Kort fortalt
Digital suverænitet i en SMV handler først om få robuste kontrolpunkter: systemoverblik, domæne- og mailkontrol, testet backup, leverandørkrav, dokumentformater og realistisk exit for de vigtigste systemer.
Kort fortalt
Digital suverænitet i en SMV handler ikke om at bygge en intern cloudplatform, udskifte alle leverandører eller gøre virksomheden teknologisk selvforsynende. For de fleste mindre organisationer handler det først om at kunne svare nøgternt på fem spørgsmål:
- Hvilke systemer og data kan vi ikke undvære?
- Kan vi gendanne kritiske data uden den primære leverandør?
- Kontrollerer vi selv domæne, mail, identitet og adgang?
- Kan vi få data ud i brugbare formater, hvis vi skal skifte?
- Hvilke leverandørvilkår gør os mest sårbare ved prisændringer, nedbrud, opkøb eller ophør?
Anbefalingen er at begynde med få kontroller, der kan gennemføres uden stor IT-afdeling: systemoverblik, backup- og gendannelsestest, domæne- og mailkontrol, adgangsstyring, leverandørkrav og dokumentformater. Først derefter giver større migrations- eller platformsspørgsmål mening.
Beslutningen artiklen hjælper med
Artiklen hjælper en mindre eller mellemstor organisation med at beslutte, hvad der er realistisk at gøre de næste 30, 90 og 180 dage for at mindske kritiske digitale afhængigheder.
Den konkrete beslutning er ikke, om virksomheden skal være “suveræn” i absolut forstand. Beslutningen er:
- hvilke afhængigheder der skal være kendte og accepterede
- hvilke der skal reduceres med enkle krav og rutiner
- hvilke der skal testes, før de bliver et problem
- hvilke større ændringer der bør vente, indtil overblikket er bedre
For en SMV er den største fejl ofte at starte for stort. Et ambitiøst skifte af kontorpakke, hosting eller fagsystem kan være rigtigt senere, men det er sjældent det bedste første skridt, hvis ingen har testet backup, kortlagt systemer eller læst de vigtigste kontraktvilkår.
Hvad der er særligt ved SMV’er
Mindre organisationer har ofte de samme kritiske afhængigheder som større organisationer, men færre specialister til at styre dem. Mail, kalender, økonomisystem, CRM, løn, webshop, fildeling, adgangsstyring, domæner, backup og brancheløsninger kan være forretningskritiske, selv om ingen internt har titel af arkitekt, CISO eller leverandørstyringsansvarlig.
Sikkerdigital.dk målretter sine syv råd om IT-sikkerhed til små og mellemstore virksomheder, som ikke nødvendigvis har en IT-sikkerhedsansvarlig ansat, og anbefaler at begynde med overblik over centrale data og systemer. Det er også et godt udgangspunkt for digital suverænitet: man kan ikke styre en afhængighed, man ikke kan beskrive. Sikkerdigital.dk: De syv råd om IT-sikkerhed
ENISA’s vejledning for små og mellemstore virksomheder har samme praktiske karakter: små virksomheder skal først have styr på grundlæggende sikkerhed, roller, backup, opdateringer, adgang og beredskab, før de forsøger at løse mere avancerede teknologivalg. ENISA: Cybersecurity guide for SMEs
Digital suverænitet er derfor ikke et ekstra prestigeprojekt. Det er en måde at prioritere basale kontrolpunkter, så virksomheden ikke bliver unødigt sårbar over for én platform, én leverandør, én konto eller én nøgleperson.
En realistisk definition
For en SMV kan digital suverænitet defineres sådan:
Digital suverænitet er organisationens evne til at forstå, styre og om nødvendigt ændre sine vigtigste digitale afhængigheder uden uacceptabelt tab af drift, data, økonomi, sikkerhed eller handlefrihed.
Definitionen er bevidst praktisk. Den kræver ikke, at alt skal drives selv. Den kræver heller ikke, at globale leverandører fravælges. Den kræver, at organisationen ved, hvad den er afhængig af, og at de vigtigste afhængigheder ikke kun er baseret på håb, vane eller mundtlige leverandørløfter.
