Er jeres software klar
til fremtidens krav?
Mange systemer fungerer fint i hverdagen — men det er uklart, om de lever op til krav fra kunder, samarbejdspartnere og ny lovgivning som Cyber Resilience Act og AI Act. Det handler ikke kun om om systemet virker, men om hvordan det er bygget og vedligeholdt.
Hvad driver sikkerhedskravene?
Kravene til software og digitale produkter vokser — ikke kun fra kunder og samarbejdspartnere, men fra lovgivning. Tre tiltag er særligt relevante for virksomheder med software i dag.
Cyber Resilience Act
EU-forordning der fra 2027 stiller krav til digitale produkter — herunder sikkerhed, sårbarhedshåndtering og opdateringer fra design til ophør. Gælder SaaS, apps og embedded software.
AI Act
Indfases 2024–2027 og klassificerer AI-systemer efter risikoniveau. Har I AI i jeres produkt eller processer, kan det kræve dokumentation, test og transparens afhængigt af anvendelse.
GDPR
Ikke nyt — men stadig undervurderet. Adgangsstyring, logging og databehandling er områder, vi ofte ser fejl i, selv hos virksomheder der mener at have styr på det.
Fælles budskab: Compliance handler ikke kun om jura. Det handler om, hvordan systemet er bygget, vedligeholdt og dokumenteret. Et godt udgangspunkt er at vide, hvor man faktisk står.
Overblik er ofte udfordringen
Systemerne fungerer i daglig drift, men det er uklart hvor der bør sættes ind. I praksis oplever vi, at mange virksomheder ikke har fuldt overblik over hvilke systemer der har adgang til hvilke data, at der ikke er en klar politik for hvem der må gøre hvad i hvilke miljøer, og at logs og audit trails er mangelfulde eller svære at tilgå.
Det er sjældent ondsindet — det er typisk et resultat af systemer der er vokset organisk over tid, uden at sikkerhed har været et eksplicit prioritet. Det er løseligt, men kræver overblik og en systematisk tilgang.
Vi hjælper med at kortlægge den faktiske sikkerhedssituation, identificere de vigtigste risici og lave en realistisk plan for at adressere dem — uden at oversælge løsninger der ikke svarer til jeres risikoprofil.
Sikkerhedsydelser
Sikkerhedsgennemgang
Vi gennemgår jeres systemer og kodebase for kendte sikkerhedsrisici — autentificering, autorisation, inputvalidering, kryptering og konfiguration. Resultatet er en prioriteret liste over fund.
Compliance-kortlægning
Vi kortlægger jeres nuværende setup mod kravene i CRA, AI Act og GDPR og identificerer gaps. I får et klart billede af, hvad der kræver handling og hvad der allerede er på plads.
Adgangsstyring & IAM
Gennemgang og design af identity & access management — hvem har adgang til hvad, under hvilke betingelser, og hvordan logges og revideres det? Vi hjælper med implementering i Azure AD, AWS IAM og custom løsninger.
GDPR-teknisk rådgivning
Datamodellering med privacy-by-design, ret til sletning, databehandleraftaler og teknisk implementering af GDPR-krav — fra arkitektur til konkrete kodeændringer.
Penetrationstest
Systematisk test af jeres systemer fra en angribers perspektiv. Vi identificerer sårbarheder inden de udnyttes og leverer en rapport med konkrete anbefalinger til udbedring.
Sikkerhedsarkitektur
Til nye systemer hjælper vi med at designe sikkerhedsarkitekturen fra start — zero trust, defence in depth og sikkerhed som en del af systemdesignet frem for et lag der tilføjes bagefter.
Spørgsmål om sikkerhed & compliance
CRA gælder for produkter med digitale elementer der sælges på EU-markedet — herunder hardware med software, standalone software og SaaS. Hvis I sælger eller distribuerer et softwareprodukt, er svaret sandsynligvis ja. Præcis hvilke krav der gælder afhænger af produktkategori og risikoklassificering. Vi hjælper med at afklare det.
Det afhænger af systemets kompleksitet og scope. En grundlæggende gennemgang af et mindre system kan klares på 3–5 dage. En fuld teknisk revision af et komplekst multi-system setup tager typisk 2–4 uger. Vi starter altid med en afklarende samtale om scope og forventninger.
Det er virkeligheden for de fleste. Vi prioriterer fund efter risiko og sandsynlighed for udnyttelse — så I kan bruge ressourcerne der, hvor de gør mest gavn. Kritiske fund adresseres først, og de resterende indgår i en realistisk backlog med klar begrundelse for hvert punkt.