En kommune med lav cybermodenhed behøver ikke blive ramt af et spektakulært hackerangreb for at få store konsekvenser — det kan være nok med én fejlkonfigureret server, én for bred adgangsrolle eller én leverandør, der bliver kompromitteret.
I denne artikel får du et praktisk overblik over, hvad cybermodenhed i kommuner betyder, hvorfor det er kritisk for drift og borgernes tillid, og hvordan lovkrav som NIS2 kan bruges som løftestang til reel modning i stedet for minimums-compliance. Du får også konkrete eksempler, typiske faldgruber, prisdrivere og en handleplan, du kan omsætte til prioriteringer i hverdagen.
Hvad betyder cybermodenhed i en kommune — og hvorfor betyder det noget?
Cybermodenhed er et udtryk for, hvor godt en organisation samlet set kan forebygge, opdage, håndtere og lære af cyberhændelser. Det handler ikke kun om tekniske kontroller, men i lige så høj grad om ledelse, processer, kompetencer, leverandørstyring og kultur.
For kommuner er betydningen ekstra stor, fordi it ikke bare understøtter administration — den er vævet ind i velfærdsydelser, sagsbehandling, drift af institutioner og borgerkontakt. Når it svigter, kan det direkte påvirke hjemmeplejeplanlægning, udbetalinger, sagsfrister, skoleplatforme og adgang til kritiske data.
Mini-konklusion: Høj cybermodenhed er ikke “nice to have”; det er en driftsforudsætning og en forudsætning for at kunne levere sammenhængende velfærd.
De store konsekvenser ved lav cybermodenhed: mere end “it-nedbrud”
Når modenheden er lav, opstår konsekvenserne ofte som en kædeeffekt: et lille brud i sikkerheden bliver til en driftshændelse, som bliver til en borgerrettet krise, som ender i politisk og økonomisk pres.
1) Driftstab og serviceforringelse
Kommuner er afhængige af mange fagsystemer og integrationslag. Ved ransomware, datalæk eller “bare” et kompromitteret AD-miljø kan genopretning tage dage eller uger. Det skaber manuelle arbejdsgange, telefonkøer, udsatte frister og et massivt merarbejde. I praksis ser jeg ofte, at det er koordinationen og manglen på trænet incident response, der forlænger nedetid mere end selve teknikken.
2) Databrud, borgernes tillid og efterspil
Et brud på persondata kan indebære alt fra læk af CPR-numre til følsomme oplysninger om sociale sager. Udover GDPR-risikoen er den langvarige skade ofte tab af tillid: borgere, samarbejdspartnere og medarbejdere bliver mere tilbageholdende med digitale løsninger, når de oplever utryghed.
Mini-konklusion: Lav cybermodenhed gør, at små hændelser eskalerer, fordi kommunen mangler både tekniske “bremser” og organisatorisk rutine.
Hvorfor rammer kommuner særligt hårdt? Kompleksitet, afhængigheder og virkelighed
Kommuner har nogle vilkår, der gør modenhed sværere — men også vigtigere. It-landskabet er typisk vokset over mange år: fagsystemer, lokale integrationer, fælleskommunale løsninger, cloud-tjenester og leverandørplatforme i et miks, hvor ingen har det fulde overblik.
Tre mønstre går igen i kommunale miljøer:
- Mange leverandører og uklare grænseflader for ansvar (hvem patcher hvad, hvem overvåger hvad, hvem reagerer hvornår?).
- Høj brugerdiversitet: skoler, ældrepleje, forvaltning og teknisk drift har vidt forskellige behov og kompetenceniveau.
- Arv og undtagelser: gamle systemer, særlige aftaler og “midlertidige” løsninger, der blev permanente.
Det betyder, at en “standardløsning” sjældent virker uden tilpasning. Modenhed kræver derfor prioritering og governance, ikke kun nye værktøjer.
