Kort fortalt

Digital suverænitet i en SMV handler først om få robuste kontrolpunkter: systemoverblik, domæne- og mailkontrol, testet backup, leverandørkrav, dokumentformater og realistisk exit for de vigtigste systemer.

Prioriteringsstige for digital suverænitet i SMV’er

Kort fortalt

Digital suverænitet i en SMV handler ikke om at bygge en intern cloudplatform, udskifte alle leverandører eller gøre virksomheden teknologisk selvforsynende. For de fleste mindre organisationer handler det først om at kunne svare nøgternt på fem spørgsmål:

  1. Hvilke systemer og data kan vi ikke undvære?
  2. Kan vi gendanne kritiske data uden den primære leverandør?
  3. Kontrollerer vi selv domæne, mail, identitet og adgang?
  4. Kan vi få data ud i brugbare formater, hvis vi skal skifte?
  5. Hvilke leverandørvilkår gør os mest sårbare ved prisændringer, nedbrud, opkøb eller ophør?

Anbefalingen er at begynde med få kontroller, der kan gennemføres uden stor IT-afdeling: systemoverblik, backup- og gendannelsestest, domæne- og mailkontrol, adgangsstyring, leverandørkrav og dokumentformater. Først derefter giver større migrations- eller platformsspørgsmål mening.

Beslutningen artiklen hjælper med

Artiklen hjælper en mindre eller mellemstor organisation med at beslutte, hvad der er realistisk at gøre de næste 30, 90 og 180 dage for at mindske kritiske digitale afhængigheder.

Den konkrete beslutning er ikke, om virksomheden skal være “suveræn” i absolut forstand. Beslutningen er:

  • hvilke afhængigheder der skal være kendte og accepterede
  • hvilke der skal reduceres med enkle krav og rutiner
  • hvilke der skal testes, før de bliver et problem
  • hvilke større ændringer der bør vente, indtil overblikket er bedre

For en SMV er den største fejl ofte at starte for stort. Et ambitiøst skifte af kontorpakke, hosting eller fagsystem kan være rigtigt senere, men det er sjældent det bedste første skridt, hvis ingen har testet backup, kortlagt systemer eller læst de vigtigste kontraktvilkår.

Hvad der er særligt ved SMV’er

Mindre organisationer har ofte de samme kritiske afhængigheder som større organisationer, men færre specialister til at styre dem. Mail, kalender, økonomisystem, CRM, løn, webshop, fildeling, adgangsstyring, domæner, backup og brancheløsninger kan være forretningskritiske, selv om ingen internt har titel af arkitekt, CISO eller leverandørstyringsansvarlig.

Sikkerdigital.dk målretter sine syv råd om IT-sikkerhed til små og mellemstore virksomheder, som ikke nødvendigvis har en IT-sikkerhedsansvarlig ansat, og anbefaler at begynde med overblik over centrale data og systemer. Det er også et godt udgangspunkt for digital suverænitet: man kan ikke styre en afhængighed, man ikke kan beskrive. Sikkerdigital.dk: De syv råd om IT-sikkerhed

ENISA’s vejledning for små og mellemstore virksomheder har samme praktiske karakter: små virksomheder skal først have styr på grundlæggende sikkerhed, roller, backup, opdateringer, adgang og beredskab, før de forsøger at løse mere avancerede teknologivalg. ENISA: Cybersecurity guide for SMEs

Digital suverænitet er derfor ikke et ekstra prestigeprojekt. Det er en måde at prioritere basale kontrolpunkter, så virksomheden ikke bliver unødigt sårbar over for én platform, én leverandør, én konto eller én nøgleperson.

En realistisk definition

For en SMV kan digital suverænitet defineres sådan:

Digital suverænitet er organisationens evne til at forstå, styre og om nødvendigt ændre sine vigtigste digitale afhængigheder uden uacceptabelt tab af drift, data, økonomi, sikkerhed eller handlefrihed.

Definitionen er bevidst praktisk. Den kræver ikke, at alt skal drives selv. Den kræver heller ikke, at globale leverandører fravælges. Den kræver, at organisationen ved, hvad den er afhængig af, og at de vigtigste afhængigheder ikke kun er baseret på håb, vane eller mundtlige leverandørløfter.

Prioriteringsstigen: start lavt, men start rigtigt

Brug prioriteringsstigen som en enkel rækkefølge. Den er ikke en modenhedsmodel for store organisationer. Den er et arbejdspapir for en ledelse, ejerkreds eller driftsperson, der har begrænset tid.