Prioriteringsstigen: start lavt, men start rigtigt
Brug prioriteringsstigen som en enkel rækkefølge. Den er ikke en modenhedsmodel for store organisationer. Den er et arbejdspapir for en ledelse, ejerkreds eller driftsperson, der har begrænset tid.
| Periode | Fokus | Hvorfor det kommer først | Bevis på fremdrift |
|---|---|---|---|
| 0-30 dage | Overblik, domæne, mail, backup og systemejer | Disse punkter kan lamme virksomheden hurtigt og kræver ikke et stort projekt at undersøge | Liste over kritiske systemer, ejer, leverandør, data, login, kontraktudløb og backupstatus |
| 30-90 dage | Leverandørkrav, adgangsstyring, eksport og dokumentformater | Her reduceres bindinger uden nødvendigvis at skifte system | Skriftlige svar fra leverandører, testet dataeksport, tofaktorlogin på kritiske konti og krav før fornyelse |
| 90+ dage | Ophørstest, alternativ analyse og arkitekturvalg ved fornyelse | Større beslutninger bør bygge på fakta om data, kontrakter og drift | Gendannelsestest, begrænset ophørssimulering, migrationsestimat eller beslutning om bevidst accept |
Pointen er ikke, at alle virksomheder skal gennemføre alt. Pointen er at undgå symbolsk suverænitet: store ord om uafhængighed, mens domæneadgangen ligger hos en tidligere konsulent, backup aldrig er gendannet, og økonomisystemets data kun kan eksporteres delvist.
Minimumskontrol 1: systemkortet
Start med et systemkort på én side. Det skal ikke være perfekt, og det skal ikke kræve et nyt værktøj.
For hvert kritisk system noteres:
| Felt | Spørgsmål |
|---|---|
| Forretningsfunktion | Hvilken drift stopper, hvis systemet er nede i 1, 7 eller 30 dage? |
| Data | Hvilke data ligger i systemet, og er de persondata, kundedata, økonomi, IP, produktion eller kontrakter? |
| Ejer | Hvem i virksomheden kan godkende ændringer, adgang og opsigelse? |
| Leverandør | Hvem leverer system, drift, support og eventuelle underleverandører? |
| Adgang | Hvordan fungerer login, tofaktorlogin, administratoradgang og nødadgang? |
| Backup | Hvad bliver sikkerhedskopieret, hvor ligger backup, og hvornår er gendannelse sidst testet? |
| Eksport | Kan data eksporteres med historik, metadata, bilag og relationer? |
| Kontrakt | Hvornår fornyes aftalen, og hvad står der om ophør, dataudtræk og bistand? |
Sikkerdigital.dk anbefaler, at virksomheder får overblik over de mest kritiske data og systemer, blandt andet fordi mange systemer er centrale for daglig drift og derfor skal prioriteres. Sikkerdigital.dk: overblik over data og systemer
Et brugbart første mål er ikke “komplet CMDB”. Det er, at ledelsen kan pege på de 10 vigtigste systemer og se, hvor der mangler ejer, backup, eksport eller kontraktklarhed.
Minimumskontrol 2: backup der kan bruges
Backup er ikke digital suverænitet alene, men uden brugbar backup bliver mange andre diskussioner teoretiske.
En SMV bør kende forskel på fire niveauer:
| Niveau | Hvad det betyder | Typisk svaghed |
|---|---|---|
| Ingen kendt backup | Ingen kan dokumentere, hvad der kopieres | Datatab opdages først ved hændelse |
| Leverandøren siger, at der er backup | Backup er en del af service, men kunden kender ikke indhold, frekvens eller gendannelsesproces | Virksomheden kan ikke vurdere, om backup dækker egne behov |
| Dokumenteret backup | Data, frekvens, opbevaring og ansvar er beskrevet | Gendannelse er stadig ikke afprøvet |
| Testet gendannelse | Udvalgte data er gendannet og kontrolleret i praksis | Bedre grundlag for beredskab og leverandørdialog |
Sikkerdigital.dk anbefaler, at virksomheder identificerer data, tager backup jævnligt, opbevarer backup sikkert og tester, at backup virker. Vejledningen understreger også, at man bør stille krav til leverandøren, hvis leverandøren håndterer backupprocessen. Sikkerdigital.dk: Tag backup af data
For digital suverænitet er det afgørende spørgsmål ikke kun “findes der backup?”. Det er:
- Kan vi få data ud uden den normale brugerflade?
