruktur – samt til medicinal‑ og fødevareindustrien. Når Danske virksomheders kunder er NIS2‑omfattede, bliver deres sikkerhedsniveau i praksis en del af kundernes risikostyring og leverandørkrav.
Hybridtruslen rammer ofte dér, hvor sikkerhedsniveauet er lavest
I sin ikke‑klassificerede vurdering af den hybride trussel mod Danmark (udarbejdet 3. oktober 2025) vurderer FE bl.a., at Rusland for øjeblikket fører en hybrid krig mod NATO og Vesten. Samtidig angiver FE trusselsniveauer, hvor truslen fra sabotage er HØJ, og truslen fra destruktive cyberangreb mod Danmark er MIDDEL.
FE beskriver også, at hackergrupper, der støtter Rusland, siden 2023 i stigende grad har udført simple destruktive cyberangreb mod bl.a. vestlig kritisk infrastruktur – og nævner som eksempel et angreb i december 2024, hvor vandrør sprang på et dansk vandværk, så kunder kortvarigt stod uden vand.
For lufthavne og relaterede leverandørkæder er det samtidig værd at notere, at FE omtaler hybride virkemidler som forstyrrelse/jamming af både civile og militære skibes og flys kommunikation og GPS‑signaler.
Informatinos-Kronjuvlerne og konsekvensen af at overskride RTO/RPO
I de SMV‑miljøer, der leverer til kritisk infrastruktur, er crown jewels typisk kunderelaterede databaser eller IP (intellektuelle rettigheder): proces‑ og produktviden, tegninger, testdata, leverandør‑/kundeinformationer og dokumentation til audits. RTO og RPO varierer, men fællesnævneren er den samme: Hvis tiderne eller mængden af data overskrides, er konsekvenserne alvorlige – fra leverancesvigt og kontraktbrud til regulatoriske og omdømmemæssige effekter.
Fra risikoanalyse til strategi – det praktiske minimum
Et robust cyberberedskab starter med en risikoanalyse, der kan bruges til beslutninger (ikke kun compliance):
Afgræns kritiske tjenester og data: Hvad må ikke stoppe – og hvad må ikke kompromitteres?
Gennemfør evt en BIA (Business Impact Analysis) for at forstå hvad det reelt vil betyde hvis et aktiv skulle blive kompromitteret.
Kortlæg adgangsveje og afhængigheder: driftspartner, fjernsupport, cloud/SaaS, tredjepartsmoduler og integrationer – og hvem der har privilegerede rettigheder.
Definér 3–5 sandsynlige scenarier: ransomware, kompromitteret fjernadgang/leverandørkonto, datalæk af IP, destruktiv påvirkning af systemer eller længerevarende utilgængelighed.
Prioritér efter konsekvens: Brug RTO/RPO og forretningsimpact til at vælge de få kontroller, der flytter risiko mest
Strategien bør derefter fokusere på “hygiejne med effekt”: MFA (især admin/fjernadgang), styring af privilegerede konti, segmentering mellem kontor‑IT og evt. OT/produktionsmiljø, sikker fjernadgang via kontrollerede jump‑løsninger med logging, patch‑ og sårbarhedsstyring – samt logning/overvågning der faktisk bliver fulgt op.
Gør beredskabet operationelt – ikke en papirtiger
Mange SMV’er har en Incident Response‑plan, men den er sjældent øvet og ofte forældet, og der mangler ofte en forhåndsaftale med en Incident Response‑partner. Når en hændelse eskalerer, er det for sent at forhandle kontrakt, adgang og roller. En konkret forbedring er derfor en IR‑retainer aftale med klare SLA’er, kontaktveje og mandat til hurtig handling.
Øv planen: En kvartalsvis bordøvelse (60–90 min.) tester beslutninger og kommunikation. En teknisk øvelse (fx restore‑test eller isolering af et segment) afslører de praktiske huller – og er ofte den hurtigste vej fra “papir‑plan” til reelt beredskab.
Budskabet fra FE er, at trusselsbilledet er blevet mere alvorligt, og at Rusland bruger hybride virkemidler – inkl. cyber – i forsøget på at lægge pres på og skabe usikkerhed i Vesten.
