Analyser fokuserer på aktuelle emner, som er særlig relevante for Nationalbankens formål. Analyserne kan også indeholde Nationalbankens anbefalinger. Her finder du bl.a. vores prognose for dansk økonomi og vores vurdering af den finansielle stabilitet. Analyser henvender sig til dig, der har en bred interesse for økonomiske og finansielle forhold.
Trusselsbilledet kræver vedvarende arbejde for at øge cyberrobustheden
Finansielle transaktioner i den danske infrastruktur for over 700 mia. kr. dagligt skal beskyttes mod cyberangreb og andre operationelle hændelser. Derfor har Nationalbanken i en spørgeskemaundersøgelse spurgt ind til det aktuelle niveau af robusthed. Besvarelserne indikerer en høj robusthed men peger samtidig på, at der fortsat er mulighed for forbedringer på flere områder.
Hovedbudskaber
Hvorfor er det vigtigt?
Aktører i den finansielle sektor er ansvarlige for drift af den finansielle infrastruktur, der er kritisk for samfundet. Den finansielle infrastruktur sikrer blandt andet, at der kan gennemføres finansielle transaktioner for over 700 mia. kr. i gennemsnit hver dag; at borgere kan betale i butikker; og at virksomheder kan foretage lønudbetalinger.
Driften af kritisk finansiel infrastruktur kan trues af alvorlige cyberangreb eller andre hændelser, der kan give forstyrrelser og nedbrud. I særligt kritiske situationer kan det udgøre en trussel mod både de enkelte finansielle virksomheders fortsatte drift og den finansielle stabilitet. Derfor er det vigtigt, at virksomhederne arbejder kontinuerligt på at forhindre både nedbrud og angreb fra ondsindede aktører, og at de forbereder sig på at håndtere kritiske situationer, der måtte opstå.
Hovedfigur
Flere cyberangreb fører til betydelige hændelser
Anm.:
Figuren viser andelen af europæiske banker, der har registreret cyberangreb, som har resulteret i betydelige hændelser. Populationen dækker 85 europæiske banker. Danske Bank, Jyske Bank og Nykredit Realkredit indgår i populationen. En betydelig hændelse (major ICT-related incident) er en hændelse, der har en stor negativ indvirkning på netværk og informationssystemer, der understøtter kritiske eller vigtige funktioner i den finansielle virksomhed.
Kilde:
EBA, Risk Assessment Questionnaire.
Høj modenhed med behov for at følge udviklingen i trusselsbilledet
Nationalbankens seneste undersøgelse af robusthed over for cyberangreb og andre operationelle hændelser peger på, at de centrale aktører i den finansielle sektor har et højt niveau af modenhed. Idet aktørerne selv har ansvaret for at opretholde et højt niveau af modenhed, er der dog variationer på tværs af deltagerne og områderne og fortsat muligheder for forbedringer. Undersøgelsen er beskrevet nærmere i boks 1, og deltagerne i undersøgelsen er beskrevet i boks 2.
Blandt forbedringsområderne er endnu bedre overblik over datatrafik, yderligere beskyttelse mod cyberangreb, forberedelse på implementering af kvantesikker kryptering og eksekverbare exitstrategier, dvs. muligheden for at udskifte en leverandør uden afbrud af forretningsaktiviteter. Blandt forbedringsområderne er også yderligere forberedelse af beredskab og genopretning af systemer og data i ekstreme, plausible scenarier, og endelig er der også mulighed for forbedring af ledelsesengagementet enkelte steder. Disse områder bliver uddybet i kapitel 2.
Trods det høje niveau af modenhed udfordres robustheden af udviklingen i trusselsbilledet, der er sammensat af forskelligartede trusler fra ondsindede aktører med forskellige intentioner og kompetencer, fx fra cyberkriminelle og hybride angreb. Samtidig vinder nye teknologier frem, som også forventes brugt af ondsindede aktører. Det sammensatte risikobillede betyder, at det er vigtigt at følge udviklingen tæt for at opretholde et højt niveau af robusthed over for truslerne.