- Kan vi gendanne til et sekundært miljø eller et andet system?
- Kan vi læse filerne, hvis leverandøren er utilgængelig?
- Ved vi, hvor længe vi kan tåle datatab og nedetid?
- Er backup beskyttet mod samme kompromittering som primærsystemet?
Hvis svaret er uklart for et kritisk system, er en lille gendannelsestest ofte mere værd end en stor strategirapport.
Minimumskontrol 3: domæne, mail og identitet
For mange SMV’er er domæne, mail og identitet de mest undervurderede kontrolpunkter. De er ikke nødvendigvis dyre, men de er fundamentale.
Ledelsen bør kende svarene på disse spørgsmål:
- Hvem står som ejer og administrativ kontakt på virksomhedens domæner?
- Hvem har administratoradgang til DNS, mail, website, webshop og identitetsplatform?
- Er der mindst to navngivne interne ansvarlige med sikker adgang?
- Er tofaktorlogin slået til for administratorer og kritiske konti?
- Kan virksomheden overtage adgang, hvis en ekstern konsulent, medarbejder eller leverandør forsvinder?
- Er mailarkiver, kontakter, kalenderdata og dokumenter dækket af eksport eller backup?
Dette er ikke en anbefaling om én bestemt mail- eller identitetsløsning. Det er en anbefaling om ejerskab. Hvis domæne og mail er svære at kontrollere, bliver næsten alle andre leverandørskift sværere.
Minimumskontrol 4: dataeksport og dokumentformater
Mindre organisationer undervurderer ofte forskellen på at kunne “downloade en CSV” og at kunne flytte en arbejdsgang.
For hvert kritisk system bør virksomheden teste en begrænset eksport:
- Hvilke data kommer med?
- Mangler historik, kommentarer, bilag, metadata, rettigheder eller relationer?
- Er formatet almindeligt, dokumenteret og maskinlæsbart?
- Kan en anden leverandør eller et andet system importere data uden specialprojekt?
- Kan eksporten gennemføres af virksomheden selv, eller kræver den leverandørens konsulenter?
GDPR giver registrerede personer ret til dataportabilitet i bestemte situationer, men den ret er ikke det samme som en virksomheds fulde exit-plan for økonomi, CRM, dokumenter, logs og arbejdsgange. GDPR artikel 20
Data Act er relevant for visse databehandlingstjenester, fordi den indeholder regler om skift mellem sådanne tjenester og om information, tekniske begrænsninger og portering. Den fjerner ikke de praktiske migrationsproblemer for en SMV, men den gør det mere rimeligt at stille konkrete spørgsmål om exit, formater og assistance før kontrakt eller fornyelse. Data Act kapitel VI
Anbefalingen er derfor enkel: test dataeksport for de vigtigste systemer, før I har brug for den.
Minimumskontrol 5: leverandørkrav uden tungt udbud
En SMV behøver ikke et stort udbudsapparat for at stille bedre krav. Den behøver en kort, fast spørgeliste, som bruges før nye aftaler og før fornyelse af kritiske systemer.
