Hvad er forskellen på en hændelse (incident) og en alarm (alert)?

En alarm er et signal om mulig mistænkelig aktivitet — der kommer mange, og de fleste er falske. En hændelse er en bekræftet kompromittering eller et bekræftet brud på sikkerheden. Analysearbejdet i fase 2 handler netop om at skille de to ad.

Har en lille virksomhed brug for en IR-plan?

Ja — måske mere end de store, fordi der ikke er et internt sikkerhedsteam at trække på. En SMV-plan kan være få sider: roller, kontakter, de tre vigtigste playbooks og aftalen med ekstern hjælp.

Skal vi betale løsesum ved ransomware?

Det er en forretningsbeslutning med juridiske, etiske og praktiske dimensioner — og betaling garanterer hverken data retur eller fred fremover. En IR-plan bør tage stilling til spørgsmålet før det bliver akut, sammen med jeres backup-strategi.

Hvad er en tabletop-øvelse?

En struktureret gennemgang af et hændelsesscenarie på papir/whiteboard, hvor nøglepersoner spiller deres roller igennem uden at røre systemerne. Det er den billigste måde at finde hullerne i planen på — og NIS2-vejledningerne anbefaler netop afprøvning af beredskabet i praksis.

Viden

Hvad er incident response — og hvorfor afgør forberedelsen udfaldet?

Incident response (IR) er den strukturerede proces, en virksomhed følger, når en sikkerhedshændelse opstår: fra detektion og analyse over inddæmning og udryddelse til genopretning og læring. Målet er at minimere skade, nedetid og omkostninger — og forskellen på et kontrolleret forløb og kaos afgøres næsten altid af, hvad der var forberedt på forhånd.

Udgivet: 13. juni 2026Opdateret: 13. juni 2026Læsetid: 5 min.

Hvorfor er incident response vigtigt?

En sikkerhedshændelse er ikke et spørgsmål om hvis, men hvornår. Uden en plan træffes de første, mest kritiske beslutninger — skal serveren slukkes? hvem ringer vi til? må vi slette noget? — under maksimalt pres af personer, der aldrig har prøvet det før. Det fører typisk til ødelagte beviser, længere nedetid og større omkostninger.

Med en plan ved alle, hvad deres rolle er, hvem der har mandat til at beslutte, og hvilke skridt der kommer i hvilken rækkefølge.

Hvad er de seks faser i incident response?

Den mest udbredte model (baseret på NIST og SANS) deler forløbet i seks faser:

Forberedelse: IR-plan, roller, kontaktlister, logning, backups og øvelser — alt det, der skal være på plads før hændelsen.
Detektion og analyse: Opdag hændelsen (fx via SIEM/XDR), vurdér omfang og alvor, og afgør om det er en reel hændelse.
Inddæmning: Stop spredningen — isolér systemer og konti uden at ødelægge beviser.
Udryddelse: Fjern årsagen: malware, kompromitterede konti, sårbarheden der gav adgang.
Genopretning: Bring systemer kontrolleret tilbage i drift og overvåg for tilbagefald.
Læring: Evaluér forløbet, opdatér planen og luk de huller, hændelsen afslørede.

Hvad skal en incident response-plan indeholde?

Som minimum: definerede roller og beslutningsmandater, en eskalationskæde med kontaktoplysninger (også uden for arbejdstid), klassificering af hændelsestyper og alvorlighed, konkrete playbooks for de mest sandsynlige scenarier (ransomware, kompromitteret mailkonto, datalæk), krav til bevissikring og logning, samt skabeloner til intern og ekstern kommunikation.

Planen skal kunne bruges af et menneske under pres — korte tjeklister slår lange politikdokumenter.

Hvilke krav stiller NIS2 til hændelseshåndtering?

NIS2-loven gør hændelseshåndtering til et eksplicit krav og sætter skarpe frister for underretning: En tidlig varsling skal afgives inden for 24 timer efter, at en væsentlig hændelse er konstateret, fulgt af en mere uddybende underretning inden for 72 timer og en afsluttende rapport. I Danmark håndteres indberetninger af den nationale CSIRT hos Forsvarets Efterretningstjeneste.

Fristerne betyder i praksis, at detektion, vurdering og rapporteringsproces skal være på plads på forhånd — 24 timer er meget kort tid, hvis man først skal opfinde processen, mens det brænder.

Ofte stillede spørgsmål

Hvad er forskellen på en hændelse (incident) og en alarm (alert)?
En alarm er et signal om mulig mistænkelig aktivitet — der kommer mange, og de fleste er falske. En hændelse er en bekræftet kompromittering eller et bekræftet brud på sikkerheden. Analysearbejdet i fase 2 handler netop om at skille de to ad.
Har en lille virksomhed brug for en IR-plan?
Ja — måske mere end de store, fordi der ikke er et internt sikkerhedsteam at trække på. En SMV-plan kan være få sider: roller, kontakter, de tre vigtigste playbooks og aftalen med ekstern hjælp.
Skal vi betale løsesum ved ransomware?
Det er en forretningsbeslutning med juridiske, etiske og praktiske dimensioner — og betaling garanterer hverken data retur eller fred fremover. En IR-plan bør tage stilling til spørgsmålet før det bliver akut, sammen med jeres backup-strategi.
Hvad er en tabletop-øvelse?
En struktureret gennemgang af et hændelsesscenarie på papir/whiteboard, hvor nøglepersoner spiller deres roller igennem uden at røre systemerne. Det er den billigste måde at finde hullerne i planen på — og NIS2-vejledningerne anbefaler netop afprøvning af beredskabet i praksis.

Kilder

NIS 2-loven og Styrelsen for Samfundssikkerheds vejledning om hændelsesunderretning (samsik.dk)

Forsvarets Efterretningstjeneste, national CSIRT (fe-ddis.dk)

NIST SP 800-61: Computer Security Incident Handling Guide

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.

Book en afklaringssamtale Se relateret ydelse

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.