OpDenmark er ikke et hackerangreb som de fleste andre. Den 28. januar 2026 publicerede en nyoprettet pro-russisk alliance kaldet Russian Legion et ultimatum på Telegram: Danmark skulle inden 48 timer offentligt afvise en 1,5 milliarder DKK militærhjælpspakke til Ukraine, ellers ville storskalerede cyberangreb ramme dansk infrastruktur, energisektoren og offentlige institutioner. Det var starten på en koordineret kampagne, der illustrerer, hvordan cyberangreb i 2026 fungerer som diplomatisk pres og geopolitisk tvang og ikke blot som kriminelle operationer.
Hvem Står bag OpDenmark: Russian Legions Sammensætning
Russian Legion er ikke en enkelt gruppe. Det er en nyetableret alliance af flere pro-russiske hackergrupper, officielt annonceret ugen inden det første trusselsbrev. Alliancen ledes af gruppen Cardinal og består herudover af The White Pulse, Russian Partizan og Inteid.
Inteid er den mest dokumenterede deltager: gruppen var allerede inden OpDenmark knyttet til et DDoS-angreb mod Danmarks sundhedsportal sundhed.dk. Det giver alliancen en dokumenteret historik mod dansk digital infrastruktur, ikke blot løse trusler.
Truesecs trusselsintelligens vurderede Russian Legion som “sandsynligvis statsaligneret, men ikke statsfinansieret,” ifølge Truesecs officielle analyse offentliggjort den 30. januar 2026. Det er en vigtig distinktion i trusselslandskabet i 2025-2026. Gruppen handler i overensstemmelse med russiske geopolitiske interesser og retter sine kræfter mod NATO-lande, der støtter Ukraine, men opererer tilsyneladende med en grad af formel uafhængighed fra Kreml. Det giver Rusland plausibel benægtelse, mens de facto resultater stadig opnås.
Truesec sammenlignede mønsteret med bredere russisk hacktivisme: “Disse grupper engagerer sig ofte i både psykologiske operationer og forstyrrende angreb. Historisk set har russiske hackergrupper brugt cybersabotage og hacktivisme til at forstærke informationsoperationer med det formål at intimidere og påvirke vestlige befolkninger.”
Det Politiske Ultimatum: 1,5 mia. DKK og 48 Timers Frist
Kampagnens første trusselsbrev var eksplicit og tidsbegrænset. Russian Legion krævede, at den danske regering inden 48 timer offentligt afviste en militærhjælpspakke til Ukraine på 1,5 milliarder DKK, svarende til cirka 220 millioner amerikanske dollars. Opfyldte Danmark ikke kravet, ville gruppen eskalere fra DDoS-angreb til det, de kaldte “rigtige cyberangreb.”
Gruppen formulerede selv truslen tydeligt i en Telegram-meddelelse: “DDoS er kun toppen af isbjerget; efter 48 timer skifter vi til rigtige cyberangreb.” Det er en kommunikationstaktik, der kombinerer psykologisk pres med dokumenteret teknisk kapacitet.
Den militære hjælpepakke til Ukraine, som var kampagnens udtalte mål, repræsenterer en del af Danmarks samlede støtte til Ukraine. Siden 2022 har Danmark placeret sig i toppen af europæiske bidragydere målt på BNP-andel. Netop dette engagement gør Danmark til et naturligt mål for russisk-statsalignerede aktørers pres.
ISACA Denmarks blog beskriver OpDenmark som “en ny form for hybrid krigsførelse, hvor cyberangreb eksplicit bruges som diplomatisk pres.” Samuel Ayodele Adewole fra ISACA Denmarks kapitel understreger, at kampagnen markerer et direkte link mellem cyberangreb og udenrigspolitiske beslutninger: “OpDenmark repræsenterer cyberkrigsførelse som et diplomatisk tvangsmiddel,” konkluderede han i en analyse fra februar 2026.
