IT-sikkerhed: Ny lov om sikker e-mail – her er de bedste løsninger 

/i , , ,

NIS-2 stiller nye krav til IT-sikkerheden

Kort og godt: NIS2 er en ny lov om IT-sikkerhed for virksomheder, som trådte i kraft d. 1. juli 2025. Det betyder, at en lang række danske virksomheder skal leve op til højere digitale sikkerhedskrav, herunder kryptering af e-mails. Der findes et hav af løsninger til kryptering – men her finder I de mest populære, så I hurtigt kan få overblik over, om I lever op til de nye regler.

Er jeres emails lovlige? 

E-mails har længe været en naturlig del af kommunikationen, når vi er på arbejde. Vi udveksler alt fra korte ordvekslinger til telefonnumre og kontrakter – og de fleste tænker ikke over, om informationerne kan læses af andre end afsender og modtager. Men e-mailens indhold er ikke privat uden kryptering, og mange danske virksomheder lever ikke op til de nye regler. 

Overblik: De bedste løsninger til e-mail-kryptering

De mest brugte løsninger til emailkryptering, som lever op til kravene i NIS2-loven, kan groft sagt deles op i to grupper:

1. Brugerbaseret kryptering

  • kræver certifikater eller programmer hos afsender og modtager
  • kompatible med de fleste systemer
  • Hop til afsnit >>

2. Systembaseret kryptering

  • Via systemer eller gateways, hvor brugerne ikke behøver installere noget
  • Findes hos de fleste IT-leverandører 
  • Hop til afsnit >> 

Brugerbaseret kryptering – løsninger med krav til brugerne

TLS – krypterer forbindelsen mellem e-mailservere. Løsningen kræver, at afsender og modtager har en mailserver, som understøtter TLS – og at den er slået til. Kryptering er automatiseret, men gælder kun transporten, ikke indholdet. Derfor er TLS alene ikke nok til at leve op til krav fra GDPR/Datatilsynet. 

S/MIME – krypterer indholdet af e-mailen. Løsningen kræver certifikater hos både afsender og modtager. Indholdet kan kun læses af den tiltænkte modtager og man kan se, om noget er ændret undervejs. Kryptering er ikke automatiseret, så afsenderen skal selv vurdere følsomheden og aktivere kryptering manuelt. 

Tunnelmail – krypterer fra domæne til domæne og sikrer altså både transport og indhold. Løsningen kræver, at virksomhedens domæne registreres på ”Tunnelmail-listen”. Kryptering sker automatisk, hvis domæner fra både afsender og modtager er registreret. Mails til andre modtagere sendes ukrypteret.

Systembaseret kryptering: løsninger uden krav til brugerne

Microsoft 365 – integreret løsning, som scanner og krypterer mails ud fra opstillede regler om indholdet. Kræver opsætning af regler for kryptering, som herefter sker automatisk.  

Gateway – sikkerhedsløsning mellem virksomhedens mailsystem og internettet. Kræver opsætning af regler for kryptering, som herefter sker automatisk. 

Specialsystemer (kun kryptering) er løsninger fra 3-partsudbydere, der krypterer e-mails uanset indhold eller modtager. Alt foregår centralt hos udbyderen og kryptering foregår automatisk. 

Integreret løsning (kryptering og generel IT-sikkerhed) er samlede løsninger fra 3-partsudbydere, hvor kryptering er en del af en sikkerhedspakke, der beskytter hele virksomhedens IT-miljø. 

Vil du hellere have direkte rådgivning?  

Læs mere om e-mail-kryptering til erhverv eller kontakt os – så kan vi tage en snak om e-mailkryptering i netop din virksomhed. 

Hvem stiller krav til email-kryptering i danske virksomheder?

  • NIS2krav om kryptering i specifikke sektorer  
  • GDPR-forordningenkrav om kryptering af personoplysninger 
  • Bekendtgørelsen om Digital Postkrav om kryptering af fortrolige oplysninger hos det offentlige og nogle private virksomheder  
  • Styrelsen for Patientsikkerhed: krav om kryptering i sundhedsvæsenet 
  • Finanstilsynet: krav om kryptering i finanssektoren 
  • Internationale standarder: snbefaler kryptering som god praksis, f.eks. ISO/DS 27001

IT-sikkerhed: 4 tip til opdatering, som låser jeres ”digitale bagdør” 

/i

Skal jeg virkelig opdatere nu..?

