Find certificeret IT
Bæredygtige leverandører

Certificeret IT: Find ISO 27001 & NIS2-cerificerede leverandører

Sådan finder du IT-partnere med dokumenteret informationssikkerhed gennem certificeringer

25. februar 2026

Efter NIS2-direktivets ikrafttræden 1. juli 2025 skal virksomheder i kritiske sektorer dokumentere deres IT-leverandørers informationssikkerhed. Men hvordan finder du IT-partnere med verificeret sikkerhed gennem ISO 27001 eller D-mærket?

IT-sikkerhed er ikke længere bare et teknisk spørgsmål - det er blevet en juridisk og kommerciel risiko. For virksomheder der arbejder med følsomme data, kritisk infrastruktur eller omfattes af CSRD er det afgørende at vælge IT-leverandører med dokumenterede sikkerhedssystemer.

Her får du overblik over hvilke IT-certificeringer der er relevante, hvad de betyder, og hvordan du finder verificerede IT-leverandører i Danmark.

Find certificerede leverandører

Indholdsfortegnelse:

  1. Hvorfor certificering er kritisk for IT-leverandører
  2. ISO 27001, ISAE 3402 og D-mærket - hvilken certificering betyder hvad
  3. Sådan finder du certificerede IT-leverandører
  4. FAQ om certificeret IT

Hvorfor certificering er kritisk for IT-leverandører

IT-leverandører håndterer nogle af virksomhedens mest følsomme aktiver: data, systemer og adgang til kerneprocesser. Derfor stilles der stadig skrappe krav til deres sikkerhed.

NIS2 skaber kædeansvar:

NIS2-direktivet (Network and Information Security Directive) trådte i kraft 1. juli 2025 og omfatter virksomheder i kritiske sektorer som energi, transport, sundhed, finansielle tjenester, offentlig administration og digitale tjenester.

Den kritiske ændring: Kædeansvar. Hvis din IT-leverandør bliver hacket og det påvirker dig, kan DU blive gjort ansvarlig hvis du ikke har udvist tilstrækkelig due diligence ved valg af leverandør.

Konkret betyder NIS2 at du skal:

  • Dokumentere dine IT-leverandørers sikkerhedsniveau
  • Sikre de har systematisk risikostyring
  • Have kontrakter der specificerer sikkerhedskrav
  • Løbende overvåge deres sikkerhedsstatus

Certificeringer som ISO 27001 giver objektiv, tredjepartsverificeret dokumentation for at IT-leverandøren opfylder disse krav.

GDPR og databeskyttelse:

For IT-leverandører der fungerer som databehandlere (hosting, cloud, IT-support med adgang til data) er GDPR-compliance kritisk. Databrud kan udløse bøder op til 20 millioner kr. eller 4% af global omsætning.

GDPR artikel 28 kræver at databehandlere kan "påvise passende tekniske og organisatoriske foranstaltninger". ISO 27001 eller ISAE 3402 Type II er de facto standarder for at dokumentere dette.

Governance i ESG:

For virksomheder der rapporterer under CSRD er IT-sikkerhed en del af Governance (G i ESG). Systematisk styring af IT-risici gennem certificerede leverandører viser god corporate governance.

Konkurrencemæssig nødvendighed:

I mange brancher - særligt finanssektoren, sundhed og det offentlige - er ISO 27001 eller tilsvarende certificering blevet et de facto krav for at kunne levere IT-services. Uden certificering kan IT-leverandører slet ikke deltage i udbud.

Reduceret risiko:

IT-sikkerhedsbrud koster gennemsnitligt millioner i direkte tab, tabt produktivitet, reputationsskade og juridiske omkostninger. Certificerede IT-leverandører har:

  • Systematiske sikkerhedsprocesser der reducerer sandsynlighed for brud
  • Beredskabsplaner der minimerer skade hvis noget sker
  • Forsikringer der dækker ved sikkerhedshændelser
  • Dokumentation der beskytter dig juridisk

ISO 27001, ISAE 3402 og D-mærket - hvilken certificering betyder hvad

Tre hovedcertificeringer er relevante for IT-leverandører i Danmark. De dækker forskellige aspekter og har forskellige anvendelser.

ISO 27001 - Informationssikkerhedsledelse:

ISO 27001 er den internationale standard for Information Security Management Systems (ISMS). Det er den mest anerkendte og omfattende IT-sikkerhedscertificering.

