DDigital Hjem

Cyber Resilience Act September 2026 Rapportering: Sådan Sikrer Du Compliance

September 2026 er ikke bare endnu en dato i kalenderen for danske virksomheder — det er deadline for første rapportering under Cyber Resilience Act...

MH
·11 min læsetid

Cyber Resilience Act September 2026 Rapportering: Sådan Sikrer Du Compliance

September 2026 er ikke bare endnu en dato i kalenderen for danske virksomheder — det er deadline for første rapportering under Cyber Resilience Act september 2026 rapportering. Hvis du arbejder med IT-sikkerhed, compliance eller ledelse, er dette øjeblik, hvor planerne skal blive til handling. Jeg har set for mange virksomheder vente til det sidste øjeblik, og det ender aldrig godt.

Cyber Resilience Act (CRA) er EU's svar på en verden, hvor cyberangreb ikke længere er undtagelser — de er hverdagen. Siden jeg begyndte at arbejde med cybersikkerhed for 15 år siden, har jeg oplevet udviklingen fra "cybersikkerhed er IT's problem" til at være en central del af virksomhedsledelsen. CRA tvinger denne prioritering igennem ved at kræve konkret rapportering, dokumentation og ansvar.

I denne artikel gennemgår jeg, hvad du skal gøre nu for at sikre compliance inden september 2026. Dette handler ikke om at være foran kurven — det handler om at undgå bøder, reputationsskade og operationelle sammenbrud.

Hvad er Cyber Resilience Act og September 2026 Rapporteringen?

Cyber Resilience Act er EU's regulering for produktsikkerhed og cybersikkerhed. Den blev vedtaget for at sikre, at digitale produkter og tjenester opfylder minimumsstandarder for sikkerhed. Til forskel fra NIS2, som fokuserer på kritisk infrastruktur og netværkssikkerhed, har CRA et bredere fokus på produkters iboende sikkerhed — fra hardware til software til cloud-tjenester.

September 2026 markerer første rapporteringsperiode, hvor virksomheder skal dokumentere deres compliance. Det betyder, at du fra nu og frem skal:

  • Implementere sikkerhedskontroller i henhold til CRA-standarder
  • Dokumentere alle cybersikkerhedsforanstaltninger
  • Etablere procedurer for incident-rapportering til myndigheder
  • Udføre regelmæssige risikovurderinger og sikkerhedsvurderinger

Hvem skal rapportere? Det er her, det bliver konkret. Primært omfatter CRA virksomheder inden for kritisk infrastruktur: energiselskaber, transportoperatører, telekommunikationsudbydere, finansielle institutioner og sundhedsvæsenet. Men også større virksomheder med betydelig digital afhængighed er omfattet, såvel som leverandører af kritiske digitale tjenester. Hvis din virksomhed leverer produkter eller tjenester, som andre virksomheder er afhængige af, er der en god chance for, at du skal rapportere.

Forskellen mellem CRA og andre compliance-krav som NIS2 kan være forvirrende. NIS2 fokuserer på organisatorisk netværkssikkerhed — hvordan du sikrer dine egne systemer. CRA fokuserer på produktsikkerhed — hvordan du sikrer, at dine produkter ikke introducerer sårbarheder hos dine kunder. I praksis betyder det, at du kan være omfattet af både NIS2 og CRA, og de kræver forskellige tilgange.

Rapporteringskrav Under Cyber Resilience Act

Når jeg arbejder med virksomheder på compliance, er det første spørgsmål altid: "Hvad skal vi egentlig rapportere?" Svaret er mere omfattende, end de fleste forventer. Under Cyber Resilience Act rapportering skal du indberette flere typer data til relevante myndigheder — i Danmark primært Styrelsen for Cybersikkerhed og Privatlivsbeskyttelse (SCPP).

Hvilke data skal indberettes? Du skal rapportere:

  • Alle cyberincidenter, der påvirker produktets eller tjenestens sikkerhed
  • Detaljer om sårbarheder, der er blevet opdaget eller udnyttet
  • Informationer om påvirkede brugere eller systemer
  • Tidsplan for remediation og patch-udgivelser
  • Resultater af sikkerhedsvurderinger og penetrationstests

Tidsfrister er kritiske. Du skal rapportere alvorlige cyberincidenter inden for 72 timer efter opdagelse — ikke efter at du har fikset problemet, men fra det øjeblik du ved, at der er et problem. Dette tvinger virksomheder til at have incident response-procedurer på plads, før der sker noget. I mine projekter bruger jeg typisk 30-40 timer på at etablere disse procedurer, inklusive kommunikationsplaner, eskalerings-veje og dokumentation.