PeriodeFokusHvorfor det kommer førstBevis på fremdrift
0-30 dageOverblik, domæne, mail, backup og systemejerDisse punkter kan lamme virksomheden hurtigt og kræver ikke et stort projekt at undersøgeListe over kritiske systemer, ejer, leverandør, data, login, kontraktudløb og backupstatus
30-90 dageLeverandørkrav, adgangsstyring, eksport og dokumentformaterHer reduceres bindinger uden nødvendigvis at skifte systemSkriftlige svar fra leverandører, testet dataeksport, tofaktorlogin på kritiske konti og krav før fornyelse
90+ dageOphørstest, alternativ analyse og arkitekturvalg ved fornyelseStørre beslutninger bør bygge på fakta om data, kontrakter og driftGendannelsestest, begrænset ophørssimulering, migrationsestimat eller beslutning om bevidst accept

Pointen er ikke, at alle virksomheder skal gennemføre alt. Pointen er at undgå symbolsk suverænitet: store ord om uafhængighed, mens domæneadgangen ligger hos en tidligere konsulent, backup aldrig er gendannet, og økonomisystemets data kun kan eksporteres delvist.

Minimumskontrol 1: systemkortet

Start med et systemkort på én side. Det skal ikke være perfekt, og det skal ikke kræve et nyt værktøj.

For hvert kritisk system noteres:

FeltSpørgsmål
ForretningsfunktionHvilken drift stopper, hvis systemet er nede i 1, 7 eller 30 dage?
DataHvilke data ligger i systemet, og er de persondata, kundedata, økonomi, IP, produktion eller kontrakter?
EjerHvem i virksomheden kan godkende ændringer, adgang og opsigelse?
LeverandørHvem leverer system, drift, support og eventuelle underleverandører?
AdgangHvordan fungerer login, tofaktorlogin, administratoradgang og nødadgang?
BackupHvad bliver sikkerhedskopieret, hvor ligger backup, og hvornår er gendannelse sidst testet?
EksportKan data eksporteres med historik, metadata, bilag og relationer?
KontraktHvornår fornyes aftalen, og hvad står der om ophør, dataudtræk og bistand?

Sikkerdigital.dk anbefaler, at virksomheder får overblik over de mest kritiske data og systemer, blandt andet fordi mange systemer er centrale for daglig drift og derfor skal prioriteres. Sikkerdigital.dk: overblik over data og systemer

Et brugbart første mål er ikke “komplet CMDB”. Det er, at ledelsen kan pege på de 10 vigtigste systemer og se, hvor der mangler ejer, backup, eksport eller kontraktklarhed.

Minimumskontrol 2: backup der kan bruges

Backup er ikke digital suverænitet alene, men uden brugbar backup bliver mange andre diskussioner teoretiske.

En SMV bør kende forskel på fire niveauer:

NiveauHvad det betyderTypisk svaghed
Ingen kendt backupIngen kan dokumentere, hvad der kopieresDatatab opdages først ved hændelse
Leverandøren siger, at der er backupBackup er en del af service, men kunden kender ikke indhold, frekvens eller gendannelsesprocesVirksomheden kan ikke vurdere, om backup dækker egne behov
Dokumenteret backupData, frekvens, opbevaring og ansvar er beskrevetGendannelse er stadig ikke afprøvet
Testet gendannelseUdvalgte data er gendannet og kontrolleret i praksisBedre grundlag for beredskab og leverandørdialog

Sikkerdigital.dk anbefaler, at virksomheder identificerer data, tager backup jævnligt, opbevarer backup sikkert og tester, at backup virker. Vejledningen understreger også, at man bør stille krav til leverandøren, hvis leverandøren håndterer backupprocessen. Sikkerdigital.dk: Tag backup af data

For digital suverænitet er det afgørende spørgsmål ikke kun “findes der backup?”. Det er:

  • Kan vi få data ud uden den normale brugerflade?
  • Kan vi gendanne til et sekundært miljø eller et andet system?
  • Kan vi læse filerne, hvis leverandøren er utilgængelig?
  • Ved vi, hvor længe vi kan tåle datatab og nedetid?
  • Er backup beskyttet mod samme kompromittering som primærsystemet?

Hvis svaret er uklart for et kritisk system, er en lille gendannelsestest ofte mere værd end en stor strategirapport.

Minimumskontrol 3: domæne, mail og identitet

For mange SMV’er er domæne, mail og identitet de mest undervurderede kontrolpunkter. De er ikke nødvendigvis dyre, men de er fundamentale.

Ledelsen bør kende svarene på disse spørgsmål:

  • Hvem står som ejer og administrativ kontakt på virksomhedens domæner?
  • Hvem har administratoradgang til DNS, mail, website, webshop og identitetsplatform?
  • Er der mindst to navngivne interne ansvarlige med sikker adgang?
  • Er tofaktorlogin slået til for administratorer og kritiske konti?
  • Kan virksomheden overtage adgang, hvis en ekstern konsulent, medarbejder eller leverandør forsvinder?
  • Er mailarkiver, kontakter, kalenderdata og dokumenter dækket af eksport eller backup?