Angrebenes Kronologi: Energi, Sundhed og Offentlige Systemer
Efter det mislykkede ultimatum fulgte konkrete angreb i dagene op til og efter den 2. februar 2026. Russian Legion og dets allierede publicerede screenshots af danske virksomhedswebsteder, der tilsyneladende var lammet af DDoS-angreb. Energisektoren blev nævnt specifikt og gentagne gange i gruppens kommunikation som primært mål.
Gruppen meddelte, at det primære angreb var planlagt til kl. 18:00 Moskva-tid den 2. februar 2026, svarende til kl. 16:00 dansk tid. Det Sociale Ministeriums agentur bekræftede igangværende angreb og aktiv koordinering med grønlandske myndigheder for at håndtere truslen.
Angrebet på sundhed.dk, der er Danmarks centrale sundhedsportal med oplysninger om hospitaler, læger og recepter, var et signal: gruppen gik ikke efter militære mål, men efter infrastruktur, der rammer borgere i hverdagen. Det er klassisk hybridkrigsførelse, hvor civile tjenester bruges som taktisk løftestang.
| Dato | Begivenhed | Primære mål |
|---|---|---|
| 28. januar 2026 | Russian Legion offentliggør OpDenmark-ultimatum på Telegram | Dansk regering, ukrainsk militærhjælp |
| 29.-30. januar 2026 | DDoS-angreb mod danske virksomheder og offentlige organisationer begynder | Energisektoren, offentlige websteder |
| 30. januar 2026 | Truesec offentliggør trusselsanalyse og advarer danske organisationer | Advarselsrespons |
| 2. februar 2026 | Planlagt stormangreb kl. 16:00 dansk tid; Det Sociale Ministeriums agentur bekræfter angreb | Bred dansk infrastruktur |
| 3. februar 2026 | Industrial Cyber og SC World dækker OpDenmark internationalt | Medieopmærksomhed |
| Februar 2026 | FE annoncerer intensiveret rekruttering af specialister til offensive cyberoperationer | Dansk forsvarsstyrkelse |
Danmarks Officielle Respons: FE, CERT og den Russiske Ambassadør
Reaktionen fra danske myndigheder var todelt. For det første var der en defensiv komponent: Forsvarets Efterretningstjeneste (FE) intensiverede aktivt rekrutteringen af cybersikkerhedsspecialister til offensive cyberoperationer, offentliggjort i forbindelse med OpDenmark-perioden. Det er et usædvanligt åbent signal om, at Danmark optrapper sine offensive cyberkapaciteter som svar på trusler som Russian Legion.
For det andet var der en diplomatisk respons. I december 2025, inden OpDenmark, havde Danmark allerede indkaldt den russiske ambassadør til protest over cyberangreb mod vandsystemer og valgkampagner. Denne diplomatiske eskalering understøttede PET og FEs fælles vurdering fra februar 2026: Rusland udgør den primære trussel mod dansk cybersikkerhed, og andre statsaktører kan ligeledes være involveret.
I marts 2026, umiddelbart inden det danske folketingsvalg den 24. marts, udsendte PET (Politiets Efterretningstjeneste) og FE (Forsvarets Efterretningstjeneste) en fælles advarsel om, at udenlandske magter kan forsøge at påvirke valget gennem desinformation og cyberangreb. Ifølge agenturerne er Rusland den vigtigste trussel, med Danmark som mål på grund af landets støtte til Ukraine.
Pro-russiske grupper gennemførte faktisk DDoS-angreb mod politiske partiers og offentlige myndigheders websteder dagene inden valget den 24. marts 2026. Selve stemmeafgivningen blev dog ikke forstyrret. Angrebene bekræfter ikke desto mindre, at den digitale valgkamp er en del af det udvidede mål for russisk-alignerede aktører.