Lovkrav som anledning: NIS2 og krav, der bør løfte modenheden reelt
Lovkrav bliver ofte mødt med et forståeligt spørgsmål: “Hvad er minimum, vi skal gøre?” Men den tilgang er risikabel, fordi compliance ikke nødvendigvis giver robusthed. NIS2 (og beslægtede krav til risikostyring, hændelseshåndtering og leverandørkontrol) bør ses som en ramme for at modne de ting, man alligevel har brug for i en krisesituation.
Det vigtigste skifte er mentalt: fra dokumentation som slutmål til dokumentation som biprodukt af gode processer. Når du først har styr på aktiver, ansvar, adgangsstyring, hændelsesberedskab og leverandørkrav, bliver rapportering langt lettere.
Her giver det ofte mening at arbejde med en modenhedsmodel (fx trinvist: grundniveau, styret niveau, optimeret niveau) og koble den til kommunens risikobillede. Hvis du vil dykke mere ned i, hvordan man konkret vurderer og udvikler kommunal cybermodenhed, er det netop den type helhedsblik, der gør krav omsættelige til praksis.
Mini-konklusion: Lovkrav er bedst som katalysator: brug dem til at gøre sikkerhed målbar og driftssikker, ikke kun “revisionsklar”.
De dyreste fejl: faldgruber, jeg ser igen og igen
Når budgetter og tid er pressede, ender mange kommuner med at optimere for synlighed (politisk ro) frem for robusthed. Her er faldgruber, der typisk koster mest på sigt:
- At købe værktøjer før fundamentet: SIEM/EDR uden klar logstrategi, roller og responshåndbog giver alarmtræthed og lav effekt.
- Uklart ejerskab: “It har ansvaret” bliver en blindgyde, når risici ligger i forretningens processer og leverandørkæden.
- For brede adgangsrettigheder: især delte konti, manglende PAM og “alle er lokale administratorer” i niche-miljøer.
- Backups uden genoprettelsesøvelser: backup er kun værdifuld, hvis man kan restore hurtigt og sikkert.
- Leverandørkontrakter uden sikkerhedskrav: manglende krav til logning, hændelsesrapportering, patching og underleverandører.
- Ingen øvelser: incident response-planer, der aldrig er testet, fungerer sjældent under pres.
Sådan undgår du dem i praksis: Start med at skabe fælles sprog om risiko og prioriter 5–10 “hygiejne”-tiltag, der reducerer flest scenarier på tværs af systemer (adgang, patching, segmentering, backup/restore, overvågning og beredskab).
Sådan bygger du modenhed: en konkret og realistisk 90-dages plan
Cybermodenhed bygges ikke på én stor investering, men på gentagne forbedringer. En 90-dages plan kan skabe momentum og give ledelsen noget målbart at styre efter.
Første 30 dage: få overblik og stop blødning
- Lav en enkel, opdateret liste over de vigtigste aktiver: AD/Entra, mail, netværk, backup, centrale fagsystemer og integrationer.
- Indfør minimumskrav til adgang: MFA overalt hvor muligt, fjern delte konti, og begynd at stramme admin-rettigheder.
- Gennemgå backup: findes der offline/immutable kopier, og hvornår er der sidst lavet restore-test?
- Definér “hvem ringer til hvem” ved hændelser: en kort eskaleringsliste og en simpel beslutningslog.
Næste 30 dage: standardisér og gør ansvar tydeligt
- Fastlæg patch- og sårbarhedscyklus (hvad er kritisk, hvad er normal, hvem godkender undtagelser?).
- Skab en basal log- og overvågningsstrategi: hvilke hændelser vil I opdage, og hvem reagerer?
- Gennemgå leverandører: hvem har fjernadgang, hvilke SLA’er gælder, og hvordan rapporteres hændelser?
Sidste 30 dage: øv, mål og prioriter næste kvartal
- Kør en bordøvelse på ransomware eller datalæk: 60–90 minutter med it, ledelse, kommunikation og fagområde.