Hvad kræver ISO 27001:

IT-leverandøren skal implementere et systematisk ledelsessystem for informationssikkerhed der dækker:

Risikovurdering: Identificere alle informationssikkerhedsrisici - cyberangreb, datatab, uautoriseret adgang, systemnedbrud, menneskelige fejl, fysisk sikkerhed.

Sikkerhedskontroller: Implementere mindst 93 sikkerhedskontroller fra ISO 27001 Annex A (2022-versionen) inkl. adgangskontrol, kryptering, netværkssikkerhed, sikkerhedskopiering, incident management, og medarbejdertræning.

Policies og procedurer: Dokumenterede sikkerhedspolicies, håndtering af sikkerhedshændelser, change management, og adgangsstyring.

Compliance: Overholde GDPR, NIS2 og anden relevant lovgivning.

Kontinuerlig forbedring: Årlige interne audits, ledelsesgennemgang, og løbende opdatering af sikkerhedskontroller.

Hvornår er ISO 27001 relevant:

ISO 27001 er den mest omfattende certificering og passer til:

  • IT-konsulenter med adgang til kunders systemer og data
  • Softwareudviklere der håndterer følsomme data
  • IT-support og managed services providers
  • Systemintegratorer
  • Cybersecurity-virksomheder

ISO 27001 er ofte et krav i offentlige IT-udbud og fra finanssektorens virksomheder.

ISAE 3402 Type II - Kontrolrapport for serviceorganisationer:

ISAE 3402 (International Standard on Assurance Engagements 3402) er en revisionsstandard specifikt for virksomheder der leverer services til andre virksomheder, hvor disse services påvirker kundens finansielle rapportering eller forretningskritiske processer.

Hvad er ISAE 3402:

En revisor (typisk fra Big Four eller større revisionsfirmaer) gennemgår IT-leverandørens kontrolmiljø og udsteder en rapport der dokumenterer:

  • Beskrivelse af systemet/servicen
  • Kontroller implementeret af leverandøren
  • Revisorens test af kontrollernes effektivitet

Type I vs Type II:

  • Type I: Kontroller er beskrevet og vurderet på ét tidspunkt
  • Type II: Kontroller er testet over minimum 6 måneder (meget mere værdifuld)

Hvornår er ISAE 3402 relevant:

ISAE 3402 passer til:

  • Datacentre og hosting-udbydere
  • Cloud service providers (IaaS, PaaS, SaaS)
  • Payroll og HR-systemer
  • Regnskabs- og økonomisystemer
  • Andre IT-services der påvirker kunders finansielle rapportering

ISAE 3402 er især relevant for leverandører til finansielle virksomheder, da kundernes revisorer kræver denne dokumentation.

D-mærket - Dansk Cybersikkerhed:

D-mærket er et dansk certificeringsmærke for cybersikkerhed udviklet af DI Digital og IT-Branchen. Det er specifikt designet til danske SMV'er.

Hvad kræver D-mærket:

D-mærket har tre niveauer (Bronze, Sølv, Guld) med stigende krav:

  • Grundlæggende sikkerhedsforanstaltninger (firewall, antivirus, backup)
  • Sikkerhedspolicies og medarbejderuddannelse
  • Incident response procedures
  • Dokumentation af sikkerhedsprocesser

Hvornår er D-mærket relevant:

D-mærket er en lettere certificering egnet til:

  • Mindre IT-virksomheder (5-50 medarbejdere)
  • IT-leverandører til ikke-kritiske systemer
  • Virksomheder på vej mod ISO 27001

D-mærket er billigere og hurtigere at opnå end ISO 27001, men har mindre international anerkendelse. Se sammenligning af D-mærket vs ISO 27001 for detaljer.

Hvilken certificering skal du kræve?

Kritiske systemer eller følsomme data: ISO 27001 (obligatorisk for NIS2-omfattede virksomheder)

Datacentre eller cloud-hosting: ISAE 3402 Type II + ISO 27001 (begge)

IT-support til ikke-kritiske systemer: D-mærket kan være acceptabelt

Finansielle services: ISO 27001 + ISAE 3402 (begge typisk krav)

Mange stærke IT-leverandører har flere certificeringer samtidigt. Se den komplette certificeringsoversigt for alle IT-relaterede standarder.