Hvorfor (manglende) opdatering er en skjult digital bagdør – og hvordan I lukker den! 

Det er ret irriterende, når man er midt i noget…computeren melder om en opdatering og beder om at genstarte. En pop-up fra Windows. En notifikation fra telefonen – endnu en opdatering! Mange vælger at klikke “mind mig om det senere”. Men hvad der kan virke som en bagatel, er i virkeligheden en vigtig del af jeres virksomheds IT-sikkerhed. 

Opdateringer er en hilsen til hackerne: Hér er en digital bagdør! 

Når softwareudviklere som Microsoft, Apple eller Adobe udsender opdateringer, handler det sjældent kun om nye funktioner. Det handler om sikkerhed. De lukker huller, fordi de ved, at de kan bruges som adgang for ubudne gæster.  

Når en sikkerhedsopdatering udsendes, offentliggøres den ofte i samme omgang. Det betyder, at hackere hurtigt ved, hvad de skal lede efter hos dem, der ikke har opdateret. Man bliver et nemt mål og de fleste angreb er i dag automatiserede. Robotter scanner nettet for sårbare systemer – og slår til, når de finder noget. 

Massivt hackerangreb belyste sårbarheder hos 700 danske virksomheder 

I 2025 havnede op mod 700 danske virksomheder på en liste over organisationer, som en hacker hævdede at have fået adgang til via en sårbarhed hos cloudtjenesten Oracle. Angrebet var muligt, fordi mange af virksomhederne havde aktive konti, testdata eller integrationer til en Oracle-løsning, der ikke var blevet lukket eller opdateret.  

Selv gamle systemer eller forbindelser, man ikke bruger længere, kan blive indgangen for hackere. Kort sagt; hvis der er adgang til jeres systemer – og den adgang ikke er sikret og opdateret – så er I sårbare. Det gælder også konti og data, I måske har glemt alt om (kilde

Udfordringen er mangel på struktur og ansvar 

Opdateringer er i sig selv ikke teknisk komplicerede. Udfordringen er ofte, at der mangler struktur og ansvar. Mange virksomheder har ikke en plan for, hvem der holder øje, hvem der udfører, og hvem der reagerer, hvis noget går galt. 

Spørg os om supportløsninger med overvågniong og backup 

4 tip: Sådan lukker (og låser) I jeres ”digitale bagdør”

Der findes flere produkter og løsninger, der kan tage over og styre opgaven centralt fra en IT-leverandør. Vil man forholde sig til opgaverne aktivt, har du her 4 tommelfingerregler:

1. Slå automatiske opdateringer til – hvor det er muligt.

Det gælder især: 

  • Operativsystemer (Windows, MacOS, Linux) 
  • Browser og udvidelser 
  • Kontorpakker (Office, Adobe) 
  • Antivirus og antimalware 

2. Genstart dagligt 

Mange opdateringer installeres først, når maskinen genstartes. Sørg for, at computere bliver genstartet hver dag, i stedet for at ”slumre”. 

3. Undgå forældet software 

“End of life”-systemer (fx Windows 7, gamle Office-versioner, udgåede CMS’er) modtager ikke længere opdateringer – og er derfor åbne mål. Vær opmærksom på både programmer og styresystemer. 

4. Lav en opdateringspolitik 

Det behøver ikke være en tyk manual. Det vigtigste er, at der er klare svar på:

  • Hvem har ansvaret? 
  • Hvor ofte tjekker man? 
  • Hvordan sikrer man, at kritiske systemer holdes ajour? 

Opdateringer er digitalt vedligehold – og gør en stor forskel 

Ligesom man vedligeholder bygninger og maskiner, bør man også vedligeholde den digitale infrastruktur. Det er sjældent dét, der fylder mest i hverdagen – men når det overses, kan det få store konsekvenser. 

Der er ikke noget dramatisk ved en opdatering. Men det er præcis det, der gør dem vigtige: De sker i baggrunden. De virker i stilhed. Og de gør en forskel, når det virkelig gælder. 

Tilbage til nyheder

IT-sikkerhed: Sådan styrker SMV’er IT-sikkerheden uden et kæmpe budget

/i

Mange SMV’er ser ikke sig selv som oplagte mål for cyberkriminalitet. Men det gør de cyberkriminelle. De ved, at små og mellemstore virksomheder sjældent har dedikerede IT-afdelinger eller et stort sikkerhedsbudget og sjældent tænker, at de ligger øverst på en hackergruppes ønskeliste. Netop derfor er de sårbare – og i værste fald en åben bagdør til kundernes platforme.