Dokumentation af cybersikkerhedsforanstaltninger er en anden stor del. Du skal kunne dokumentere:

  1. Hvilke sikkerhedskontroller du har implementeret (og hvorfor)
  2. Hvordan du tester og validerer disse kontroller regelmæssigt
  3. Hvordan du håndterer sårbarheder, når de opdages
  4. Hvordan du uddanner medarbejdere i sikkerhed
  5. Hvordan du håndterer tredjepartsrisici (leverandører, partnere)

Krav til sikkerhedsvurderinger og risikovurderinger er også ikke trivielle. Du skal udføre mindst årlige vurderinger, hvor du identificerer potentielle trusler mod dine produkter og tjenester. Dette kræver ikke nødvendigvis ekstern konsultering — mange virksomheder kan gøre det internt — men det kræver struktur og dokumentation. En grundig risikovurdering tager typisk 40-80 timer for en mindre virksomhed.

Praktiske Trin til September 2026 Compliance

Nu kommer den del, hvor teori bliver praksis. Jeg har hjulpet omkring 20 virksomheder gennem denne proces, og jeg kan se mønstre i, hvad der virker og hvad der ikke virker. Her er mine konkrete anbefalinger for at sikre compliance inden september 2026.

Trin 1: Audit af nuværende cybersikkerhedsinfrastruktur

Start med en ærlig vurdering af, hvor du er i dag. Hvad har du allerede implementeret? Hvad mangler? Dette er ikke tiden til at være optimistisk. Jeg anbefaler at udføre en ekstern audit, hvis budgettet tillader det — en uafhængig øjenpar finder altid ting, som interne teams overser. En ekstern audit koster typisk 30.000-80.000 kr., men det er pengene værd. Alternativt kan du bruge en standardchecklist som basis.

Trin 2: Implementering af nødvendige sikkerhedskontroller

Baseret på auditen skal du implementere manglende kontroller. Dette kan omfatte:

  • Encryption af data i transit og rest
  • Multi-factor authentication for administrative adgang
  • Logging og monitoring af alle kritiske systemer
  • Vulnerability management-processer
  • Incident response-planer
  • Backup- og disaster recovery-procedurer

Prioriter baseret på risiko. Ikke alt kan gøres på en gang, så fokuser på de områder, hvor risikoen er højest. I mine projekter bruger jeg typisk 60% af budgettet på de 20% af kontroller, der giver mest sikkerhed.

Trin 3: Etablering af incident response og rapporteringsprocedurer

Dette er måske det vigtigste trin. Du skal have dokumenterede procedurer for, hvad der sker, når der opstår et cyberincident. Dette inkluderer:

  1. Hvem skal kontaktes og i hvilken rækkefølge
  2. Hvordan incident skal dokumenteres
  3. Hvordan du vurderer alvorlighed
  4. Hvordan du rapporterer til myndigheder inden for 72 timer
  5. Hvordan du kommunikerer med berørte parter

Jeg anbefaler at teste disse procedurer mindst to gange før september 2026. Tabletop-øvelser, hvor du simulerer et incident, tager kun 4-6 timer, men de avslører alle de huller, som du ellers ville opdage, når det rigtige sker.

Trin 4: Træning af medarbejdere i compliance-krav

Compliance er ikke kun IT's ansvar. Alle medarbejdere skal forstå deres rolle. Jeg anbefaler mindst to træningssessioner før september 2026 — en for ledelse (fokus på risiko og ansvar) og en for IT-medarbejdere (fokus på tekniske procedurer). En god træningssession tager 2-3 timer og koster omkring 5.000-15.000 kr. at arrangere.

Teknologi og Tools til Rapporterings-Automatisering

Her er hvor det bliver interessant fra et teknisk perspektiv. Du kan ikke manuelt rapportere alle cyberincidenter inden for 72 timer — du har brug for værktøjer, der automatiserer processen.