Boks 1
Danmarks Nationalbanks undersøgelse af operationel robusthed i den finansielle sektor
Formålet med Nationalbankens spørgeskemaundersøgelse af robusthed over for cyberangreb og andre operationelle hændelser i den finansielle sektor er at give et billede af det aktuelle niveau af robusthed blandt de centrale aktører i den danske finansielle sektor. Dataindsamlingen blev gennemført ultimo 2024. Der er tidligere indsamlet data om cyberrobusthed i den finansielle sektor i 2016, 2018, 2020 og 2022.
Deltagerne i undersøgelsen angiver selv deres niveau, og der foretages ingen efterprøvning af de afgivne svar. Resultaterne i denne analyse bygger på besvarelser fra 19 centrale aktører i den danske finansielle sektor, som består af systemisk vigtige banker og realkreditinstitutter, datacentraler og finansielle infrastrukturselskaber.
Det anvendte spørgeskema har 46 spørgsmål med en række tilknyttede svarmuligheder. Spørgsmålene er udvalgt, så de giver en indikation af, hvor robuste undersøgelsens deltagere er over for cyberangreb og andre operationelle hændelser. Der indhentes blandt andet information om deltagernes risikostyring, hændelseshåndtering, test og tredjepartsrisikostyring, og det undersøges, hvor formaliseret og konsistent deltagerne arbejder med dette.
Nationalbankens undersøgelse af cyberrobustheden anvendes både af de enkelte deltagere i undersøgelsen og på sektorniveau som input til arbejdet med cybersikkerhed i Finansielt Sektorforum for Operationel Robusthed, FSOR. Hver respondent modtager en individuel tilbagemelding, der indeholder både anonymiserede benchmarks og en oversigt over egne svar inden for de analyserede områder. Det giver virksomhederne konkrete input til potentielle forbedringer. Undersøgelsen indgår desuden i FSOR’s risikoanalyse, som identificerer de største trusler mod sektoren og danner grundlag for fælles initiativer, der skal styrke cyberrobustheden. Endelig drøftes undersøgelsens resultater med relevante aktører som led i Nationalbankens overvågning af de vigtigste betalings- og afviklingssystemer.
Trusselsbilledet udvikler sig
Cybertruslen er høj, og flere cyberangreb fører til betydelige hændelser i den finansielle sektor, se figur 1. Figuren viser, at andelen af europæiske banker, der har registreret cyberangreb, som resulterede i betydelige hændelser i den finansielle sektor, er steget fra 25 pct. i 1. halvår 2024 til 35 pct. i 2. halvår 2024.1 Styrelsen for samfundssikkerhed vurderer, at truslen om cyberkriminalitet mod finanssektoren er meget høj, truslen fra cyberaktivisme er høj, og truslen fra henholdsvis cyberspionage og destruktive cyberangreb er middel.2
Figur 1
Flere cyberangreb fører til betydelige hændelser
Anm.:
Figuren er baseret på en spørgeskemaundersøgelse fra Den Europæiske Banktilsynsmyndighed, EBA. Populationen dækker 85 europæiske banker. Danske Bank, Jyske Bank og Nykredit Realkredit indgår i populationen. En betydelig hændelse (major ICT-related incident) er en hændelse, der har en stor negativ indvirkning på netværk og informationssystemer, der understøtter kritiske eller vigtige funktioner i den finansielle virksomhed.
Kilde:
EBA, Risk Assessment Questionnaire.