- Indfør 5–8 KPI’er (fx MFA-dækning, patch-compliance, restore-tid, antal kritiske sårbarheder, phishing-rapportering).
- Prioritér næste backlog: segmentering, PAM, hardening, uddannelse og kontraktuelle krav.
Mini-konklusion: Modenhed kræver rytme: overblik, standarder og øvelser. Hvis I ikke øver, ved I reelt ikke, om I kan stå distancen.
Hvad koster det at modne cybersikkerheden i en kommune?
Det ærlige svar er: det afhænger af udgangspunktet, kompleksiteten og hvor meget der allerede findes i licenser og kompetencer. Men det er muligt at give en praktisk ramme for, hvad der driver omkostningerne, og hvor man ofte får mest effekt.
Typiske prisdrivere:
- Kompetencer og bemanding: sikkerhed er drift, ikke et projekt. Mange ender med en blanding af intern styring og ekstern specialiststøtte.
- Teknisk gæld: gamle systemer og integrationer gør segmentering, patching og hardening dyrere.
- Overvågning og respons: logopsamling, SOC/MDR og incident response-beredskab kan skaleres, men kræver tydelig scope.
- Leverandørstyring: kontraktopdateringer, audits og krav til underleverandører tager tid, men reducerer store risici.
Mit praktiske pejlemærke: Start med tiltag, der reducerer mange scenarier på én gang (MFA, adgangsbegrænsning, backup/restore, patching, segmentering). De giver ofte bedre “risk reduction per krone” end nicheværktøjer. Og husk at indregne omkostningen ved nedetid: et større driftsstop kan hurtigt æde et helt års sikkerhedsbudget i merarbejde, genopretning og tabt produktivitet.
Bedste praksis: hvad virker i kommunal virkelighed?
Best practice er ikke en liste, man kopierer; det er en praksis, man tilpasser. Men nogle greb går igen i kommuner, der løfter modenheden uden at drukne i bureaukrati:
Gør cybersikkerhed til ledelsesdisciplin
Hvis ledelsen kun ser cybersikkerhed som “it-ting”, bliver det reaktivt. Få derfor risiko på dagsordenen med få, forståelige målepunkter: “Hvor hurtigt kan vi gendanne?”, “Hvor mange har stærk login?”, “Hvilke leverandører er kritiske?” Det skaber beslutningskraft.
Byg bro mellem forretning og teknik
Fagområderne kan sjældent selv vurdere tekniske risici, men de kan vurdere konsekvenser. Brug derfor scenarier: “Hvis omsorgssystemet er nede i 48 timer, hvad gør vi?” Det gør prioriteringer konkrete og hjælper med at definere acceptable nødprocedurer.
Mini-konklusion: De bedste kommuner lykkes ikke, fordi de har flest værktøjer, men fordi de har klare beslutninger, trænet beredskab og konsekvent adgangsstyring.
Fra compliance til modning: sådan får du varig effekt af kravene
Hvis lovkrav skal blive til reel modning, skal de kobles til driftens virkelighed og til en plan, der kan gennemføres. Tre råd, der næsten altid gør forskellen:
- Start med risikobilledet: Hvilke 5 hændelser er mest sandsynlige og mest alvorlige for jer? Byg kontroller efter det.
- Dokumentér det, I gør — ikke det, I ønsker: papir-politikker uden efterlevelse skaber falsk tryghed.
- Træn organisationen: en øvelse hvert kvartal slår en tyk plan én gang om året.
Det er her, kravene faktisk hjælper: de presser jer til at definere ansvar, lave systematik og skabe sporbarhed. Men effekten kommer først, når I bruger det som motor til kontinuerlig forbedring og ikke som et engangsprojekt.
Mini-konklusion: Når kommunen bruger lovkrav som struktur for hverdagspraksis, bliver cybersikkerhed en del af kvaliteten i kerneopgaven — og ikke et bilag til revisionen.