Sådan finder du certificerede IT-leverandører

At finde IT-leverandører med de rette certificeringer kræver typisk research på tværs af certificeringsorganer, leverandørhjemmesider og brancheforeninger.

ESG-børsens løsning:

På ESG-børsen kan du finde certificerede IT-leverandører gennem filtrering på certificering + kompetenceområde + geografi.

Step-by-step guide:

1. Definer dine sikkerhedskrav: Hvad skal IT-leverandøren have adgang til? Håndterer de persondata (GDPR-relevant)? Er du omfattet af NIS2? Skal de integrere med kritiske systemer?

2. Vælg certificeringskrav: Baseret på ovenstående:

  • Kritiske systemer = kræv ISO 27001
  • Hosting/cloud = kræv ISAE 3402 Type II
  • Mindre kritisk = D-mærket kan accepteres

3. Filtrer på certificering: Søg specifikt efter IT-leverandører med ISO 27001 og D-mærket på ESG-børsen.

4. Kompetenceområde: Præcisér hvilken type IT-service du søger:

  • IT-konsulentydelser
  • Softwareudvikling
  • Cloud-services og hosting
  • IT-support og helpdesk
  • Cybersecurity
  • Systemintegration

5. Geografisk søgning: For IT-support og konsulentydelser hvor fysisk tilstedeværelse er værdifuld, brug kortfunktionen til at finde lokale IT-leverandører i København, Aarhus, Odense eller dit område.

6. Verificer certificering: Bed om at se aktuelle certificeringscertifikater. For ISO 27001: tjek certificeringsnummer, udløbsdato, scope (hvilke services dækkes), og certificeringsorganets akkreditering. For ISAE 3402: bed om selve ISAE-rapporten (mange kunder får kun "Bridge Letter" som er utilstrækkelig - insister på fuld rapport).

7. Dybdegående vurdering:

Ud over certificering, vurder også:

  • Erfaring: Har de erfaring fra din branche?
  • Incident history: Har de haft sikkerhedsbrud? Hvordan håndterede de det?
  • Forsikring: Har de cyberforsikring der dækker ved databrud?
  • Subcontractors: Bruger de underleverandører? Er disse også certificeret?
  • Response time: Hvad er deres SLA for sikkerhedshændelser?

8. Kontraktlige sikkerhedskrav:

Inkluder i IT-kontrakter:

  • At certificering skal vedligeholdes under hele kontraktperioden
  • Information hvis certificering udløber eller suspenderes
  • Specifik beskrivelse af hvilke data/systemer de får adgang til
  • Incident notification (underretning inden 24 timer ved sikkerhedshændelse)
  • Audit rights (din ret til at auditere deres sikkerhed)
  • Data processing agreement (DPA) hvis de behandler persondata
  • Exit-strategi med sikker returnering/sletning af data

9. Løbende overvågning:

Efter kontraktindgåelse:

  • Bed om opdaterede certificeringscertifikater årligt
  • Kør årlige leverandør-reviews af sikkerhedsstatus
  • Monitorer nyheder om sikkerhedsbrud hos leverandøren
  • Opdater risikovurdering hvis leverandørens services ændres

NIS2-specifik dokumentation:

For virksomheder omfattet af NIS2 skal du kunne dokumentere:

  • Hvorfor du valgte denne leverandør (due diligence-proces)
  • Leverandørens certificeringer og sikkerhedsniveau
  • Kontrakter med sikkerhedskrav
  • Løbende overvågning af leverandøren

ISO 27001-certificering dækker langt hen ad vejen disse krav og gør din compliance langt lettere.

Find certificerede IT-leverandører:

Søg IT-leverandører med ISO 27001 eller D-mærket

FAQ om certificeret IT

Hvad betyder ISO 27001:2022 vs 2013?

ISO 27001:2022 er den opdaterede version af standarden fra 2013. Vigtigste ændringer: Sikkerhedskontrollerne i Annex A er opdateret fra 114 til 93 kontroller (konsolideret og moderniseret), nye kontroller for cloud security, supply chain security og threat intelligence, og stærkere fokus på risikovurdering. Overgangsperioden fra 2013 til 2022-versionen udløb i oktober 2025, så alle ISO 27001-certificeringer skal nu være på 2022-versionen. Hvis en leverandør påstår ISO 27001 men ikke specificerer version, bed om at se certifikatet - det skal stå "ISO/IEC 27001:2022". Ældre 2013-certifikater er ikke længere gyldige.

