Budget og Opsparing

Derfor er ISO 27001 blevet et finansielt krav for SaaS-virksomheder i 2026

Jens Christian Andersen
Jens Christian Andersen
Redaktør, Fellow Finance
 · 30. april 2026 · 9 min læsning

Hvis du vil forstå, hvorfor nogle SaaS-virksomheder i 2026 kan sælge dyrt, rejse kapital hurtigt og lande enterprise-kunder – mens andre stagnerer – så kig ikke kun på ARR og churn. Kig på deres sikkerheds- og compliance-setup.

Artiklen giver dig et finansielt blik på, hvordan krav om dokumenteret informationssikkerhed (bl.a. drevet af NIS2 og DORA) påvirker markedsværdi, due diligence, kontrakter og risiko. Du får konkrete tegn, du kan lede efter som investor eller iværksætter, typiske faldgruber, og en praktisk forståelse af, hvordan vejen til certificering ser ud – uden at gøre det til et rent IT-emne.

Compliance i 2026: en kort definition, der forklarer, hvorfor markedet reagerer

Compliance i en SaaS-kontekst betyder, at virksomheden kan dokumentere, at den styrer risiko, beskytter data og følger relevante krav (lovgivning, standarder og kontraktkrav) gennem politikker, kontroller, processer og løbende opfølgning. Det afgørende ord er dokumentere: I 2026 er “vi tager sikkerhed seriøst” ikke en påstand, men et bilag i en kontrakt eller en datapunkt i en investor-pakke.

For investorer, pensionsopsparere og founders er pointen enkel: Når sikkerhed bliver en adgangsbillet til omsætning (enterprise) og kapital (funding), bliver compliance en finansiel driver. Mangler den, stiger både sandsynligheden for tabte aftaler og den risikopræmie, markedet indregner i valuation.

Hvorfor presset er accelereret: NIS2, DORA og “compliance-by-default” i due diligence

Det er ikke kun regulatorer, der strammer grebet. Det er også kundernes og investorernes risikostyring, der er blevet mere standardiseret. NIS2 har skubbet cybersikkerhed op på ledelsesniveau i flere sektorer og i flere led af værdikæden, og DORA har gjort det svært for finansielle virksomheder at acceptere “black box”-leverandører uden kontroller og dokumentation.

Enterprise-kunder: kontrakten starter med sikkerhedsbilagene

I praksis ser jeg ofte, at enterprise-indkøb i 2026 starter med et sikkerhedsspørgeskema (SIG, CAIQ, eller et internt framework), krav om audit-rapporter, og en forventning om moden incident response. Det er ikke usædvanligt, at sikkerhedsdokumentation vurderes, før produktteamet overhovedet får lov at præsentere roadmap.

Investorer og pensionskasser: risiko skal kunne forklares i et investeringsudvalg

Institutionelle investorer arbejder med governance, risikorammer og dokumentationskrav. Når en SaaS-virksomhed håndterer kundedata, betalingsdata, sundhedsdata eller er en del af en kritisk leverancekæde, bliver cybersikkerhed en del af investeringscasen. Manglende struktur betyder, at risikoen enten skal prissættes (lavere valuation) eller afvises (no-go).

Sikkerhed som værdidriver: sådan rammer manglende struktur valuation og multipler

Markedet belønner forudsigelighed. En SaaS-virksomheds værdi hænger typisk sammen med evnen til at skalere ARR effektivt og fastholde kunder. Men i 2026 er det tydeligt, at sikkerhed og compliance påvirker begge dele: du kan ikke skalere enterprise uden at bestå deres vendor risk management, og du kan ikke fastholde store kunder, hvis du ikke kan dokumentere kontroller ved audits, fornyelser og hændelser.