Alle virksomheder kan være oplagte mål

Tidligere var målrettede hackerangreb ofte forbeholdt store organisationer, men det billede har ændret sig. I dag er truslerne i høj grad automatiserede: Det handler ikke om, hvem I er, men om I har åbne porte, gamle systemer, nemme adgangskoder eller medarbejdere, der klikker på det forkerte link.

Mange angreb kommer fra:

  • Phishingmails – som udgiver sig for at være fra banken, Skattestyrelsen eller en kollega.
  • Inficerede vedhæftede filer – som åbner adgang til systemet.
  • Brute force-angreb – hvor man prøver sig frem med tusindvis af kodeord, indtil ét virker.

Når først adgangen er skabt, kan konsekvenserne være alvorlige. Data bliver krypteret og holdt som gidsel. Fakturaer ændres og penge forsvinder. Produktionssystemer lukkes ned. Og det tager ofte tid – og mange ressourcer – at komme i gang igen.

Selvom truslerne er store, behøver løsningerne ikke være det. Vi har samlet tre lavpraktiske tiltag, som effektivt kan styrke jeres IT-forsvar og give jer mere tryghed i en digital arbejdsdag:

1. Gør det svært at komme ind

To-faktor-login (2FA) betyder, at man skal bruge både en ekstra adgangsgodkendelse, f.eks. SMS-kode, app-godkendelse (som Microsoft Authenticator eller Google Authenticator), eller en digital nøgle for at logge ind. Det lyder som en lille ting – men er et kæmpe spring for jeres IT-sikkerhed. Mange angreb sker, fordi et password er blevet lækket, gættet eller stjålet – og uden 2FA er det ofte alt, der skal til for at få adgang.

Brug altid 2FA på:

  • Mailkonti (både arbejdsmail og evt. privat, hvis den bruges arbejdsmæssigt)
  • Økonomisystemer og faktureringsplatforme
  • Cloud-lagring (Google Drive, OneDrive, Dropbox m.m.)
  • CRM-systemer og projektstyringstjenester

Husk også de private enheder:

I mange virksomheder bruges private telefoner og tablets til at tjekke mails, deltage i møder eller få adgang til arbejdsfiler. Når en mobil bliver stjålet eller kompromitteret, kan det derfor være indgangen til hele virksomhedens IT-system – hvis ikke der er sat de rigtige barrierer op.

  • Sørg for, mobilen har skærmlås og opdateret styresystem
  • Brug 2FA til arbejdsapps og mail
  • Undgå at gemme adgangskoder i browser eller noter

2. Lær medarbejderne at spotte trusler

Langt de fleste angreb starter desværre med en menneskelig fejl. En medarbejder, der klikker på et forkert link, åbner en vedhæftet fil eller svarer på en fupmail. Derfor er awareness-træning vigtigere, end man tror. Træningen kan klares med en kort intern gennemgang eller via små øvelser i hverdagen. Det handler ikke om at skabe frygt – men om at give jeres ansatte de nødvendige redskaber til at arbejde i trygge digitale rammer:

  • Hvordan ser en fupmail ud?
  • Hvad gør man, hvis man er i tvivl?
  • Hvordan reagerer man hurtigt, hvis skaden sker?

Mere om intern træning i digital awareness

3. Backup er kun en redning, hvis den virker!

Ransomware i forbindelse med et digitalt angreb kan låse jeres data – og her kan en fungerende backup være forskellen på at starte forfra eller være i gang igen i løbet af få timer.

Desværre oplever vi, at mange tror, de har en fungerende backup (som ikke virker, når den skal). Det er næsten det eneste, der er farligere i denne sammenhæng, end helt at undvære en backupløsning.

En ideel backupløsning skal:

  • Laves løbende (helst dagligt)
  • Opbevares adskilt fra jeres primære systemer
  • Testes regelmæssigt – så I ved, hvordan man gendanner data

Start med en samtale – og en plan

Sikkerhed er ikke et spørgsmål om at installere den rigtige software og så læne sig tilbage. Det er en kultur. En bevidsthed. En proces. Det behøver ikke koste mange penge – men det kræver, at nogen tager ansvar, og at man har en realistisk plan for, hvad man gør, hvis uheldet er ude. Det vigtigste er at komme i gang – også selvom det ikke bliver perfekt fra starten. De små skridt er ofte dem, der gør den største forskel.

Tilbage til nyheder