Nordisk Kontekst: 166 Angreb i 2025 på Tværs af Fire Lande
OpDenmark er ikke et isoleret fænomen. Det er en del af et bredere nordisk trusselsmønster, som DNV dokumenterede i sin rapport How Cyber Resilient Are the Nordics? fra 2026. DNV Cyber Threat Intelligence sporede 166 bekræftede, mistænkte og påståede cyberangreb mod organisationer i de fire nordiske lande i 2025.
| Land | Angreb sporet i 2025 | Primær svaghed ifølge DNV | NIS2-implementering |
|---|---|---|---|
| Sverige | 60 | 54% ser robusthed som “andres ansvar” | Cybersäkerhetslag i kraft 15. jan. 2026 |
| Finland | 44 | Uklart risikosejerskab | Risikoledelseskrav i kraft 8. juli 2025 |
| Danmark | 41 | Uklart lederskabsejerskab på topniveau | NIS2-loven i kraft 1. juli 2025 |
| Norge | 21 | 52% ved ikke om de er kritisk infrastruktur | Ikke EU-medlem, national tilpasning |
| Norden i alt | 166 | Governance-kløft på tværs af sektorer | Varierende implementeringstakt |
Check Points Cyber Security Report 2026 dokumenterede desuden, at cyberangreb i Europa steg med 20 procent i 2025. Norden er ikke undtaget denne tendens, og den geopolitiske polarisering som følge af krigen i Ukraine accelererer væksten i statsalignerede angreb mod NATO-lande.
Sopra Sterias Vurdering: AI og Statsaktører Presser Nordisk Forsvar
Sopra Sterias rapport State of Cyber Security 2026, der bygger på nordisk trusselsanalyse, beskriver regionens sikkerhedsudfordring med skarp præcision: “Nordisk cybertrusselsbillede er udsat for risici fra alle lag af trusselsaktørpyramiden. De mest relevante trusselaktører er statsfinansierede APT-grupper, kriminelle organisationer og hacktivister.”
Sopra Sterias analyse understreger en central pointe: finansielt motiverede angreb er stadig den primære trussel i Norden, men regionens strategiske position, dens nærhed til Rusland og Arktis og NATO’s nordlige ekspansion har hævet Norden til at være et sandsynligt mål for statslige kampagner. OpDenmark er præcis denne type operation.
Rapporten konkluderer: “Nordisk cybertrusler bliver hurtigere, mere sofistikerede og sværere at opdage. AI-drevet phishing og automatiseret rekognoscering accelererer angrebshastighed, mens kriminelle grupper og statsalignerede aktører i stigende grad samarbejder og deler værktøjer og infrastruktur.” Det er netop dette samspil mellem statsaligneret motivation og professionel kriminel infrastruktur, der gør grupper som Russian Legion farlige.
NIS2-Direktivet: OpDenmarks Regulatoriske Lære
EU’s NIS2-direktiv, som Danmark implementerede ved lov den 1. juli 2025, er direkte relevant i konteksten af OpDenmark. NIS2-loven forpligter knap 6.000 danske organisationer til at implementere konkrete cybersikkerhedskrav, herunder risikoledelse, hændelsesrapportering og leverandørstyring.
En ISACA Denmark-analyse af OpDenmark konkluderede specifikt: “NIS2-implementering vinder akut relevans. EU’s NIS2-direktiv, som Danmark er ved at implementere, kræver præcis den type robusthed og hændelseshåndtering, som OpDenmark demonstrerer behovet for.” Herunder nævnes særligt behovet for offentlig-privat samarbejde om trusselsefterretning og koordineret forsvar.
Energisektoren, der var Russian Legions primære erklærede mål, er netop klassificeret som kritisk infrastruktur under NIS2. Det betyder, at energiselskaber, der er ramt af kampagnen, har pligt til at anmelde hændelser til CFCS (Center for Cybersikkerhed) inden 24 timer efter opdagelse og afgive en detaljeret rapport inden 72 timer. Overholdelse af disse frister er ikke kun et compliance-krav; det er det primære operationelle redskab til at koordinere national respons under et bredt angreb.
