Russiske hackergrupper har i juni 2026 lammet knap 40 danske hjemmesider hos ministerier, kommuner og private virksomheder med koordinerede DDoS-angreb — og ifølge en ny analyse fra MereMobil er cyberangreb mod danskere steget med 85 procent det seneste år. Rammes din virksomhed, starter din juridiske pligt fra det øjeblik, angrebet opdages.
Angrebsbølgen rammer dansk erhvervsliv
Center for Cybersikkerhed (CFCS) hævede allerede i 2025 trusselsniveauet for destruktive cyberangreb fra "lav" til "middel", og i januar 2026 indgik den danske regering en ny national strategi for cyber- og informationssikkerhed. Alligevel viser tal fra Dansk Erhverv, at næsten halvdelen af store virksomheder anslår, at et cyberangreb koster over 500.000 kr. pr. dag i tabte ordrer, gendannelse af IT-systemer og advokatudgifter.
Bag angrebsbølgen ligger en ny virkelighed: Hackerne anvender nu AI til at automatisere angreb, skræddersy phishingmails og omgå sikkerhedssystemer med langt større præcision end hidtil. Det gør det sværere for selv erfarne IT-afdelinger at stoppe et angreb i tide — og det er netop her, GDPR-reglerne sætter ind med strikse juridiske krav til, hvad du som virksomhedsejer skal gøre næst.
Angrebenes omfang rækker videre end DDoS. Mange virksomheder oplever desuden ransomware, hvor hackerne krypterer forretningskritiske data og kræver løsesum, og dataeksfiltrering, hvor personoplysninger om kunder og medarbejdere ender på det mørke net. Begge scenarier udløser automatisk GDPR-pligter — og dermed risiko for store bøder, hvis du reagerer forkert.
1. Anmeld databruddet til Datatilsynet inden for 72 timer
Opdager du, at persondata er kompromitteret som følge af et cyberangreb, er du som dataansvarlig forpligtet til at anmelde bruddet til Datatilsynet inden for 72 timer fra opdagelsestidspunktet, jf. GDPR artikel 33. Fristen gælder uanset weekend eller helligdag.
Anmeldelsen skal som minimum indeholde: en beskrivelse af bruddets karakter, hvilke kategorier og omtrentligt antal berørte personer, kontaktoplysninger for din databeskyttelsesrådgiver (DPO), de sandsynlige konsekvenser af bruddet og de foranstaltninger, du allerede har iværksat. Anmeldelsen indsendes digitalt via Datatilsynets anmeldelsesskema på sikkerdigital.dk.
Overskrides 72-timerfristen, skal du angive begrundelsen i selve anmeldelsen — og risikoen for sanktioner fra Datatilsynet stiger markant, da myndigheden lægger stor vægt på, om virksomheden har handlet proaktivt og i god tro.
2. Underret de berørte borgere og kunder
Er databruddet forbundet med en "høj risiko" for de registreredes rettigheder og frihedsrettigheder, skal du desuden kontakte de berørte personer direkte og uden unødig forsinkelse, jf. GDPR artikel 34. Det kan dreje sig om kunder, medarbejdere eller leverandører, hvis CPR-numre, sundhedsoplysninger, bankdata eller loginoplysninger er eksponeret.
En advokat med speciale i persondataret kan hjælpe dig med at vurdere, om risikotærsklen er nået — og formulere en underretning, der lever op til kravene, uden at skabe unødig uro eller utilsigtede juridiske indrømmelser. En forsinket eller fejlagtig underretning kan i sig selv udløse yderligere tilsyn og bøder fra Datatilsynet.
3. Dokumentér alt fra første minut
GDPR stiller krav om, at alle databrud dokumenteres i en intern log — uanset om de anmeldes til Datatilsynet. Du skal nedskrive, hvornår du opdagede angrebet, hvad der præcist skete, hvilke data der blev kompromitteret, og hvilke tiltag du iværksatte — med præcise tidsstempler på alle handlinger.
Denne dokumentation er din vigtigste beskyttelse, hvis Datatilsynet åbner en tilsynssag, eller hvis berørte parter anlægger erstatningssøgsmål. En advokat kan fra dag ét hjælpe dig med at strukturere loggen korrekt og sikre, at intern kommunikation om hændelsen ikke ved et uheld kompromitterer din juridiske stilling over for myndighederne.
4. Kortlæg dit erstatningsansvar
GDPR artikel 82 giver registrerede personer ret til erstatning for både materielle og immaterielle skader, der kan henføres til et databrud forårsaget af manglende overholdelse af reglerne. I Danmark er der allerede set erstatningskrav fra kunder og medarbejdere efter hackerangreb, og beløbene kan hurtigt løbe op i hundredtusindvis af kroner.
Som dataansvarlig bærer du bevisbyrden for, at du har truffet passende tekniske og organisatoriske foranstaltninger, jf. GDPR artikel 5, stk. 2. Det betyder, at manglende risikovurderinger, forældet kryptering eller ikke-opdaterede systemer kan gøre dig erstatningspligtig — selv hvis selve angrebet var ualmindeligt sofistikeret. En juridisk gennemgang nu kan begrænse din eksponering væsentligt.
Virksomheder, der er koblet til EU's sanktionsregime mod Rusland, bør desuden overveje, om angrebets oprindelse påvirker deres compliance-forpligtelser over for myndigheder.
5. Kontakt en advokat, inden du udtaler dig til pressen
Mange virksomhedsledere begår den fejl at udstede en pressefrigivelse eller besvare journalisthenvendelser, inden de har rådført sig med en advokat. En offentlig udtalelse kan utilsigtet indrømme ansvar, afsløre uafklarede juridiske spørgsmål eller stride mod de underretningspligter, du endnu ikke har opfyldt over for Datatilsynet.
En advokat med erfaring i cybersikkerhedsret og GDPR kan hjælpe dig med at koordinere kommunikationsstrategien, forhandle med myndigheder og eventuelt indlede civilt søgsmål mod en kompromitteret IT-leverandør. EU-Domstolens praksis under GDPR er klar: Ansvarsfraskrivelser i IT-kontrakter fritager sjældent den dataansvarlige virksomhed fra bødeansvar.
Virksomheder inden for sektorer som energi, finans, sundhed og transport bør derudover sikre sig, at de overholder NIS2-direktivets skærpede rapporteringskrav, der kan medføre bøder på op til 10 mio. EUR. Er du i tvivl om dit ansvar ved et angreb med kontraktretlig dimension, bør du søge juridisk vejledning uden forsinkelse.
Hvad gør du nu?
Et cyberangreb er ikke blot et IT-problem — det er en juridisk krisesituation, der kræver øjeblikkelig handling på tværs af compliance, kommunikation og erstatningsret. De første 72 timer er afgørende for, om din virksomhed håndterer situationen korrekt og undgår unødige sanktioner.
Har din virksomhed endnu ikke kortlagt sine GDPR-pligter ved et databrud, er nu det rette tidspunkt at handle. En advokat med speciale i cybersikkerhedsret og persondataret kan hjælpe dig med at udarbejde en beredskabsplan og sikre, at din virksomhed er klar — inden katastrofen rammer. Book en afklaringskonsultation hos en ekspert på ExpertZoom i dag.
Denne artikel er udelukkende af generel informativ karakter og udgør ikke juridisk rådgivning. Søg altid professionel rådgivning hos en kvalificeret advokat i din konkrete situation.

Katrine Lund