Skrevet af Anders Schultz-Møller

Cyber security awareness i danske organisationer: Her er, hvad du skal vide

Cybertrusler i Danmark er ikke et “hvis”. Det er et “hvornår”.

I den nationale trusselsvurdering Cybertruslen mod Danmark vurderer Styrelsen for Samfundssikkerhed, at det er meget sandsynligt, at danske organisationer bliver udsat for forsøg på ransomware, digital svindel og DDoS-angreb. Det er ikke niche-hændelser. Det er blevet en fast del af trusselsbilledet.

Samtidig har tilgangen til compliance ændret sig fra ‘vi har en politik’ til ‘bevis, at det virker i praksis’. Her spiller NIS2-direktivet en stor rolle. Den oprindelige registreringsfrist udløb den 1. oktober 2025, så i dag gælder det, at nye enheder skal registrere sig senest to uger efter, at de bliver omfattet af reglerne.

Det er præcis her, mange organisationer falder i samme fælde: Cyber awareness bliver et årligt e-learning-tjek, der giver flotte gennemførelsesprocenter, men som ikke flytter adfærd.

Hvorfor klassisk awareness ofte ikke virker

(selvom den ser ud til at virke)

De fleste programmer måler på det letteste: gennemført eller ikke gennemført.

Problemet er, at viden ikke automatisk bliver til handling, især ikke når en medarbejder står med en presset hverdag, en troværdig mail og et “det haster”-signal i kroppen.

En meta-analyse fra Leiden University finder, at cybersikkerhedstræning generelt forbedrer viden og andre forløbere for adfærd, mens effekten på adfærd er mere moderat, hvilket peger på behovet for løbende forstærkning og design, der fastholder vaner over tid.

Og når man kigger bredt på bruddata, er “menneske-elementet” stadig en hoveddriver. I Verizon‘s 2025 Data Breach Investigations Report ligger menneskelig involvering omkring 60% i årets dataset.

Konklusionen i praksis: Du kan ikke “e-learne” dig ud af risiko. Du kan designe dig ud af den.

En bedre tilgang

Gør cyber awareness til et adfærds-system

Tænk på cyber awareness som et system med tre dele:

1. Baseline (fælles minimumsniveau)
2. Forstærkning (små, gentagne læringsøjeblikke)
3. Måling (beviser, KPI’er og feedback loop)

Det matcher også den retning, NIST peger på, hvor læringsprogrammer bør være livscyklusbaserede og løbende forbedres, ikke statiske “en gang om året”-kampagner.

1) Baseline

Her giver et kort, modulært forløb mening, fordi du får en ensartet bund under hele organisationen, også på tværs af sprog og teams.

Grape har i samarbejde med BDO sammensat et online it sikkerhedskursus med 9 moduler og en varighed på ca. 30 min, på flere sprog.

Det er en stærk baseline, når du har brug for noget, der både kan implementeres hurtigt og dokumenteres.

2) Forstærkning

Når baseline er på plads, er næste mål simpelt: få de rigtige mikro-reaktioner til at ske på autopilot.

Det handler typisk om:

• Stop og tjek ved betalinger, leverandørskift, ændrede kontonumre og “hurtig godkendelse”
• Rapportér tidligt (hellere én gang for meget end én gang for lidt)
• Bekræft i anden kanal ved “CEO fraud” og pretexting
• Lås standarder fast: MFA, password manager, opdateringer, deling af data

Forstærkning kan være månedlige mini-scenarier, korte quizzer, en simpel “ugens eksempel”-mail, eller manager-nudges i teammøder. Pointen er gentagelse uden at dræne kalenderen.

3) Måling

Her er KPI’er, der typisk giver mening, fordi de kan dokumenteres og forklares:

• Rapporteringsrate: hvor mange mistænkelige henvendelser bliver meldt ind? (højere er ofte bedre i starten)
• Tid til rapportering: hvor hurtigt kommer en mistanke ind?
• Verifikationsadfærd: hvor ofte bliver “betalings-ændringer” dobbelttjekket?
• Kulturindikator: bliver folk skældt ud for at rapportere, eller får de tak?

Det er også den type “bevis”, der gør audits nemmere, fordi du kan vise en udvikling, ikke kun en intention.

Hvis du vil rulle et modulært program ud hurtigt og samtidig have noget, du kan dokumentere, så kig på Grape’s IT-sikkerhed (bygget med BDO som fagekspert).