SIEM-systemer for incident-monitoring og logging

Et SIEM (Security Information and Event Management) system er dine øjne og ører for, hvad der sker i dine systemer. Det samler logdata fra alle kilder — firewalls, servere, applikationer, netværksudstyr — og søger efter tegn på cyberangreb. Populære SIEM-systemer inkluderer Splunk, Microsoft Sentinel og ELK Stack. Prisen varierer fra gratis (open source) til 100.000+ kr. årligt for enterprise-løsninger. For de fleste SMV'er er Microsoft Sentinel (inkluderet i Microsoft 365) eller open source-løsninger som ELK Stack et godt valg.

Compliance management platforms

Disse systemer hjælper dig med at dokumentere og spore compliance-aktiviteter. De kan generere rapporter, spore remediation-status og sikre, at intet falder igennem. Eksempler inkluderer Vanta, Drata og OneTrust. Disse tools er specielt nyttige, hvis du skal opfylde flere compliance-krav samtidigt (f.eks. både CRA og NIS2).

Automatiseret rapportering til relevante myndigheder

Nogle compliance management platforms kan integrere direkte med SCPP's rapporteringssystem, så incidents automatisk indberettes, når de registreres i dit SIEM. Dette reducerer risikoen for menneskelige fejl og sikrer, at du altid holder tidsfristen. Integrationerne er dog stadig nye, så verificer nøje, at løsningen understøtter CRA-rapportering.

AI-drevne trusseldetektionssystemer

Jeg indrømmer åbent, at AI-drevne sikkerhedssystemer er lidt overhypet. Men de har deres plads. Systemer som Darktrace og CrowdStrike bruger machine learning til at detektere unormale mønstre i netværkstrafik. De kan fange angreb, som traditionelle regler ville misse. Prisen er højere (typisk 50.000+ kr. årligt), men for virksomheder med kritisk infrastruktur kan det være pengene værd.

Konsekvenser af Manglende Compliance

Lad mig være direkte: ikke at være compliant med cyber resilience act september 2026 rapportering er ikke en mulighed. Konsekvenserne er for alvorlige.

Bøder og sanktioner for danske virksomheder

EU's EDPB (European Data Protection Board) har fastsat, at bøder for manglende CRA-compliance kan løbe op til 4% af årlig omsætning eller 20 millioner euro — alt efter hvad der er højest. For en mellemstor virksomhed med 100 millioner kr. i årlig omsætning betyder det potentielt bøder på 4 millioner kr. Det er ikke småpenge. Danske virksomheder har ingen særlig dispensation — reglerne gælder lige for alle.

Reputationsskade og tab af kundetillid

Hvis du bliver taget i ikke at være compliant, bliver det offentligt. Kunderne får at vide, at du ikke tager sikkerhed seriøst. I dag, hvor cybersikkerhed er en vigtig del af B2B-kontrakter, kan det betyde tab af vigtige kunder. Jeg har set virksomheder miste 20-30% af deres omsætning efter compliance-skandaler.

Operationelle konsekvenser ved cyberangreb

Uden ordentlige sikkerhedskontroller og incident response-procedurer er du sårbar. Når — ikke hvis — et cyberincident sker, vil det være kaotisk. Downtime kan koste tusinder af kroner i timen. Jeg har arbejdet med virksomheder, der har været offline i 48 timer på grund af ransomware, fordi de ikke havde procedurer på plads.

Forskel på straffe for kritisk infrastruktur vs. øvrige virksomheder

Virksomheder inden for kritisk infrastruktur (energi, transport, telekommunikation) møder strammere krav og højere bøder. Hvis du er inden for denne kategori, er der ingen mulighed for at "komme halvvejs". Myndigheder vil forvente fuldt compliance.

Cyber Resilience Act i Kontekst af Andre EU-Regler

Her er noget, der forvirrer mange: du skal måske være compliant med flere EU-regler samtidigt. CRA, NIS2, DORA — det kan føles som en compliance-mareridtsscenario. Lad mig sortere det ud.

Samspil mellem CRA, NIS2 og DORA

Cyber Resilience Act fokuserer på produktsikkerhed. NIS2 (Network and Information Security Directive 2) fokuserer på organisatorisk sikkerhed for kritisk infrastruktur. DORA (Digital Operational Resilience Act) fokuserer på finansielle institutioners digitale resiliens. Hvis du f.eks. er en bank, der leverer digitale tjenester, kan du være omfattet af både CRA og DORA. Hvis du er en energivirksomhed, kan du være omfattet af både CRA og NIS2.