Historisk Kontekst: Ruslands Cyberangreb mod NATO siden 2022
Russian Legions kampagne mod Danmark skal ses i en bredere historisk sammenhæng. Siden Ruslands invasion af Ukraine i februar 2022 er antallet af russisk-linkede cyberoperationer mod NATO-lande accelereret markant. Trusselsefterretning peger på, at russiske aktørers intrusionforsøg er steget med op til 300 procent siden invasionens start.
Mønsteret er konsistent: geopolitiske begivenheder udløser en bølge af cyber-aktivitet. Da Sverige og Finland ansøgte om NATO-medlemskab, intensiverede russisk-alignerede grupper angreb mod begge lande. Da de baltiske stater donerede ammunition til Ukraine, fulgte DDoS-angreb mod banker og offentlige portaler. En DDoS-bølge mod baltiske banker i 2025 kostede angiveligt millioner i nedetid.
Danmark har en lang historik i dette mønster. I december 2025, inden OpDenmark, anklagede den danske regering åbent russisk-linkede hackergrupper for angreb på vandsystemer og valgkampagner og indkaldte den russiske ambassadør til protest. Det var et usædvanligt åbent diplomatisk træk, der signalerede, at Danmark var klar til at navngive og skamme Rusland offentligt, et klart udviklingstrin i diplomatisk cyberstrategi.
DDoS som Kampvåben: Kapacitet og Begrænsninger
Hvad DDoS Kan og Ikke Kan
OpDenmark byggede primært på DDoS-angreb (Distributed Denial of Service). DDoS oversvømmer et mål med trafik fra et distribueret netværk af kompromitterede maskiner (botnet) eller fra lejet angrebsinfrastruktur. Målet er at gøre tjenester utilgængelige, ikke at stjæle data eller installere malware.
For energisektoren, sundhedsportaler og offentlige myndigheder kan selv kortvarig utilgængelighed have reelle konsekvenser. Et hospital, der ikke kan tilgå sundhed.dk, taber tid. En energioperatør, der mister adgang til driftsportaler, kan se kritiske advarsler forsinket. Det er den skade, Russian Legion søgte at påføre.
Russian Legions egen kommunikation antydede, at gruppen planlagde at eskalere ud over DDoS: angreb som data-wipes eller ransomware-drops blev nævnt som mulige næste skridt. Truesec anbefalede på denne baggrund en kombination af defensive modforanstaltninger: trafikscrubbing via cloud-tjenester som Cloudflare eller Akamai, rate limiting, geo-blokering af kendte angribers IP-ranges, Anycast DNS til belastningsfordeling samt redundant netværksarkitektur med failover-servere.
Psykologisk Krigsførelse som Primær Effekt
Den primære skade fra OpDenmark var ikke teknisk; det var psykologisk og politisk. Ultimatummet, de publicerede screenshots af nede websteder og den koordinerede mediedækning skabte en opfattelse af sårbarhed i dansk digital infrastruktur. Og opfattelse er i sig selv et strategisk mål for aktører, der søger at påvirke dansk offentlig opinion om støtten til Ukraine.
Truesec konkluderede i sin analyse, at russiske hackergrupper “bruger cybersabotage og hacktivisme til at forstærke informationsoperationer med det formål at intimidere og påvirke vestlige befolkninger.” OpDenmark er et lærebogeksempel på præcis dette mønster, og det adskiller statsaligneret hacktivisme fra rent kriminelle angreb som ransomware.
WEFs Globale Perspektiv: Tillid til National Beredskab Eroderer
World Economic Forums Global Cybersecurity Outlook 2026 dokumenterer den globale kontekst bag tendenser som OpDenmark. Rapporten fandt, at 31 procent af respondenter har lav tillid til deres nations evne til at reagere på større cyberhændelser, op fra 26 procent i 2025. I en geopolitisk kontekst med aktive statsalignerede kampagner mod NATO-lande er den eroderende tillid et alvorligt signal.
