Jeres bogholder bad Copilot om at bygge et Power Automate-flow, der sender fakturaer fra Outlook til SharePoint. Det tog 40 sekunder. Flowet kører stadig – men ingen i IT ved, at det også kopierer vedhæftede filer til en personlig OneDrive-mappe. Det er virkeligheden med vibe coding i danske SMV’er: AI fjerner den tekniske barriere, men skaber usynlige datastrømme, som hverken I eller jeres NIS2-audit kan se.

Det vigtigste fra denne artikel

• Kortlæg alle flows nu: 68 % af vidensarbejdere bygger egne automatiseringer uden at orientere IT (Microsoft Work Trend Index, 2026). Hvert flow er et potentielt datalæk.
• Opsæt DLP-politikker i Power Platform: Adskil virksomhedsconnectors (SharePoint, Outlook) fra private connectors (Gmail, Dropbox) – det tager under en time.
• Håndtér orphaned flows: Når en medarbejder stopper, kører deres flows videre uden ejer. Byg en offboarding-rutine, der fanger dem.
• NIS2 kræver asset management: Udokumenterede AI-flows er Shadow IT – og Shadow IT er en direkte overtrædelse af NIS2-kravet om registrering af alle IT-aktiver.
• Forbyd ikke – sæt guardrails: Blokerer I Power Automate, flytter medarbejderne til Zapier eller Make. Brug Managed Environments til at give en sikker ramme.

Hvorfor vibe coding er Shadow IT på steroider

Citizen development er ikke nyt. Medarbejdere har bygget Excel-makroer og simple flows i årevis. Men vibe coding ændrer spillet fundamentalt. Når en bruger kan skrive “send alle mails med vedhæftede PDF’er fra økonomichefen til min Google Drive” – og Copilot bygger flowet på sekunder – forsvinder den tekniske friktion, der tidligere fungerede som en naturlig bremse.

Ifølge TechRepublic (april 2026) accelererer vibe coding Shadow IT med en faktor 10. Gartner (Q1 2026) forudser, at 40 % af alle interne forretningsapps og flows i SMV’er vil være genereret via naturligt sprog inden årets udgang.

Det er ikke et fremtidsscenarie. Det sker nu, i jeres tenant.

Før: En medarbejder ville bede IT om hjælp til at bygge en integration mellem SharePoint og et eksternt system. IT vurderede risikoen og satte adgangskontrol op.
Efter: Medarbejderen prompter Copilot, flowet kører inden frokost, og IT opdager det først, når data er lækket – eller aldrig. Ifølge IBM Security (2025) koster datalæk fra fejlkonfigurerede cloud-integrationer 15 % mere at udbedre, netop fordi de er svære at opdage.

Sådan rammer vibe coding jeres NIS2-compliance

NIS2-direktivet kræver, at I fører et register over alle IT-aktiver og datastrømme. Et Power Automate-flow, der flytter kundedata mellem systemer, er et IT-aktiv. Hvis det ikke er dokumenteret, har I et compliance-problem.

Tre konkrete NIS2-krav, som udokumenterede flows bryder:

1. Asset management: Hvert flow skal registreres med ejer, formål og dataklassifikation.
2. Adgangskontrol: Flows arver brugerens rettigheder. Hvis en bruger har adgang til HR-data, kan deres flow sende HR-data eksternt.
3. Hændelsesrespons: Kan I identificere, hvilke flows der er berørt, hvis en brugerkonto kompromitteres? Dark Reading dokumenterer, at hackere aktivt bruger Power Automate til lydløs dataeksfiltrering via kompromitterede konti.

Læs mere om, hvordan vi hjælper med NIS2-compliance i praksis.

Tjekliste: 7 skridt til sikker Power Automate-governance

Denne tjekliste er bygget til SMV’er med 20–200 medarbejdere og Microsoft 365 Business Premium eller E3/E5. I behøver ikke et tungt Center of Excellence – men I skal have disse syv ting på plads:

Skridt	Handling	Hvad I kigger efter	Værktøj
1	Kortlæg alle eksisterende flows	Flows med eksterne connectors, flows uden aktiv ejer	Power Platform Admin Center / CoE Starter Kit
2	Klassificér connectors i tre grupper	Forretning (SharePoint, Outlook), Ikke-forretning (Gmail, Dropbox), Blokeret (fildelingstjenester)	DLP-politikker i Power Platform
3	Aktivér Managed Environments	Begræns hvem der kan oprette produktionsflows vs. testflows	Power Platform Admin Center
4	Indfør obligatorisk review af AI-genererede flows	Flows bygget via Copilot skal godkendes af IT eller flow-champion før produktion	Godkendelsesproces (kan selv bygges i Power Automate)
5	Byg offboarding-rutine for flows	Alle flows ejet af fratrådte medarbejdere skal overdrages eller deaktiveres	PowerShell-script + HR-tjekliste
6	Overvåg anomale flows	Flows der kører om natten, sender data til nye domæner, eller pludselig øger volumen	Microsoft Sentinel / Defender for Cloud Apps
7	Dokumentér og gentag kvartalsvist	Opdatér flow-register, test DLP-politikker, gennemgå nye connectors	Intern governance-kalender

Før: IT-chefen opdager orphaned flows tilfældigt – typisk når noget går galt. Oprydning tager 4–8 timer pr. fratrådt medarbejder.
Efter: Offboarding-scriptet identificerer og deaktiverer forældreløse flows automatisk. Tidsforbruget falder til under 30 minutter.