Brug disse spørgsmål:
| Område | Spørgsmål til leverandøren |
|---|---|
| Data | Hvilke data kan vi eksportere, i hvilke formater, og hvor ofte kan vi gøre det? |
| Metadata | Følger historik, bilag, relationer, rettigheder og logs med? |
| Backup | Hvad tager I backup af, hvor ofte, hvor opbevares den, og kan vi få dokumenteret gendannelsestest? |
| Ophør | Hvad sker der med data, konti, logs og adgang ved opsigelse? |
| Bistand | Hvilken hjælp yder I ved dataudtræk, migration og parallel drift, og hvad koster den? |
| Underleverandører | Hvilke væsentlige underleverandører indgår i drift, support og datahåndtering? |
| Sikkerhed | Hvordan håndteres adgang, tofaktorlogin, hændelser, sårbarheder og logadgang? |
| Dokumentation | Kan vi få konfiguration, integrationer og kontaktpunkter dokumenteret? |
Sikkerdigital.dk har særskilt vejledning om at stille sikkerhedskrav til IT-leverandører. For digital suverænitet bør sikkerhedskrav udvides med exit, dataeksport og dokumentation, fordi leverandørafhængighed ikke kun er en sikkerhedsrisiko, men også en drifts- og forhandlingsrisiko. Sikkerdigital.dk: Stil sikkerhedskrav til IT-leverandøren
Beslutningsmatrix: hvad skal gøres først?
Når systemkortet er lavet, bør virksomheden ikke forsøge at løse alt samtidig. Brug denne matrix til prioritering:
| Fund | Typisk beslutning | Første handling |
|---|---|---|
| Kritisk system uden kendt backup | Eskaler | Afklar backup og gennemfør begrænset gendannelsestest |
| Domæne eller mail styres reelt af ekstern part | Eskaler | Flyt ejerskab, roller og nødadgang til virksomheden |
| Kritisk system med uklare exit-vilkår og snarlig fornyelse | Forhandl | Stil krav om dataeksport, ophør, dokumentation og assistance før fornyelse |
| Data kan eksporteres, men ikke valideres | Test | Lav prøveeksport og kontroller indhold med forretningen |
| System er vigtigt, men let at forlade | Accepter | Dokumentér afhængigheden og review ved næste fornyelse |
| Større platformsskifte foreslås uden systemkort | Vent | Lav overblik, backup- og eksporttest før strategisk beslutning |
Den sidste række er vigtig. Digital suverænitet kan hurtigt blive et dyrt transformationsprojekt, hvis man starter med løsningen i stedet for afhængigheden.
Eksempel: 35 medarbejdere og ekstern IT-leverandør
Forestil dig en virksomhed med 35 medarbejdere. Den har ekstern IT-drift, en cloudbaseret kontorpakke, økonomisystem, CRM, lønsystem, webshop og brancheværktøj. Ingen internt er IT-specialist, men en driftschef koordinerer leverandører.
Første gennemgang viser:
| Område | Fund | Prioritet |
|---|---|---|
| Domæne | Domænet er registreret gennem en tidligere webkonsulent | Høj |
| Administratoradgang ligger hos IT-leverandøren; virksomheden har ikke nødprocedure | Høj | |
| Backup | Leverandøren bekræfter backup, men virksomheden har aldrig set en gendannelsestest | Høj |
| CRM | Kundedata kan eksporteres, men aktiviteter, bilag og samtykkehistorik er uklare | Mellem |
| Økonomi | Kontrakten fornyes automatisk om tre måneder; exit-bistand er ikke beskrevet | Høj |
| Dokumenter | Mange kundeskabeloner ligger i proprietære formater og personlige mapper | Mellem |
En realistisk 90-dages plan kunne være:
- Flyt domæneejerskab og administratorroller, så virksomheden har kontrolleret nødadgang.
- Gennemfør gendannelsestest for et afgrænset datasæt fra mail eller fildeling.
- Få skriftlige beskrivelser af backup, ophør og dataudtræk fra IT-leverandør og økonomileverandør.
- Test CRM-eksport og kontroller med salg og kundeservice, hvad der mangler.
- Indfør en enkel regel om, at kritiske dokumenter gemmes i aftalte formater og placeringer.
- Beslut om økonomisystemet kan fornyes, eller om fornyelse kræver bilag om exit og dokumentation.