Kun 19 procent af organisationer rapporterede, at cyberberedskab overstiger minimumskravene i 2026, op fra 9 procent i 2025. 64 procent møder minimumskrav. Resten er under. For kritisk infrastruktur, der er et primært mål for grupper som Russian Legion, er “møder minimumskrav” ikke et tilstrækkeligt ambitionsniveau.
WEF identificerede tre primære barrierer for styrket cyberberedskab: det hurtigt udviklende trusselsbillede og nye teknologier, nævnt af 61 procent; tredjeparts- og forsyningskædesårbarheder, nævnt af 46 procent; og mangel på cyberkompetencer og ekspertise, nævnt af 45 procent. Alle tre barrierer er direkte relevante i den danske og bredere nordiske kontekst.
5 Forudsigelser for Russisk Cyber-Pres mod Danmark i 2026
1. Energisektoren forbliver det primære mål. Med Danmarks stigende investeringer i havvind og en energimix, der eksporterer til Europa, er energiinfrastrukturen et strategisk mål for aktører, der ønsker at svække NATOs nordlige flanke. Forvent fortsat fokus herfra i resten af 2026.
2. AI-assisterede phishingkampagner erstatter simpelt DDoS. Sopra Steria dokumenterede allerede i 2025 et skifte fra rene DDoS-angreb til AI-drevet phishing og automatiseret rekognoscering. Grupper som Russian Legion, der har adgang til delt infrastruktur fra kriminelle organisationer, vil adoptere disse taktikker hurtigere end dansk forsvar kan adaptere.
3. Valg og politiske begivenheder udløser angrebsbølger. Det danske valg i marts 2026 var ledsaget af målrettede DDoS-angreb. Kommende europæiske valg, NATO-topmøder og beslutninger i Folketing om ukrainestøtte vil med høj sandsynlighed gentage dette mønster.
4. NIS2-compliance forbedrer responstiden, men forebygger ikke angreb. Lovgivningens krav om 24-timers hændelsesrapportering og 72-timers detaljeret rapport vil styrke den koordinerede nationale respons betragteligt. Men NIS2 er et reaktivt instrument. Det forhindrer ikke grupper som Russian Legion i at lancere kampagner.
5. Offentlig attribuering bliver det nye diplomatiske våben. Danmarks åbne attribuering af russisk-linkede grupper i december 2025 og Truesecs offentlige navngivning af Russian Legion sætter en præcedens. Forvent at se Sverige, Finland og Norge adoptere lignende strategier i takt med at angreb intensiveres i 2026.
Hvad Danske Virksomheder Bør Gøre Nu
Truesecs anbefalinger i kølvandet på OpDenmark er konkrete og implementerbare for de fleste mellemstore og store organisationer. Fokus er på DDoS-mitigation, men strategien gælder bredt for enhver organisation i kritiske sektorer.
Trafikscrubbing via cloudtjenester er det mest effektive første forsvar. Cloudflare og Akamai filtrerer angiveligt 90 procent af ondsindet DDoS-trafik, inden den rammer organisationens egne netværk. For kritisk infrastruktur er dette ikke valgfrit; det er baseline.
Rate limiting og geo-blokering begrænser angrebsfladen yderligere. Blokering af IP-ranges fra kendte angrebskilder er ikke en komplet løsning, da angribere bruger VPN og kompromitterede servere globalt, men det hæver angrebsomkostningerne for grupper, der benytter simpel lejet infrastruktur.
Redundant netværksarkitektur med multi-homed internetforbindelser og failover-servere sikrer, at en enkelt angrebsbølge ikke kan lamme kritiske tjenester fuldstændigt. Det er den tekniske implementering af robusthedsprincippet, som DNV identificerer som fraværende i dele af dansk kritisk infrastruktur.
Hændelsesresponsplaner skal testes inden næste kampagne, ikke opdateres som reaktion på den. CFCS stiller vejledning til rådighed, og NIS2-kravene om risikovurdering og dokumenteret hændelsesrespons er et udgangspunkt, der kan bygges videre på med sektorspecifikke øvelser og tværorganisatorisk koordinering.