Fra et finansielt perspektiv viser manglende sikkerhedsstruktur sig ofte som:

  • Længere sales cycles (sikkerhedsreview trækker ud, flere runder med legal og IT-risk)
  • Lavere win-rate på enterprise-deals (du bliver fravalgt til fordel for “compliance-ready” konkurrenter)
  • Højere churn-risiko ved kontraktfornyelser (krav skærpes over tid)
  • Større rabatter eller hårdere vilkår (kunden kræver prisnedslag for at “bære risikoen”)
  • Højere forsikringsomkostninger og flere undtagelser i cyberforsikring
  • Lavere multiple ved funding eller exit, fordi risiko og usikkerhed stiger

Du kan sammenligne det med finansiel rapportering: Et selskab uden ordentlig bogføring kan godt have en god forretning, men det bliver dyrere at finansiere, sværere at sælge, og mere sårbart over for uheld. Informationssikkerhed er blevet samme type “infrastruktur” – bare for data og drift.

Hvad en manglende certificering kan koste: tabte aftaler, udsat pipeline og lavere pris

Omkostningen ved ikke at være klar er sjældent en enkelt bøde eller en enkelt hændelse. Den største regning ligger ofte i den tabte eller forsinkede omsætning. Et typisk mønster i SaaS er, at man bygger et stærkt produkt til SMB, får traction, og vil op i enterprise. Her rammer man muren: “Kom tilbage, når I kan dokumentere jeres kontroller.”

Det skjulte tab: pipeline, der ikke kan konvertere

Hvis 20–40% af din pipeline i praksis kræver dokumenteret sikkerhed, kan manglende compliance betyde, at du bruger måneder på deals, der aldrig kan lukkes. For en investor er det ikke bare et “ops” – det er en strukturel begrænsning på vækst, som bør afspejles i forecast og valuation.

Down-rounds og hårdere vilkår

Når compliance først bliver et problem under due diligence, kommer det på det værst tænkelige tidspunkt: lige før kapitalrejsning eller exit. Her kan resultatet blive en lavere pris, større escrow, flere garantier, eller krav om, at en del af købesummen afhænger af, at man når et compliance-mål. Det er i praksis en finansiel straf for manglende forberedelse.

Hvorfor ISO 27001 (og lignende) er blevet et kommercielt krav i SaaS

ISO 27001 er en international standard for etablering og drift af et informationssikkerhedsledelsessystem (ISMS). Det lyder tungt – men det, markedet køber, er signalet: at virksomheden kan styre sikkerhed systematisk, risikobaseret og med ledelsesforankring.

For mange SaaS-virksomheder er certificering ikke længere “nice to have”, men en genvej til at komme gennem vendor assessments uden at opfinde sin egen dokumentationspakke hver gang. Hvis du vil forstå, hvad certificeringen typisk indebærer i en SaaS-kontekst, kan du læse mere om ISO 27001 for SaaS og bruge det som referencepunkt for, hvad enterprise-kunder forventer at se.

Bemærk, at ISO 27001 sjældent står alene. Mange kunder kigger også på SOC 2-rapporter, GDPR-dokumentation, databehandleraftaler, underleverandører (cloud, support, analytics) og beredskabsplaner. Men ISO 27001 fungerer ofte som et “fælles sprog”, der gør dialogen hurtigere og mere standardiseret.

Sådan ser vejen til certificering ud i praksis (og hvad den signalerer til markedet)

Som editor og rådgiver på compliance-tekster ser jeg, at de virksomheder, der lykkes, behandler certificering som et transformationsprojekt – ikke et dokumentprojekt. Det handler mindre om at skrive flere politikker og mere om at få drift, udvikling og ledelse til at arbejde efter nogle faste, målbare principper.

Trin-for-trin: fra risiko til audit

  1. Afgrænsning: Hvad er omfattet (produkter, teams, datacentre, processer)?
  2. Risikovurdering: Hvilke aktiver og trusler er vigtigst for forretningen?
  3. Kontroller og policies: Adgangsstyring, logging, change management, leverandørstyring, m.m.
  4. Implementering i hverdagen: tickets, godkendelser, træning, onboarding/offboarding
  5. Intern audit og ledelsens gennemgang: fungerer det i praksis, og er der evidens?
  6. Ekstern audit: certificeringsaudit og opfølgning på afvigelser

Finansielt signalerer det tre ting: (1) lavere operationel risiko, (2) bedre forudsigelighed i enterprise-salg, og (3) en organisation, der kan skaleres uden at bryde sammen under krav fra kunder, regulatorer og forsikringsselskaber.

Hvad koster compliance og certificering – og hvordan tænker investorer om ROI?