Geopolitiske spændinger er en af de faktorer, der påvirker trusselsbilledet. Forsvarets Efterretningstjeneste, FE, vurderer, at Rusland for øjeblikket fører en hybridkrig mod Nato og Vesten, og at det er meget sandsynligt, at den hybride trussel fra Rusland mod Nato vil stige i de kommende år.3 Ifølge FE anvender Rusland allerede en række hybride virkemidler4 mod vestlige lande. Eksempler på hybride hændelser inkluderer sabotage af kritisk infrastruktur som fx overrivning af søkabler, droneaktivitet, cyberangreb, påvirkningskampagner og GPS-jamming. Også andre geopolitiske forhold giver løbende anledning til bekymringer, fx gav regeringsskiftet i USA i januar 2025 anledning til usikkerhed.
Også den teknologiske udvikling medfører et stadigt behov for at udvikle robustheden over for nye typer cyberangreb. Udviklingen inden for kunstig intelligens har i de seneste år ført til nye anvendelsesmuligheder i forbindelse med cyberangreb. Samtidig sker der fremskridt i udviklingen af kvantecomputere, der inden for en årrække potentielt vil kunne bryde meget af den kryptering, der benyttes i dag.
Ud over de udefrakommende trusler mod drift af it-infrastruktur skal de centrale finansielle aktører også kunne håndtere driftsafbrydelser, som bunder i fx menneskelige fejl eller tekniske problemer som fx nedbruddet hos Nets i juli 2025, hvor en komponentfejl i Nets’ bagvedliggende it-infrastruktur førte til et cirka tre timer langt nedbrud, hvor mange korttransaktioner ikke kunne gennemføres.5
Boks 2
Centrale aktører i den finansielle sektor
Undersøgelsens deltagere består af systemisk vigtige banker og realkreditinstitutter (SIFI’er), datacentraler og de virksomheder, der står for drift af kritisk infrastruktur. De er alle medlemmer af Finansielt Sektorforum for Operationel Robusthed, FSOR.
FSOR er et offentlig-privat samarbejdsforum i den finansielle sektor, der har til formål at øge den operationelle robusthed på tværs af sektoren, herunder robustheden over for cyberangreb. I FSOR deltager desuden repræsentanter for forsikrings- og pensionssektoren, erhvervs- og brancheorganisationer samt relevante myndigheder. FSOR er ledet af Nationalbanken, som er formand og sekretariat. For yderligere information om Nationalbanken og FSOR’s arbejde med operationel robusthed og cyber, se Nationalbankens hjemmeside (link).
De mest centrale aktører i den finansielle sektor
Der arbejdes vedvarende med at øge modenheden
Undersøgelsen indikerer overordnet en høj robusthed over for cyberrisici og andre operationelle risici i den finansielle sektor – med mulighed for forbedringer. Forbedringsmulighederne kan samles i nedenstående områder, som beskrives mere detaljeret efterfølgende.
- Overblik over datatrafik
- Tiltag til yderligere beskyttelse mod cyberangreb
- Forberedelse på implementering af kvantesikker kryptering
- Effektiv leverandørstyring og udarbejdelse af eksekverbare exitstrategier
- Forberedelse af videreførelse af forretningen også i ekstreme scenarier
- Vigtigheden af ledelsesengagement.
Godt fundament kan styrkes yderligere med endnu bedre overblik over datatrafik
Et godt overblik gør det muligt at prioritere indsatsen i forhold til risikostyring og forretningsvidereførelse. Et vigtigt element i at skabe et overblik er analyser af forretningskonsekvenser (såkaldte Business Impact Analyses, forkortet BIA). I lighed med tidligere undersøgelser har alle de centrale aktører angivet, at de har udarbejdet et sådant overblik.
Udarbejdelse af BIA'er er en systematisk proces, hvor virksomhedens kritiske funktioner identificeres, og hvor det vurderes, hvilke konsekvenser afbrydelser i disse funktioner forventes at medføre. Det er en kompleks proces, som involverer mange dele af virksomheden og mange forskellige fag- og ekspertisegrupper, herunder:
- Ledelsen, der kan træffe de nødvendige beslutninger
- It- og cybersikkerhedsfunktioner, der kan vurdere tekniske afhængigheder, sårbarheder og genopretningsmuligheder
- Forretningsenheder, der har indsigt i, hvilken påvirkning der er på virksomhedens kunder og de services, der tilbydes
- Kommunikations- og beredskabsenheder, der planlægger håndtering af hændelser.