Bemærk hvad planen ikke gør: Den anbefaler ikke et stort skifte af kontorpakke, hosting eller CRM som første skridt. Det kan blive relevant, men først når virksomheden ved, hvor bindingerne faktisk ligger.
Hvad man bør lade være med
Digital suverænitet bliver urealistisk for SMV’er, hvis emnet bliver gjort større end organisationens kapacitet.
Undgå især:
- at starte med ideologiske leverandørvalg uden systemkort
- at forveksle cloudfravalg med kontrol
- at forveksle open source med lav risiko
- at forveksle lokal leverandør med lav afhængighed
- at købe flere sikkerhedsprodukter uden at teste backup, adgang og beredskab
- at kræve koncerntung dokumentation fra alle små leverandører, også hvor systemet ikke er kritisk
- at planlægge migration uden forretningsgrundlag for parallel drift, dataoprensning og brugertræning
Open source, selv-hosting, europæisk cloud, lokale leverandører og åbne standarder kan alle være relevante. Men de er ikke genveje uden driftsansvar, kompetencebehov og afvejninger.
Afvejninger: hvornår afhængighed er acceptabel
En SMV bør ikke forsøge at fjerne alle afhængigheder. Det vil ofte skabe mere kompleksitet end robusthed.
Afhængighed kan være acceptabel, når:
- systemet ikke er kritisk
- data kan eksporteres eller genskabes
- kontrakten er kort og gennemskuelig
- leverandøren giver drift, sikkerhed eller support, som virksomheden ikke realistisk kan levere selv
- der findes en dokumenteret nødprocedure
- ledelsen bevidst har accepteret risikoen
Afhængighed bør derimod eskaleres, når:
- systemet er kritisk, men ingen kan forklare backup, exit eller ejerforhold
- mail, domæne, identitet og data er samlet hos én leverandør uden nødadgang
- kontrakten fornyes automatisk, før vilkår for ophør og dataudtræk er afklaret
- kun én ekstern person eller én intern nøglemedarbejder forstår opsætningen
- regeloverholdelse, kundedrift eller betalinger kan stoppe ved leverandørsvigt
For organisationer omfattet af NIS2 bliver leverandør- og forsyningskæderisici en del af cybersikkerhedsrisikostyringen. Mange SMV’er er ikke direkte omfattet, men principperne er stadig nyttige som styring: kend kritiske leverandører, adgange, afhængigheder og beredskab. NIS2 artikel 21
Første møde: 60 minutter
Et godt første møde kræver ikke et stort projektoplæg. Saml ejer, ledelse, ekstern IT-kontakt, økonomi eller administration og den person, der kender de vigtigste systemer.
Brug denne dagsorden:
- Hvilke 10 systemer ville skade os mest ved 7 dages utilgængelighed?
- Hvem ejer hvert system internt?
- Hvor ligger domæne, DNS, mail, identitet og administratoradgang?
- Hvilke systemer har vi dokumenteret backup og seneste gendannelsestest for?
- Hvilke aftaler fornyes inden for 12 måneder?
- Hvilke data kan vi eksportere i dag, og hvilke har vi aldrig testet?
- Hvilke tre afhængigheder skal reduceres eller testes først?
Mødets output bør være en kort prioriteret liste, ikke en lang rapport. For en SMV er fremdrift ofte vigtigere end metodisk perfektion.
Kilder
- Sikkerdigital.dk: De syv råd om IT-sikkerhed
- Sikkerdigital.dk: Sådan får I overblik over virksomhedens vigtige data og systemer
- Sikkerdigital.dk: Tag backup af data
- Sikkerdigital.dk: Stil sikkerhedskrav til IT-leverandøren
- ENISA: Cybersecurity guide for SMEs - 12 steps to securing your business
- Europa-Parlamentets og Rådets forordning (EU) 2023/2854, Data Act
- Europa-Parlamentets og Rådets forordning (EU) 2016/679, GDPR
- Europa-Parlamentets og Rådets direktiv (EU) 2022/2555, NIS2
Dette er generel information og ikke juridisk rådgivning.