Kort fortalt

Geopolitisk digital risiko bør hverken ignoreres eller dramatiseres. Den bør vurderes som et almindeligt ledelses- og indkøbsspørgsmål: Hvilke leverandør-, data-, jurisdiktions- og forsyningskædeafhængigheder kan påvirke organisationens handlefrihed, hvor sandsynligt er scenariet, hvor alvorlig er konsekvensen, og hvilke afbødende tiltag er proportionale?

Risikomatrix for geopolitisk digital afhængighed med sandsynlighed, konsekvens, tidshorisont og afbødende tiltag

Kort fortalt

Geopolitisk risiko i IT-porteføljen handler ikke om at gætte næste krise. Det handler om at forstå, hvor organisationens digitale afhængigheder kan blive påvirket af sanktioner, jurisdiktion, handelskonflikter, eksportkontrol, cybertrusler, leverandørkæder eller ændrede politiske rammer.

Den praktiske opgave er at skelne mellem fire spørgsmål:

  • Hvor sandsynligt er et relevant scenarie inden for den valgte tidshorisont?
  • Hvad er konsekvensen for drift, data, compliance, sikkerhed, økonomi og handlefrihed?
  • Hvor hurtigt kan scenariet ramme: 0-3 måneder, 3-12 måneder eller 1-3 år?
  • Hvilke afbødende tiltag er proportionale, testbare og realistiske?

Artiklens anbefaling er ikke at fravælge globale leverandører per automatik. Anbefalingen er at gøre kritiske afhængigheder synlige nok til, at organisationen kan acceptere dem bevidst eller reducere dem målrettet.

Beslutningen artiklen hjælper med

Artiklen hjælper bestyrelse, direktion, indkøb, jura, sikkerhed og IT med at beslutte, hvilke geopolitisk eksponerede digitale afhængigheder der kræver ledelsesbeslutning.

Den konkrete beslutning er:

  • hvilke leverandører, platforme, databehandlingskæder og kritiske komponenter der skal risikovurderes
  • hvilke scenarier der er relevante nok til at indgå i ledelsesrapportering
  • hvilke risici der kan accepteres, fordi konsekvensen eller sandsynligheden er lav
  • hvilke risici der skal reduceres gennem kontraktkrav, arkitektur, beredskab, alternative leverandører eller exit-test
  • hvilke risici der er for usikre til at kvantificere, men vigtige nok til at overvåge

Målet er ikke at opbygge en perfekt geopolitisk prognose. Målet er at undgå to dårlige yderpunkter: blind tillid til, at digitale leverancer altid fortsætter uændret, og panikbeslutninger hvor organisationen skifter teknologi uden dokumenteret grundlag.

Hvad geopolitisk digital risiko dækker

I denne artikel betyder geopolitisk digital risiko: risikoen for, at politiske, juridiske, sikkerhedsmæssige eller handelsmæssige forhold mellem stater påvirker organisationens adgang til digitale tjenester, data, support, komponenter, opdateringer, kompetencer eller leverandørvalg.

Det kan blandt andet handle om:

  • Sanktioner og restriktive foranstaltninger: EU beskriver sanktioner som et udenrigs- og sikkerhedspolitisk redskab, der kan omfatte blandt andet økonomiske sanktioner og diplomatiske foranstaltninger. Rådet fremhæver, at EU-sanktioner er målrettede og ikke rettet mod en befolkning som sådan. For en organisation er den praktiske pointe, at sanktioner kan ændre, hvem der lovligt må handles med, eller hvordan bestemte varer, tjenester eller betalinger må leveres. Rådet for Den Europæiske Union
  • Jurisdiktion og offentlig adgang: GDPR regulerer overførsel af personoplysninger til tredjelande, mens Data Act blandt andet indeholder regler om ulovlig offentlig adgang til og overførsel af ikke-personoplysninger i international sammenhæng. Det gør jurisdiktion relevant for både jura, sikkerhed og indkøb, men det betyder ikke, at alle internationale leverandører er uegnede. GDPR Data Act
  • Handelskonflikter og eksportkontrol: Ændrede handelsregler kan påvirke adgang til hardware, chips, softwareopdateringer, support, krypteringsteknologi eller specialiserede komponenter. Den konkrete risiko afhænger af produkt, leverandørkæde, kontrakt og alternative leverandører.
  • Cybertrusler med statslig eller politisk dimension: ENISA’s trusselslandskab for 2025 beskriver et aktuelt europæisk cybertrusselsbillede baseret på hændelser fra juli 2024 til juni 2025, og Styrelsen for Samfundssikkerhed vurderer cybertruslen mod Danmark som alvorlig. Det gør cyberberedskab relevant i vurderingen af geopolitisk eksponerede afhængigheder. ENISA Threat Landscape 2025 Cybertruslen mod Danmark 2025
  • Forsyningskæder og underleverandører: NIS2 gør forsyningskædesikkerhed til en del af cybersikkerhedsrisikostyringen for omfattede væsentlige og vigtige enheder. Også organisationer uden for NIS2 kan bruge samme tankegang: kritiske leverandører bør vurderes ud fra mere end pris og funktionalitet. NIS2 artikel 21