Det overblik, som BIA’erne giver, er nødvendigt for mest effektivt at kunne identificere og beskytte ens væsentligste forretningsaktiviteter og reagere hurtigt på hændelser. Overblikket giver organisationer et bedre udgangspunkt for at forberede sig på og minimere potentielle konsekvenser af hændelser og nedbrud. Det er derfor vigtigt, at overblikket har højest mulig kvalitet, så virksomheden har identificeret alle hjørner af de mest kritiske forretningsprocesser og ressourcer, der er nødvendige for at opretholde virksomhedens drift.
Et andet element i at skabe overblik er at kortlægge den sædvanlige datatrafik i virksomheden, så afvigelser hurtigere kan opdages. Nogle aktører kan udarbejde endnu bedre overblik over datatrafik. Næsten alle de adspurgte i den finansielle sektor har vurderet at have tilstrækkelige ressourcer og kompetencer til at overvåge aktiviteten i systemerne.
God styring af cyberrisici kan udbygges med endnu flere tiltag
Styring af cyberrisici vedrører en lang række aktiviteter, blandt andet adgangsstyring, registrering af brugerne (logning), opdeling af virksomhedens forskellige netværk (segmentering) og uddannelse af medarbejderne i cyberrisici og god digital adfærd (awareness training). Undersøgelsen indikerer, at flere adspurgte end tidligere har endnu flere foranstaltninger på disse områder. Selvom modenheden er steget og er på et højt niveau, er der fortsat potentiale for forbedringer. Blandt andet kan fremhæves følgende, som har stor effekt i forhold til at vanskeliggøre en ondsindet aktørs handlemuligheder:
- Effektiv adgangsstyring. Det sikrer, at kun autoriserede medarbejdere får adgang. Indføres der endnu større sikkerhedsforanstaltninger for udvalgte grupper af medarbejdere i virksomhedens administrationssystem, bliver det endnu vanskeligere for indtrængende aktører at opnå uautoriseret adgang til virksomhedens kritiske systemer.
- Netværk. Opdeling og isolering af netværk (segmentering) gør det vanskeligt for indtrængende aktører at bevæge sig rundt i virksomhedens systemer, hvilket kan begrænse deres handlemuligheder og dermed konsekvenserne.
Den finansielle sektors kryptering skal forberedes til fremtidens kvantecomputere
Kryptering af data er vigtigt, fordi det beskytter oplysninger mod uautoriseret adgang, hvor ondsindede aktører får adgang til at læse fortrolige data eller manipulere data. I betalingsinfrastrukturen er det også meget vigtigt, at man kan verificere identiteten af dem, man kommunikerer med, så man kan stole på, at betalinger sendes til og fra de rigtige konti, og at ondsindede aktører ikke kan manipulere med betalingsoplysningerne.
Undersøgelsen indikerer, at de centrale aktører i den finansielle sektor alle har fastlagt regler for kryptering af data, herunder både for lagrede data og data i transit, samt for kryptering af netværksforbindelser og datatrafik med eksterne parter.
Eksperter i kvantecomputere forventer, at nogle af de mest almindeligt benyttede krypteringsnøgler vil blive ubrugelige i fremtiden. Den fortsatte udvikling af kvantecomputere vil på et tidspunkt gøre det muligt at bryde krypteringsteknologierne, se boks 3. Processen med at identificere udsatte it-systemer og data og derefter implementere kvantesikker kryptering kan tage mange år. Derfor er der behov for at begynde forberedelserne. Der er også opmærksomhed på denne problemstilling internationalt. Ifølge Europa-Kommissionens roadmap for overgangen til kvantesikker kryptering bør man, hvis man har ansvar for kritisk infrastruktur – herunder kritisk infrastruktur i den finansielle sektor – sikre den med kvantesikre kryptografiske løsninger hurtigst muligt og ikke senere end 2030.6
Det bedste udgangspunkt for at planlægge og implementere kvantesikker kryptering er et opdateret overblik over kryptografiske aktiver, dvs. kryptografiske nøgler og certifikater, og deres anvendelsesområde. Nationalbankens undersøgelse indikerer, at flere af de centrale aktører i den finansielle sektor med fordel kan forberede sig bedre på implementering af kvantesikker kryptering.