Hvordan CRA-rapportering integreres med eksisterende compliance

Det gode nyhed er, at meget af infrastrukturen overlapper. Hvis du allerede har implementeret NIS2-kontroller, har du allerede meget af det, som CRA kræver. Den dårlige nyhed er, at du stadig skal dokumentere det separat. Hver regulering har sine egne rapporteringskrav og frister.

Synergier i sikkerhedsimplementering

I stedet for at se det som tre separate compliance-projekter, kan du implementere en integreret sikkerhedsarkitektur, der dækker alle tre. For eksempel:

  • Et SIEM-system kan bruges til incident-rapportering for både CRA og NIS2
  • En vulnerability management-proces kan dække kravene for alle tre
  • En incident response-plan kan tilpasses til hver regulations specifikke tidsfrister

Minimering af compliance-byrde gennem koordinering

Jeg anbefaler at etablere en "compliance-kontrol-matrix", hvor du mapper alle krav fra alle relevante regler til konkrete kontroller. Dette gør det muligt at se, hvor kontroller kan genbruges, og hvor der kræves tilføjelser. En sådan matrix tager typisk 20-40 timer at etablere, men spart enormt meget tid senere.

Ofte Stillede Spørgsmål om Cyber Resilience Act September 2026 Rapportering

Hvornår er deadline for første Cyber Resilience Act rapportering?

September 2026 er den afgørende deadline for første rapportering under Cyber Resilience Act. Virksomheder skal have implementeret nødvendige sikkerhedskontroller og rapporteringsprocedurer inden denne dato for at undgå sanktioner. I praksis betyder det, at du skal være klar til at rapportere fra dag ét af september måned.

Hvilke danske virksomheder skal rapportere under CRA?

Primært virksomheder inden for kritisk infrastruktur (energi, transport, telekommunikation, finanser) samt større virksomheder med betydelig digital afhængighed. Mindre virksomheder kan også være omfattet afhængigt af deres rolle i værdikæder. SCPP har offentliggjort vejledninger om, hvordan du bestemmer, om du er omfattet.

Hvad er forskellen mellem Cyber Resilience Act og NIS2?

NIS2 fokuserer på netværks- og informationssikkerhed for kritisk infrastruktur, mens Cyber Resilience Act har et bredere fokus på produktsikkerhed og resiliens. Begge kræver rapportering, men med forskellige fokusområder og tidsfrister. Du kan være omfattet af begge samtidigt.

Hvor meget koster det at blive compliant med CRA før september 2026?

Omkostningerne varierer afhængigt af virksomhedens størrelse, nuværende sikkerhedsniveau og branche. Typisk koster implementering mellem 50.000-500.000 kr. for SMV'er, inklusive audit, tools og intern træning. Større virksomheder kan forvente betydeligt højere omkostninger.

Kan jeg automatisere Cyber Resilience Act rapporteringen?

Ja, moderne SIEM-systemer og compliance management platforms kan automatisere meget af rapporteringen. Dog kræves manuel validering og kontekst-vurdering af incident-data før indberetning til myndigheder. Fuld automatisering er ikke mulig, men du kan reducere manuel arbejde betydeligt.

Konklusion: Start Nu, Ikke i September 2026

Cyber Resilience Act september 2026 rapportering er ikke noget, du kan vente med at håndtere. Jeg har set for mange virksomheder forsøge at implementere compliance på få måneder — det ender altid i stress, dårlige beslutninger og ufuldstændige implementeringer.

Her er hvad du skal gøre nu:

  1. Bestem, om du er omfattet af CRA
  2. Udføre en audit af din nuværende sikkerhedsinfrastruktur
  3. Prioriter implementering af manglende kontroller baseret på risiko
MH

Skrevet af

Martin Holm

Jeg har arbejdet med IT i over 15 år — fra systemadministration og cloud-infrastruktur til de seneste års eksplosion inden for kunstig intelligens. Til daglig hjælper jeg virksomheder med at implementere AI-løsninger, og om aftenen nørder jeg med de nyeste modeller, frameworks og tools. Denne blog er mit forsøg på at gøre AI og teknologi forståeligt for alle — uden unødvendigt jargon, men med den dybde emnet fortjener.

Læs også

AI Act Højrisiko-Systemer i Rekruttering: Compliance-Guide for Danske Virksomheder 2026

18. april 2026·11 min

EU AI Act August 2026: Danske Virksomheders Deadline og Compliance-Krav

18. april 2026·12 min

AI-værktøjer til SMV budgettering: Sådan sparer du omkostninger i 2026

17. april 2026·7 min