Dette er ikke en anbefaling om én bestemt mail- eller identitetsløsning. Det er en anbefaling om ejerskab. Hvis domæne og mail er svære at kontrollere, bliver næsten alle andre leverandørskift sværere.

Minimumskontrol 4: dataeksport og dokumentformater

Mindre organisationer undervurderer ofte forskellen på at kunne “downloade en CSV” og at kunne flytte en arbejdsgang.

For hvert kritisk system bør virksomheden teste en begrænset eksport:

  • Hvilke data kommer med?
  • Mangler historik, kommentarer, bilag, metadata, rettigheder eller relationer?
  • Er formatet almindeligt, dokumenteret og maskinlæsbart?
  • Kan en anden leverandør eller et andet system importere data uden specialprojekt?
  • Kan eksporten gennemføres af virksomheden selv, eller kræver den leverandørens konsulenter?

GDPR giver registrerede personer ret til dataportabilitet i bestemte situationer, men den ret er ikke det samme som en virksomheds fulde exit-plan for økonomi, CRM, dokumenter, logs og arbejdsgange. GDPR artikel 20

Data Act er relevant for visse databehandlingstjenester, fordi den indeholder regler om skift mellem sådanne tjenester og om information, tekniske begrænsninger og portering. Den fjerner ikke de praktiske migrationsproblemer for en SMV, men den gør det mere rimeligt at stille konkrete spørgsmål om exit, formater og assistance før kontrakt eller fornyelse. Data Act kapitel VI

Anbefalingen er derfor enkel: test dataeksport for de vigtigste systemer, før I har brug for den.

Minimumskontrol 5: leverandørkrav uden tungt udbud

En SMV behøver ikke et stort udbudsapparat for at stille bedre krav. Den behøver en kort, fast spørgeliste, som bruges før nye aftaler og før fornyelse af kritiske systemer.

Brug disse spørgsmål:

OmrådeSpørgsmål til leverandøren
DataHvilke data kan vi eksportere, i hvilke formater, og hvor ofte kan vi gøre det?
MetadataFølger historik, bilag, relationer, rettigheder og logs med?
BackupHvad tager I backup af, hvor ofte, hvor opbevares den, og kan vi få dokumenteret gendannelsestest?
OphørHvad sker der med data, konti, logs og adgang ved opsigelse?
BistandHvilken hjælp yder I ved dataudtræk, migration og parallel drift, og hvad koster den?
UnderleverandørerHvilke væsentlige underleverandører indgår i drift, support og datahåndtering?
SikkerhedHvordan håndteres adgang, tofaktorlogin, hændelser, sårbarheder og logadgang?
DokumentationKan vi få konfiguration, integrationer og kontaktpunkter dokumenteret?

Sikkerdigital.dk har særskilt vejledning om at stille sikkerhedskrav til IT-leverandører. For digital suverænitet bør sikkerhedskrav udvides med exit, dataeksport og dokumentation, fordi leverandørafhængighed ikke kun er en sikkerhedsrisiko, men også en drifts- og forhandlingsrisiko. Sikkerdigital.dk: Stil sikkerhedskrav til IT-leverandøren

Beslutningsmatrix: hvad skal gøres først?

Når systemkortet er lavet, bør virksomheden ikke forsøge at løse alt samtidig. Brug denne matrix til prioritering:

FundTypisk beslutningFørste handling
Kritisk system uden kendt backupEskalerAfklar backup og gennemfør begrænset gendannelsestest
Domæne eller mail styres reelt af ekstern partEskalerFlyt ejerskab, roller og nødadgang til virksomheden
Kritisk system med uklare exit-vilkår og snarlig fornyelseForhandlStil krav om dataeksport, ophør, dokumentation og assistance før fornyelse
Data kan eksporteres, men ikke valideresTestLav prøveeksport og kontroller indhold med forretningen
System er vigtigt, men let at forladeAccepterDokumentér afhængigheden og review ved næste fornyelse
Større platformsskifte foreslås uden systemkortVentLav overblik, backup- og eksporttest før strategisk beslutning

Den sidste række er vigtig. Digital suverænitet kan hurtigt blive et dyrt transformationsprojekt, hvis man starter med løsningen i stedet for afhængigheden.

Eksempel: 35 medarbejdere og ekstern IT-leverandør

Forestil dig en virksomhed med 35 medarbejdere. Den har ekstern IT-drift, en cloudbaseret kontorpakke, økonomisystem, CRM, lønsystem, webshop og brancheværktøj. Ingen internt er IT-specialist, men en driftschef koordinerer leverandører.