Dette er et ledelsesfelt, fordi konsekvensen sjældent ligger ét sted. En juridisk begrænsning kan blive et driftsproblem. En handelskonflikt kan blive en support- eller reservedelsrisiko. En cyberhændelse hos en underleverandør kan blive en databeskyttelses-, kommunikations- og kontinuitetsopgave.

Hvad artiklen ikke siger

Artiklen siger ikke, at bestemte lande, leverandører eller teknologityper automatisk er for risikable.

Den siger heller ikke, at europæisk, dansk, open source eller selv-hostet altid er mindre risikabelt. En lokal leverandør kan have svag økonomi, få nøglepersoner og uklare underleverandører. En open source-løsning kan mangle vedligehold. Egen drift kan give kontrol, men også mere ansvar for sikkerhed, redundans og kompetence. En global cloudleverandør kan give stærk drift og sikkerhed, men samtidig skabe dyb afhængighed af identitet, data, API’er, kontraktvilkår og jurisdiktion.

Den nyttige vurdering er derfor ikke “globalt eller lokalt”. Den nyttige vurdering er: Hvilken afhængighed accepterer vi, med hvilken konsekvens, i hvilken tidshorisont, og med hvilken plan?

Firetrinsmetode: fra bekymring til beslutning

Brug risikomatricen som en arbejdsmodel, ikke som en facitliste. Den skal hjælpe organisationen med at føre den rigtige samtale.

1. Beskriv afhængigheden præcist

Start med et konkret aktiv eller en konkret leverance:

  • identitetsplatform
  • cloudmiljø eller hosting
  • kontorpakke og samarbejdsplatform
  • kritisk SaaS-system
  • sikkerheds- eller overvågningsværktøj
  • betalings-, logistik-, kommunikations- eller fagsystem
  • hardwarekomponent, netværksudstyr eller firmwareleverandør
  • support-, drift- eller managed service-aftale

Beskriv derefter afhængigheden i seks felter:

FeltSpørgsmål
DataHvilke data ligger i eller passerer gennem løsningen, og kan de eksporteres brugbart?
DriftHvilke processer stopper, hvis løsningen eller supporten forsvinder?
JurisdiktionHvilke lande, retlige rammer, datacentre, supportfunktioner og underleverandører indgår?
LeverandørkædeHvilke underleverandører, komponenter, softwarebiblioteker og opdateringskanaler er kritiske?
KontraktHvad siger aftalen om ophør, force majeure, sanktioner, eksport, adgang, audit og ændrede vilkår?
AlternativerFindes der realistiske alternative leverandører, partnere, komponenter eller driftsformer?

Hvis organisationen ikke kan beskrive afhængigheden, bør den ikke forsøge at score risikoen endnu. Første handling er kortlægning.

2. Vælg scenarier, der er relevante nok

Undgå brede formuleringer som “geopolitisk uro”. De kan ikke handles på. Vælg få konkrete scenarier:

ScenarieTypisk spørgsmål
Sanktion eller restriktionKan en kunde, leverandør, underleverandør, betaling, komponent eller supportfunktion blive omfattet af restriktioner?
JurisdiktionskonfliktKan krav fra forskellige retssystemer skabe usikkerhed om adgang, data, audit eller myndighedsanmodninger?
Handels- eller eksportbegrænsningKan adgang til software, hardware, opdateringer, reservedele eller specialkompetence ændre sig?
Cyberangreb mod leverandørkædenKan en leverandør eller underleverandør bruges som adgangsvej til vores systemer eller data?
Politisk drevet serviceafbrydelseKan en tjeneste, region, betalingskanal eller supportmodel blive utilgængelig med kort varsel?
Omdømme- eller compliancepresKan fortsat brug af en leverandør blive vanskelig på grund af regulatoriske, etiske eller kundemæssige krav?