Relateret Dækning
Læs Også
- Norden: 166 Cyberangreb i 2025, Lederskab er Svageste Led [2026]
- NIS2 i Danmark: 6.000 Virksomheder, €10M Bøder [2026]
- Novo Nordisk: 1,3 TB Stjålet, $25M Løsesum Afvist [2026]
- Asocks Botnet Nedlagt: 17 Mio. Enheder Ramt i 163 Lande [2026]
- DigiCert: 60 Certifikater Kapret af Zhong Stealer [2026]
Ofte Stillede Spørgsmål om OpDenmark
Hvad er OpDenmark?
OpDenmark er betegnelsen for en koordineret pro-russisk cyberkampagne lanceret af alliancen Russian Legion i januar-februar 2026. Kampagnen kombinerede DDoS-angreb mod dansk infrastruktur med et politisk ultimatum: Danmark skulle stoppe en 1,5 milliarder DKK militærhjælpspakke til Ukraine, ellers ville alvorligere cyberangreb følge.
Hvem er Russian Legion?
Russian Legion er en nyetableret alliance af pro-russiske hackergrupper, ledet af Cardinal og bestående af The White Pulse, Russian Partizan og Inteid. Truesec vurderer alliancen som statsaligneret, men ikke statsfinansieret. Gruppen handler i overensstemmelse med russiske geopolitiske interesser, men opererer med formel uafhængighed.
Hvilke sektorer ramte OpDenmark?
Energisektoren var det primære erklærede mål. Herudover blev sundhedsportalen sundhed.dk ramt af den tilknyttede gruppe Inteid inden kampagnens officielle start, og Det Sociale Ministeriums agentur bekræftede angreb under den primære angrebsfase. Politiske partiers websteder og offentlige myndigheders systemer blev ramt i forbindelse med det danske valg i marts 2026.
Var OpDenmark vellykket for angriberne?
Danmark imødekom ikke de politiske krav. Selve stemmeafgivningen ved valget i marts 2026 blev ikke forstyrret. Men gruppen nåede sit psykologiske og informationsmæssige mål: kampagnen fik international mediedækning, satte spørgsmålstegn ved dansk digital robusthed og placerede cyberangreb som et instrument i diplomatisk pres mod Danmarks ukrainestøtte.
Hvad kan virksomheder gøre mod DDoS-angreb som i OpDenmark?
Truesec anbefaler: trafikscrubbing via cloud-tjenester som Cloudflare og Akamai, rate limiting, geo-blokering af kendte angribers IP-ranges, Anycast DNS til belastningsfordeling og redundant netværksarkitektur med failover-servere. For kritisk infrastruktur er hurtig hændelsesrapportering til CFCS og koordinering med sektorens CERT desuden obligatorisk under NIS2-loven.
Er NIS2 et svar på trusler som OpDenmark?
NIS2 er et nødvendigt, men ikke tilstrækkeligt svar. Loven kræver risikoledelse, hændelsesrapportering og leverandørstyring, der forbedrer koordination og responstid. Men NIS2 forebygger ikke russisk-alignerede grupper i at lancere kampagner. Det kræver offensive kapaciteter, diplomatisk attribuering og internationalt samarbejde, som FEs intensiverede rekruttering til offensive cyberoperationer indikerer, at Danmark aktivt opbygger.
Har andre nordiske lande oplevet lignende angreb?
Ja. Truesec noterede lignende angreb mod Norge og Finland knyttet til diskussioner om ukrainsk militærhjælp. DNV dokumenterede 166 samlede cyberangreb mod nordiske lande i 2025, og Sopra Sterias rapport fra 2026 beskriver Norden som et “sandsynligt mål for statsfinansierede kampagner” på grund af regionens nærhed til Rusland, NATO-ekspansion og strategisk placering ved Arktis.