Er ISAE 3402 det samme som SOC 2?

ISAE 3402 (international standard) og SOC 2 (amerikansk standard) er lignende men ikke identiske. Begge er revisionsrapporter om kontrolmiljøet hos serviceorganisationer. Forskelle: ISAE 3402 er global standard udviklet af IAASB, fokuserer primært på kontroller relevant for finansiel rapportering. SOC 2 er amerikansk (AICPA), dækker bredere sikkerhedskriterier (Security, Availability, Processing Integrity, Confidentiality, Privacy). For danske virksomheder er ISAE 3402 mere almindelig. Internationale cloud-udbydere har ofte både. SOC 2 Type II kan accepteres som alternativ til ISAE 3402 hvis scope er relevant. Vigtigst: Kræv altid Type II (test over tid) ikke Type I (snapshot).

Hvordan verificerer jeg at en ISO 27001-certificering er ægte?

Bed leverandøren om det fulde certificeringscertifikat (ikke bare logo). Tjek: certificeringsorganets navn (Bureau Veritas, DNV, BSI, TÜV osv.), certificeringsnummer, udløbsdato (gyldighed typisk 3 år med årlige overvågningsaudits), scope - hvilke services/lokationer dækkes, og at der står "ISO/IEC 27001:2022" (ikke 2013). Verificér hos certificeringsorganet: De fleste har online verificering på deres hjemmeside hvor du kan indtaste certificeringsnummer. Kontakt dem direkte hvis i tvivl. Tjek akkreditering: Certificeringsorganet skal være akkrediteret af national akkrediteringsinstans (i Danmark: DANAK). Se efter akkrediteringslogo på certifikatet. Red flags: Leverandør kan ikke/vil ikke vise certifikat, certifikat er udløbet, scope dækker ikke de services du skal bruge, eller certificeringsorganet er ukendt og ikke akkrediteret.

Skal alle vores IT-leverandører være ISO 27001-certificeret?

Brug risikobaseret tilgang. Kræv ISO 27001 for: IT-leverandører med adgang til følsomme/persondata, hosting af kritiske systemer eller data, netværksadgang til jeres systemer, udvikling af sikkerhedskritisk software, og hvis I er omfattet af NIS2. D-mærket kan accepteres for: IT-support til ikke-kritiske systemer, hardware-leverandører uden dataadgang, og mindre kritiske web-services. Ingen certificering nødvendig for: Software købt off-the-shelf uden hosting, hardware uden services, og enkle værktøjer uden dataadgang. God praksis: Lav leverandørklassificering (kritisk/vigtig/lav risiko) og sæt certificeringskrav derefter. For NIS2-omfattede virksomheder skal leverandører til kritiske services altid være certificeret.

Hvad koster det at få en IT-leverandør ISO 27001-certificeret?

Omkostningerne ved ISO 27001-certificering varierer meget efter virksomhedsstørrelse: Lille IT-firma (5-20 ansatte): 150.000-400.000 kr i første år (implementering + certificering), mellemstor (20-100 ansatte): 400.000-1.000.000 kr, og stor virksomhed (100+ ansatte): 1.000.000+ kr. Årlige vedligeholdelsesomkostninger: 50.000-200.000 kr (overvågningsaudits, opdatering af systemer). Som kunde skal du ikke betale for leverandørens certificering, men certificerede leverandører er typisk 5-15% dyrere end ikke-certificerede. Dog ofte god investering da: sikkerhedshændelser koster typisk meget mere, din egen audit-indsats reduceres markant, og compliance (NIS2, GDPR) bliver lettere.

Hvad er forskellen på ISO 27001 og D-mærket?

ISO 27001 er international standard med 93 detaljerede sikkerhedskontroller, kræver fuld ISMS (Information Security Management System), uafhængig tredjeparts-audit af akkrediteret certificeringsorgan, 3-årig certificering med årlige overvågningsaudits, og internationalt anerkendt. D-mærket er dansk ordning med 3 niveauer (Bronze/Sølv/Guld), fokuserer på grundlæggende cybersikkerhed, selvvurdering med stikprøvekontrol (ikke fuld audit), årlig fornyelse, og primært dansk anerkendelse. Fordele ved ISO 27001: Meget højere sikkerhedsniveau, international anerkendelse, opfylder NIS2-krav, og accepteret i offentlige udbud. Fordele ved D-mærket: Billigere og hurtigere at opnå, dansk support og vejledning, og godt første skridt for SMV'er. Se fuld sammenligning af D-mærket vs ISO 27001. Anbefaling: Kræv ISO 27001 for kritiske services, D-mærket kan accepteres for mindre kritiske.