Scenarierne skal være sandsynlige nok til at diskutere, men ikke så snævre at de kun dækker én nyhedshændelse.

3. Score sandsynlighed, konsekvens og tidshorisont separat

Brug en enkel score fra 1 til 5. Hold vurderingen grov, men dokumentér antagelserne.

ScoreSandsynlighed inden for valgt tidshorisontKonsekvens hvis scenariet sker
1Lav: ingen tydelige indikatorer, og afhængigheden er indirekteBegrænset: kan håndteres operationelt
2Moderat lav: enkelte indikatorer eller begrænset eksponeringMærkbar: forsinkelse, meromkostning eller mindre driftsforstyrrelse
3Moderat: kendt eksponering eller relevant sektor-/leverandørrisikoAlvorlig: kritiske processer, data eller compliance påvirkes
4Høj: tydelige indikatorer, tæt leverandørkæde eller svage alternativerMeget alvorlig: væsentligt driftstab, regulatorisk risiko eller stor økonomisk effekt
5Meget høj: scenariet er nærliggende eller delvist indtruffetKritisk: organisationens kerneopgaver, lovkrav eller beredskab er truet

Vælg også tidshorisont:

  • Kort: 0-3 måneder. Bruges til risici, der kan kræve beredskab, kontraktkontakt eller nødprocedure nu.
  • Mellem: 3-12 måneder. Bruges til fornyelser, budget, arkitekturændringer, leverandørdialog og test.
  • Lang: 1-3 år. Bruges til strategiske valg, platformsskifte, kompetenceopbygning og porteføljestyring.

Tidshorisonten er vigtig, fordi en høj konsekvens på tre års sigt ofte kræver en anden handling end en moderat konsekvens næste måned.

4. Beslut afbødende tiltag

Vælg én hovedhandling for hver væsentlig risiko:

HandlingBruges nårEksempler
AccepterRisikoen er forstået, proportional og inden for ledelsens toleranceDokumentér beslutning, review ved fornyelse, følg indikatorer
ReducerRisikoen er for høj, men kan mindskes uden fuldt skifteBedre eksport, alternative underleverandører, kontraktbilag, ekstra backup, dokumentation
AfprøvUsikkerheden er stor, og organisationen mangler bevisExit-test, restore-test, eksport/import-test, leverandørsvigt-scenarie, manuel nødprocedure
OvervågRisikoen er relevant, men ikke moden nok til større investeringTriggerpunkter, kvartalsvis review, nyhedskilder, leverandørstatus, kontraktudløb
UdskiftRisikoen er uacceptabel, eller afbødning er utilstrækkeligMigration, alternativ platform, ændret arkitektur, ny leverandørstrategi

Det afgørende er, at “gør ingenting” bliver omformet til “accepter” med en ejer og en begrundelse, hvis risikoen faktisk er accepteret.

Eksempel på matrixvurdering

Forestil jer en offentlig organisation, der bruger en kritisk cloudbaseret samarbejdsplatform. Platformen håndterer dokumentdeling, møder, kalender, intern chat, identitetstilknytning, ekstern adgang og flere integrationer til fagsystemer.

Organisationen vurderer tre scenarier:

ScenarieSandsynlighedKonsekvensTidshorisontForeløbig handling
Support eller funktioner ændres på grund af nye handels- eller eksportregler231-3 årOvervåg og kræv varslings- og exitvilkår ved fornyelse
Underleverandør eller supportadgang skaber uklarhed om data og jurisdiktion343-12 månederReducer med kontraktbilag, datakort og juridisk vurdering
Platformen bliver utilgængelig i en større cyber- eller leverandørhændelse350-3 månederAfprøv nødkommunikation, offline adgang, restore og prioriterede arbejdsgange

Pointen er ikke at udpege én platform som problem. Pointen er, at samme platform kan have tre forskellige risici med forskellig tidshorisont og forskellige afbødende tiltag.

Hvor organisationer ofte overvurderer risiko

Geopolitisk risiko bliver overvurderet, når organisationen:

  • behandler alle internationale leverandører som ens
  • antager at lokal drift automatisk er sikrere
  • forveksler politisk ubehag med konkret drifts- eller compliancekonsekvens
  • reagerer på enkelthændelser uden at vurdere egne data, kontrakter og alternativer
  • ser leverandørens hjemland som den eneste relevante faktor og overser underleverandører, support, softwarekomponenter og betalingskæder
  • scorer sandsynlighed højt, fordi konsekvensen føles alvorlig

En risiko kan være politisk synlig og stadig have lav praktisk konsekvens for organisationen. Den skal ikke nødvendigvis prioriteres højt.