Boks 3
Truslen fra kvantecomputere
Førende eksperter inden for forskning i kvantecomputere bidrager hvert år til en undersøgelse af, hvornår en kvantecomputer forventes at kunne bryde den eksisterende kryptering. I 2024 vurderede næsten en tredjedel af de adspurgte eksperter, at der er 50 pct. eller højere sandsynlighed for, at en sådan kvantecomputer vil være tilgængelig senest i 2034.B1-1
Alternative it-leverandører fra Europa kan være vanskelige at finde
Mange virksomheder indkøber it-systemer og services fra specialiserede, eksterne it-leverandører. Leverandørstyring er derfor en central del af at sikre en virksomheds robusthed. Sårbarheder i leverandørkæden kan forårsage driftsafbrydelser eller udnyttes af ondsindede aktører, som fx kan kompromittere virksomheden ved at introducere bagdøre i anvendte services eller software. Der er i de seneste år set en lang række cyberangreb på leverandører.
Når en virksomhed uddelegerer opgaver til en leverandør, er det stadig virksomhedens ansvar at sikre et tilstrækkeligt niveau af robusthed. Robustheden styrkes dels ved en effektiv leverandørstyring, som blandt andet inkluderer identifikation og løbende overvågning og styring af risici forbundet med ens leverandørkæde, dels ved at indgå kontrakter, der blandt andet specificerer ansvarsfordeling, tilsyns- og rapporteringsmekanismer, exitstrategi og adgang til data.
Undersøgelsen indikerer, at de centrale aktører i den finansielle sektor grundlæggende har en moden tilgang til leverandørstyring baseret på en opdateret politik herfor. De har overblik over deres leverandører og kontrakter, og de har overblik over, hvilke forretningsprocesser der understøttes af leverandørernes ydelser, herunder hvordan leverandørerne understøtter virksomhedens kritiske funktioner.
Dog indikerer undersøgelsen også, at flere af de centrale aktører kan forbedre deres leverandørstyring i forhold til fastlæggelse af exitstrategier, hvis der opstår situationer, hvor leverandørskift er nødvendigt. En effektiv exitstrategi beskriver alternative løsninger for outsourcede services og indeholder planer for, hvordan virksomheden kan overføre data til en alternativ leverandør eller hjemtage outsourcede aktiviteter. Exitplaner for leverandører, der understøtter kritisk infrastruktur, bør godkendes af virksomhedens direktion, og planerne bør regelmæssigt genbesøges og testes.
Udarbejdelse af exitstrategier kan besværliggøres af, at det kan være vanskeligt at finde alternative leverandører – særligt hvis man ønsker at undgå risikoen ved udelukkende at være afhængig af leverandører fra samme geografiske områder.
Planer for beredskab og genopretning af systemer og data skal kunne håndtere forskelligartede, alvorlige scenarier
Trods vedvarende arbejde med cyberrisici og andre operationelle risici er det ikke muligt at sikre sig fuldstændigt mod alvorlige driftsafbrydelser. Derfor er det essentielt at have planer for beredskab, forretningsvidereførelse og genopretning af systemer og data til at håndtere de driftsforstyrrelser.