Første gennemgang viser:

OmrådeFundPrioritet
DomæneDomænet er registreret gennem en tidligere webkonsulentHøj
MailAdministratoradgang ligger hos IT-leverandøren; virksomheden har ikke nødprocedureHøj
BackupLeverandøren bekræfter backup, men virksomheden har aldrig set en gendannelsestestHøj
CRMKundedata kan eksporteres, men aktiviteter, bilag og samtykkehistorik er uklareMellem
ØkonomiKontrakten fornyes automatisk om tre måneder; exit-bistand er ikke beskrevetHøj
DokumenterMange kundeskabeloner ligger i proprietære formater og personlige mapperMellem

En realistisk 90-dages plan kunne være:

  1. Flyt domæneejerskab og administratorroller, så virksomheden har kontrolleret nødadgang.
  2. Gennemfør gendannelsestest for et afgrænset datasæt fra mail eller fildeling.
  3. Få skriftlige beskrivelser af backup, ophør og dataudtræk fra IT-leverandør og økonomileverandør.
  4. Test CRM-eksport og kontroller med salg og kundeservice, hvad der mangler.
  5. Indfør en enkel regel om, at kritiske dokumenter gemmes i aftalte formater og placeringer.
  6. Beslut om økonomisystemet kan fornyes, eller om fornyelse kræver bilag om exit og dokumentation.

Bemærk hvad planen ikke gør: Den anbefaler ikke et stort skifte af kontorpakke, hosting eller CRM som første skridt. Det kan blive relevant, men først når virksomheden ved, hvor bindingerne faktisk ligger.

Hvad man bør lade være med

Digital suverænitet bliver urealistisk for SMV’er, hvis emnet bliver gjort større end organisationens kapacitet.

Undgå især:

  • at starte med ideologiske leverandørvalg uden systemkort
  • at forveksle cloudfravalg med kontrol
  • at forveksle open source med lav risiko
  • at forveksle lokal leverandør med lav afhængighed
  • at købe flere sikkerhedsprodukter uden at teste backup, adgang og beredskab
  • at kræve koncerntung dokumentation fra alle små leverandører, også hvor systemet ikke er kritisk
  • at planlægge migration uden forretningsgrundlag for parallel drift, dataoprensning og brugertræning

Open source, selv-hosting, europæisk cloud, lokale leverandører og åbne standarder kan alle være relevante. Men de er ikke genveje uden driftsansvar, kompetencebehov og afvejninger.

Afvejninger: hvornår afhængighed er acceptabel

En SMV bør ikke forsøge at fjerne alle afhængigheder. Det vil ofte skabe mere kompleksitet end robusthed.

Afhængighed kan være acceptabel, når:

  • systemet ikke er kritisk
  • data kan eksporteres eller genskabes
  • kontrakten er kort og gennemskuelig
  • leverandøren giver drift, sikkerhed eller support, som virksomheden ikke realistisk kan levere selv
  • der findes en dokumenteret nødprocedure
  • ledelsen bevidst har accepteret risikoen

Afhængighed bør derimod eskaleres, når:

  • systemet er kritisk, men ingen kan forklare backup, exit eller ejerforhold
  • mail, domæne, identitet og data er samlet hos én leverandør uden nødadgang
  • kontrakten fornyes automatisk, før vilkår for ophør og dataudtræk er afklaret
  • kun én ekstern person eller én intern nøglemedarbejder forstår opsætningen
  • regeloverholdelse, kundedrift eller betalinger kan stoppe ved leverandørsvigt

For organisationer omfattet af NIS2 bliver leverandør- og forsyningskæderisici en del af cybersikkerhedsrisikostyringen. Mange SMV’er er ikke direkte omfattet, men principperne er stadig nyttige som styring: kend kritiske leverandører, adgange, afhængigheder og beredskab. NIS2 artikel 21

Første møde: 60 minutter

Et godt første møde kræver ikke et stort projektoplæg. Saml ejer, ledelse, ekstern IT-kontakt, økonomi eller administration og den person, der kender de vigtigste systemer.

Brug denne dagsorden:

  1. Hvilke 10 systemer ville skade os mest ved 7 dages utilgængelighed?
  2. Hvem ejer hvert system internt?
  3. Hvor ligger domæne, DNS, mail, identitet og administratoradgang?
  4. Hvilke systemer har vi dokumenteret backup og seneste gendannelsestest for?
  5. Hvilke aftaler fornyes inden for 12 måneder?
  6. Hvilke data kan vi eksportere i dag, og hvilke har vi aldrig testet?
  7. Hvilke tre afhængigheder skal reduceres eller testes først?

Mødets output bør være en kort prioriteret liste, ikke en lang rapport. For en SMV er fremdrift ofte vigtigere end metodisk perfektion.

Kilder

Dette er generel information og ikke juridisk rådgivning.