Hvor organisationer ofte undervurderer risiko

Risikoen bliver undervurderet, når organisationen:

  • kun vurderer hovedleverandøren og ikke underleverandører, datacentre, supportadgang og komponenter
  • mangler overblik over dataeksport, metadata, logs, nøgler, backups og identitet
  • ikke har testet restore eller drift uden den primære platform
  • antager at kontrakten løser exit, selvom data, integrationer og arbejdsgange ikke er testet
  • ikke ved, hvilke systemer der er afhængige af samme identitets-, betalings-, DNS-, overvågnings- eller supportlag
  • lader fornyelser ske automatisk, selvom verden, leverandøren eller organisationens kritikalitet har ændret sig

Styrelsen for Samfundssikkerheds vejledning om leverandørforhold fremhæver, at outsourcing kan være forretningsmæssigt fornuftig, men også kan påvirke cyber- og informationssikkerheden negativt, hvis leverandørstyringen er svag. Det er en god nøgtern ramme: outsourcing er ikke problemet i sig selv; manglende styring er. Cyber security in supplier relationships

Indkøbskrav før nye kritiske aftaler

Ved nye eller fornyede kritiske aftaler bør indkøb, jura, sikkerhed og IT som minimum stille spørgsmål i disse områder:

OmrådeSpørgsmål
JurisdiktionHvilke lande er relevante for databehandling, support, ejerskab, underleverandører og myndighedsanmodninger?
Sanktioner og restriktionerHvordan håndterer leverandøren ændrede sanktioner, eksportkontrol, betalingsbegrænsninger eller leveringsforbud?
UnderleverandørerHvilke underleverandører er kritiske, og hvordan varsles ændringer i kæden?
Data og logsKan data, metadata, logs, konfiguration og historik eksporteres i dokumenterede formater?
Nøgler og adgangHvem kan tilgå data, nøgler, supportmiljøer og administrationsfunktioner, og hvordan logges det?
ExitHvad sker der ved ophør, tvungen udfasning, prisændring, opkøb, insolvens eller regulatorisk blokering?
BeredskabHvilke nødprocedurer, restore-muligheder, alternative kommunikationskanaler og supportveje findes?
TestKan organisationen gennemføre eksport-, restore-, failover- eller exit-test uden at vente på en krise?
ØkonomiEr meromkostninger ved parallel drift, migration, egress, konsulentbistand og intern tid medregnet?

Data Act gør skift mellem databehandlingstjenester til et mere konkret kontraktfelt, blandt andet gennem regler om switching, information og gradvis afvikling af visse switching charges. Det fjerner ikke praktiske migrationsproblemer, men det styrker argumentet for at stille konkrete krav før kontrakten underskrives. Data Act kapitel VI

Governance: hvem skal eje vurderingen?

Geopolitisk digital risiko bør ikke placeres hos én funktion alene.

FunktionRolle
BestyrelseFastlægger risikotolerance for kritiske digitale afhængigheder og får rapportering om de største eksponeringer
DirektionPrioriterer investeringer, accepterer rest-risiko og sikrer tværgående ansvar
IndkøbIndarbejder krav til exit, underleverandører, sanktioner, varslingspligt og dokumentation
Jura/complianceVurderer kontrakt, databeskyttelse, overførsler, offentlige adgangsrisici og regulatoriske forpligtelser
SikkerhedVurderer trusselsbillede, leverandørkæde, adgang, logging, beredskab og hændelseshåndtering
IT/arkitekturKortlægger tekniske afhængigheder, dataflow, integrationer, backup, nøgler og realistiske alternativer
ForretningVurderer konsekvens for kerneprocesser, borgere, kunder, medarbejdere og serviceforpligtelser

For organisationer omfattet af NIS2 er ledelsesforankring og cybersikkerhedsrisikostyring ikke kun god praksis, men en del af den regulatoriske ramme. For andre organisationer er samme rollefordeling stadig nyttig, fordi den forhindrer, at geopolitiske risici bliver reduceret til et teknisk spørgsmål. NIS2

Tradeoffs: mere uafhængighed kan også skabe risiko

Der er reelle afvejninger.

Mere leverandøruafhængighed kan kræve flere systemer, flere integrationer, mere intern koordinering, højere startomkostninger og større krav til dokumentation. Dobbeltleverandørstrategier kan give robusthed, men også kompleksitet. Selv-hosting kan reducere nogle jurisdiktions- og platformafhængigheder, men øge drifts-, patching- og kompetencerisikoen. Open source kan give indsigt og fleksibilitet, men kræver vedligehold, sikkerhedsprocesser og et realistisk supportsetup.