Virksomhederne skal også være forberedte på at håndtere ekstreme, men plausible scenarier, så kritiske forretningsaktiviteter kan gennemføres inden for en rimelig tidshorisont også i de situationer. Det er vigtigt for at bevare tilliden til den finansielle sektor. Den seneste udvikling i den geopolitiske situation indikerer, at der er behov for at være forberedt på at kunne håndtere mere alvorlige hændelser, end vi hidtil har set, og det skærpede risikobillede understreger relevansen af at gardere sig mod ekstreme, plausible scenarier, der ikke nødvendigvis kan håndteres af det nuværende setup. Skulle en meget alvorlig hændelse opstå, er det vigtigt på forhånd at have identificeret, hvilke forretningsaktiviteter det er mest kritisk at kunne opretholde i alvorlige scenarier, og at have planlagt og forberedt sig på at håndtere basale, forretningskritiske aktiviteter uafhængigt af den it-infrastruktur, der normalt benyttes. Planerne skal genbesøges og testes regelmæssigt.
Undersøgelsen indikerer, at de centrale aktører i den finansielle sektor har forberedt sig grundigt på at håndtere driftsafbrydelser med udarbejdelse og test af planer for forretningsvidereførelse og genoprettelse af systemer og data. Aktørerne har ligeledes nedsat krisestyringsfunktioner med klart definerede roller og ansvar for relevante interne og eksterne parter. Planerne er dog ikke altid tilstrækkelige til at sikre fortsat drift og hurtig genopretning af systemer og data i de mest alvorlige scenarier, idet ikke alle centrale aktører i den finansielle sektor er fuldt forberedt på de mest alvorlige scenarier.
I forhold til tidligere undersøgelser indikerer denne undersøgelse, at der er sket forbedringer på flere punkter inden for beredskab og genopretning af systemer og data. En større andel af de centrale aktører i den finansielle sektor har nu placeret ansvaret for beredskab mv. hos direktion eller bestyrelse. Det er positivt, da forankring hos den øverste ledelse er en stærk katalysator for, at en organisation afsætter ressourcer til et passende beredskab. Desuden peger undersøgelsen på, at roller for beredskab og genopretning er klart definerede og koordineret med alle relevante interessenter.
Undersøgelsen peger også på flere forbedringsmuligheder. For det første er der fortsat nogle af de centrale aktører, som endnu ikke har placeret ansvaret for beredskabsplaner og planer for genetablering af systemer og data hos den øverste ledelse. For det andet er der flere, som kan gøre endnu mere for at forberede sig på at opretholde driften også i de mest alvorlige scenarier.
Ledelserne tager i højere grad ansvaret på sig
Det er vigtigt, at virksomhedens øverste ledelse, dvs. bestyrelse og direktion, engagerer sig i arbejdet med cyberrisici og andre operationelle risici, og at ansvar for sikkerhed og beredskab forankres hos den øverste ledelse. Dette er vigtigt for at understøtte koblingen mellem virksomhedens forretningsområder, it og sikkerhed, og det er en forudsætning for en tilstrækkelig ressourceallokering og prioritering i organisationen.
For bestyrelse og direktion er det vigtigt at fastsætte rammer, som organisationen skal arbejde ud fra. Det er også vigtigt, at rammerne genbesøges jævnligt og minimum årligt, så de er opdaterede. Ledelsens fastlagte strategi og rammeværk skal være operationelle, og ledelsen skal kunne følge op på organisationens arbejde, fx ved at fastlægge overordnede målsætninger, der specificeres i mere konkrete projekter, aktiviteter og andre målbare forhold.
Tidligere undersøgelser har vist, at der er en positiv sammenhæng mellem stærk ledelsesforankring og organisationens øvrige modenhed. Ledelsesansvar har samtidig været et område med forbedringspotentiale, og vigtigheden har derfor været fremhævet. I denne undersøgelse har ledelsen hos endnu flere af undersøgelsens deltagere forbedret forholdene omkring ansvarsplaceringen. Der er dog fortsat nogle af de adspurgte, som med fordel kan forbedre dette.
Analysen består af en dansk og engelsk version. I tilfælde af tvivl om oversættelsens korrekthed gælder den danske version.
Redaktionen er afsluttet 7. november 2025.