Hvordan håndterer jeg cloud-services fra internationale udbydere?

Store cloud-udbydere (AWS, Azure, Google Cloud) har typisk både ISO 27001 og SOC 2 Type II. Tjek deres compliance-dokumentation: De fleste har compliance-portaler hvor du kan downloade certifikater. Bed om shared responsibility model - hvad er deres ansvar vs dit ansvar for sikkerhed. For SaaS-leverandører (Salesforce, Microsoft 365 osv.): Tjek deres trust center for certificeringer, bed om DPA (Data Processing Agreement) som kræves af GDPR, og verificer hvor data lagres (GDPR kræver passende beskyttelse ved overførsel til tredjelande). NIS2-perspektiv: Internationale cloud-udbydere kan bruges hvis de er certificeret og du har passende kontrakter. Dokumentér hvorfor du valgte dem og deres certificeringer. Overvej: Kan danske/europæiske alternativer give samme funktionalitet med lettere compliance?

Gælder NIS2 for min virksomhed?

NIS2 omfatter virksomheder i kritiske sektorer: energi, transport, bankvirksomhed og finansmarkedsinfrastruktur, sundhed, digital infrastruktur, offentlig administration, rummet, og vand. Samt vigtige sektorer: post- og kurertjenester, affaldshåndtering, kemikalier, fødevarer, fremstilling af medicinsk udstyr/computere/elektronik/maskiner/motorkøretøjer, og digitale tjenester. Størrelseskrav: Medium-store og store virksomheder (50+ ansatte eller 10 mio. EUR omsætning) i disse sektorer. Selvom du ikke direkte er omfattet: Hvis du leverer til NIS2-omfattede virksomheder, vil de kræve at du dokumenterer sikkerhed (kædeansvar). Få afklaring: Kontakt Styrelsen for Samfundssikkerhed hvis usikker. Uanset NIS2-status: ISO 27001 hos IT-leverandører er god praksis for GDPR og generel risikostyring.

Hvad skal jeg spørge en IT-leverandør om ved første møde?

Udover certificeringer, stil disse sikkerhedsspørgsmål: Incident history - "Har I haft sikkerhedsbrud de sidste 3 år? Hvordan håndterede I det?", Backup og disaster recovery - "Hvor ofte tager I backup? Hvad er jeres RTO/RPO? Har I testet disaster recovery?", Encryption - "Hvordan krypteres data in transit og at rest?", Access control - "Hvordan styres adgang til vores data? Multi-factor authentication?", Subcontractors - "Bruger I underleverandører? Er de certificeret? Hvor ligger data geografisk?", Insurance - "Har I cyberforsikring? Hvad dækker den?", Compliance - "Hvordan hjælper I os med GDPR/NIS2-compliance?", Exit strategy - "Hvordan sikrer I returning/sletning af vores data hvis kontrakten ophører?". Bed om referencer fra kunder i samme branche. Hvis leverandøren ikke kan svare klart på disse: red flag.

Kan jeg stole på at en certificering er nok - eller skal jeg lave egen audit?

Certificering er stærk indikator men ikke garanti. Tillid men verificer: For kritiske leverandører (hosting af kernesystemer, adgang til følsomme data): Lav egen audit første år, derefter hvert 2-3 år. For vigtige leverandører: Stol på certificering men gennemgå deres sikkerhedspolicies og bed om penetration test-rapporter. For mindre kritiske: Certificering + årlig review er typisk tilstrækkeligt. Hvad skal du auditere: Ikke gentage hele ISO 27001-audit (det har revisor gjort), men fokusér på: Er sikkerhedskontroller relevante for dit use case? Fungerer incident response i praksis? Er deres medarbejdere trænet? Er backup og disaster recovery testet? Kontraktlig audit right: Inkluder i kontrakt at du kan lave audit eller bruge tredjepart til det. Certificerede leverandører er vant til dette.

Find certificerede leverandører

Tilbage til Bæredygtige leverandører