Omvendt kan en stærk standardplatform reducere daglig risiko gennem moden sikkerhed, god tilgængelighed og effektiv administration, selvom den øger strategisk afhængighed.

Den modne beslutning er derfor ikke at vælge mest mulig kontrol i alle situationer. Den modne beslutning er at vælge et kontrolleret niveau af afhængighed, der passer til systemets kritikalitet, organisationens kompetencer og den faktiske tidshorisont.

Usikkerhed: hvad kan ikke vides sikkert?

Geopolitisk risiko kan ikke beregnes præcist. Organisationen bør være åben om usikkerhed:

  • Sanktioner, handelsregler og diplomatiske relationer kan ændre sig hurtigt.
  • Leverandørers underleverandører, ejerforhold og supportmodeller kan ændre sig mellem kontraktperioder.
  • Cybertrusselsbilledet ændrer sig løbende, og offentlige rapporter er altid et udsnit af kendte hændelser.
  • En lav sandsynlighed kan stadig kræve handling, hvis konsekvensen er kritisk og beredskabet svagt.
  • En høj konsekvens betyder ikke automatisk, at leverandøren skal udskiftes; det kan være nok at teste backup, dataeksport, nødprocedure eller alternativ kommunikation.

Derfor bør risikomatricen opdateres ved kontraktfornyelser, større arkitekturændringer, væsentlige leverandørændringer, nye regulatoriske krav og markante ændringer i trusselsbilledet.

Når rådet ikke passer

Metoden passer bedst til kritiske systemer, regulerede processer, persondata, samfundsvigtige funktioner, økonomisk væsentlige platforme og systemer med svær exit.

Den passer dårligere til små, ikke-kritiske værktøjer, hvor data er begrænsede, skifteomkostningen er lav, og konsekvensen ved afbrydelse er acceptabel. Her kan en tung geopolitisk risikovurdering koste mere end risikoen.

Metoden bør heller ikke bruges som et skjult argument for et på forhånd valgt leverandørskifte. Hvis konklusionen allerede er besluttet, bliver risikomatricen pynt. Værdien ligger i at gøre antagelser, usikkerhed og afbødende tiltag synlige før beslutningen.

Første workshop: 90 minutter

En praktisk start kan være en kort workshop med ledelse, IT, sikkerhed, jura/compliance, indkøb og systemejere.

  1. Vælg fem digitale afhængigheder, der er kritiske for drift, data, identitet, kommunikation eller compliance.
  2. Beskriv hver afhængighed i felterne data, drift, jurisdiktion, leverandørkæde, kontrakt og alternativer.
  3. Vælg to til tre relevante scenarier per afhængighed.
  4. Score sandsynlighed og konsekvens hver for sig.
  5. Vælg tidshorisont: 0-3 måneder, 3-12 måneder eller 1-3 år.
  6. Beslut én handling per væsentlig risiko: accepter, reducer, afprøv, overvåg eller udskift.
  7. Giv hver handling en ejer, en dato og en minimumsdokumentation.

Outputtet bør være en prioriteret liste over få beslutninger, ikke en stor rapport.

Mødespørgsmål til ledelsen

Brug disse spørgsmål ved næste ledelses- eller risikoreview:

  1. Hvilke digitale leverancer ville ramme os hårdest, hvis adgang, support, betaling, opdateringer eller dataeksport blev begrænset?
  2. Hvilke af vores kritiske leverandører afhænger af samme jurisdiktion, underleverandør, identitetsplatform, cloudregion eller supportkæde?
  3. Hvor har vi høj konsekvens, men lav viden?
  4. Hvilke risici kræver beredskab inden for 0-3 måneder, og hvilke hører hjemme i en 1-3-årig porteføljeplan?
  5. Hvilke risici accepterer vi bevidst, fordi leverandørens værdi er større end afhængigheden?
  6. Hvilke risici bør reduceres ved næste kontraktfornyelse i stedet for ved et akut skifte?
  7. Hvilken enkelt test vil give mest viden: dataeksport, restore, nødkommunikation, leverandørsvigt eller alternativ drift?

Det vigtigste spørgsmål er ikke, om organisationen er “geopolitisk sikker”. Det er, om de vigtigste digitale afhængigheder er kendte, proportionale og testbare.

Kilder

Dette er generel information og ikke juridisk rådgivning.