Hvordan vælger I mellem at blokere og at styre?

Mange sikkerhedsansvarlige overvejer at slå Power Automate fra for alle undtagen IT. Det lyder sikkert. Det er det ikke.

Blokerer I værktøjet, sker der to ting: Produktiviteten falder, fordi medarbejdere mister legitime automatiseringer. Og de finder alternativer – Zapier, Make, n8n – som I slet ikke kan overvåge. Resultatet er mere Shadow IT, ikke mindre.

Den pragmatiske vej er guardrails:

• DLP-politikker forhindrer, at forretningsdata (SharePoint, Dynamics) blandes med private connectors (Gmail, personlig OneDrive). Det er den vigtigste enkeltstående handling.
• Managed Environments giver jer kontrol over, hvem der kan deploye flows til produktion, uden at fjerne muligheden for at eksperimentere i et sandkassemiljø.
• Human-in-the-loop – som NIST AI Risk Management Framework anbefaler – sikrer, at AI-genererede flows altid valideres af et menneske, før de rører produktionsdata.

Disse funktioner er tilgængelige i Microsoft 365 Business Premium og E3/E5. I behøver ikke købe ekstra platforme.

FAQ: Power Automate sikkerhed og vibe coding

Hvad er vibe coding i en M365-kontekst?

Vibe coding er, når en medarbejder bruger naturligt sprog (fx via Copilot) til at bede AI om at bygge et Power Automate-flow eller en Power App. Brugeren skriver, hvad de vil opnå, og AI genererer logikken. Det kræver ingen programmeringsviden.

Er Power Automate sikkerhed et NIS2-krav?

Ja, indirekte. NIS2 kræver asset management og adgangskontrol for alle IT-aktiver. Et flow, der flytter data, er et IT-aktiv. Udokumenterede flows er per definition en overtrædelse af kravet om registrering.

Hvad er orphaned flows, og hvorfor er de farlige?

Orphaned flows er automatiseringer, hvis ejer har forladt virksomheden. De kører videre med den oprindelige brugers rettigheder, men ingen overvåger dem. Hvis rettighederne ikke tilbagekaldes, kan flowet fortsat flytte data – også efter kontoen burde være lukket.

Kan vi bruge DLP-politikker i Power Automate med Business Premium?

Ja. DLP-politikker i Power Platform er tilgængelige for alle M365-licenser, der inkluderer Power Automate. Business Premium giver desuden adgang til Conditional Access og Defender for Cloud Apps, som styrker overvågningen.

Hvor lang tid tager det at sætte DLP op for Power Automate?

Selve opsætningen i Power Platform Admin Center tager 30–60 minutter for en standard-konfiguration. Planlægningen – at klassificere connectors og definere politikker – tager typisk en halv dag med IT og en forretningsrepræsentant.

Skal vi forbyde medarbejdere at bruge Copilot i Power Automate?

Nej. Forbud flytter problemet til værktøjer uden for jeres kontrol. Sæt i stedet guardrails op: DLP-politikker, Managed Environments og et krav om godkendelse før produktionsdeploy.

Hvordan opdager vi, om en kompromitteret konto misbruger Power Automate?

Overvåg for anomalier: flows oprettet uden for arbejdstid, flows der sender data til nye eksterne domæner, og pludselige stigninger i flow-aktivitet. Microsoft Defender for Cloud Apps og Sentinel kan automatisere denne overvågning.

Sådan kommer I i gang: 5 konkrete skridt denne uge

1. Kør en flow-audit i dag: Åbn Power Platform Admin Center og eksportér en liste over alle aktive flows. Notér ejer, connectors og seneste kørselstidspunkt.
2. Identificér orphaned flows: Krydsreferencér flow-ejere med jeres HR-liste over aktive medarbejdere. Deaktivér flows uden aktiv ejer.
3. Opsæt én DLP-politik: Opret en politik, der adskiller forretningsconnectors fra ikke-forretningsconnectors. Start med at blokere kombinationen SharePoint + Gmail.
4. Indfør godkendelseskrav: Kommunikér til alle medarbejdere, at AI-genererede flows skal godkendes af IT eller en udpeget flow-champion, før de sættes i produktion.
5. Book en Power Platform-gennemgang: Få et eksternt blik på jeres tenant. Vi scanner for usikre flows, manglende DLP-politikker og orphaned processer – så I er klar til NIS2.