“Hvad koster det?” er et af de mest stillede spørgsmål. Det ærlige svar er: det afhænger af modenhed, scope og hvor meget der allerede er på plads. For en SaaS-virksomhed er de største omkostninger typisk interne timer: at få styr på adgange, roller, dokumentation, leverandører, logging, incident response og træning. Dertil kommer udgifter til rådgivning, værktøjer og audit.

Investorer kigger sjældent på compliance som en isoleret udgiftspost. De vurderer ROI ud fra, om det:

  • forkorter sales cycles og øger win-rate i enterprise
  • reducerer sandsynligheden for dyre hændelser og driftstop
  • styrker pricing power (mindre rabatpres)
  • muliggør adgang til regulerede kunder (finans, sundhed, kritisk infrastruktur)
  • forbedrer exit-parathed og reducerer “haircuts” i due diligence

Et praktisk pejlemærke: Hvis en certificering gør forskellen på at lande én stor enterprise-kunde eller blive godkendt som leverandør i en reguleret sektor, kan ROI være markant – ikke fordi standarden i sig selv skaber værdi, men fordi den fjerner en kommerciel barriere.

Typiske faldgruber i SaaS – og hvordan du spotter dem som investor eller founder

De mest almindelige fejl handler ikke om kryptering eller fancy sikkerhedsværktøjer. De handler om manglende styring og manglende evidens. Her er mønstre, jeg ofte ser gå igen i due diligence og enterprise-salg:

Faldgruber, der koster aftaler

  • “Dokumentation kommer senere”: Politikker findes ikke, eller de matcher ikke praksis.
  • Uklart scope: Ingen kan forklare, hvilke systemer og data der er omfattet af kontroller.
  • Svag adgangsstyring: Delte konti, for brede rettigheder, manglende offboarding.
  • Leverandør-blindhed: Underleverandører (cloud, support, AI-værktøjer) er ikke risikovurderet.
  • Incident response på papir: Ingen øvelser, ingen læring, ingen målinger.
  • Manglende logning og sporbarhed: Svært at bevise, hvad der skete ved en hændelse.

Sådan undgår man dem uden at drukne organisationen

Start med de kontroller, der har størst effekt på både risiko og kundekrav: adgangsstyring (MFA, least privilege), change management, backups og gendannelsestest, leverandørstyring, og en enkel men realistisk incident response-proces. Hold det risikobaseret og mål på efterlevelse: Kan I vise evidens på 10 minutter, når en kunde spørger?

Investorens tjekliste: tegn på at sikkerhed er en vækstmaskine – ikke en omkostning

Hvis du overvejer at investere i en SaaS-aktie, en startup eller en mindre tech-virksomhed, kan du ofte få et tidligt signal ved at stille få, præcise spørgsmål. Du behøver ikke være sikkerhedsekspert for at vurdere modenhed; du skal vurdere ledelsens greb om risiko og kundekrav.

  • Har virksomheden en tydelig ansvarlig for informationssikkerhed (ikke kun “IT fikser det”)?
  • Kan de beskrive deres vigtigste risici og kontroller uden at tale i floskler?
  • Har de gennemført interne audits eller eksterne assessments, og hvad lærte de?
  • Hvordan håndterer de leverandører og underdatabehandlere i praksis?
  • Kan de dokumentere backup/restore-tests og incident response-øvelser?
  • Er compliance integreret i salgsprocessen (standardpakker, Q&A, bilag), så deals ikke går i stå?

Det, du leder efter, er ikke perfektion, men en organisation der arbejder systematisk. Systematik er det, der gør, at compliance kan skaleres med forretningen – og at enterprise-kunder og institutionelle investorer tør lægge vægt bag relationen.

Kilder

Jens Christian Andersen
Jens Christian Andersen
Skribent & redaktør · Fellow Finance
Jens Christian er en erfaren privatu00f8konomisk ru00e5dgiver med en dybdegu00e5ende viden inden for investering og formueopbygning. Han bru00e6nder for at hju00e6lpe danskere med at navigere i den finansielle verden og opnu00e5 u00f8konomisk frihed gennem velovervejede strategier.

Relaterede artikler