I morgen er der sikkerhedsrisikoer for Windows 10 der går på pension
Fra i morgen tirsdag den 14. oktober 2025 går Microsofts Windows 10 officielt på pension, og gratis support ophører. Det har Microsoft oplyst i januar 2025. Det skaber en ny risikoprofil for både private og virksomheder, der fortsat kører Windows 10, og rejser konkrete compliance-spørgsmål efter GDPR art. 32 og – for visse sektorer – NIS2.
Samtidig tilbyder Microsoft i EØS et års gratis Extended Security Updates (ESU) til private forbrugere frem til 13. oktober 2026, men uden almindelig produkt-support og uden funktionsopdateringer. For brugere uden for EØS er ESU som udgangspunkt en betalingsordning.
ICARE forventer en betydelig hackingkampagne fra i morgen og fremefter, eftersom disse enheder kan egne sig til f.eks. DDOS angreb og yderligere indgang til dine netværk og wifi-netværk.
Denne hændelse berører ca. 250 millioner pc’er globalt. De kan havne som elektronikaffald, fordi de ikke lever op til Windows 11-kravene.
“Omkring 44 procent af alle Windows-computere herhjemme kører stadig Windows 10, eller er installeret via IMAC, Macbook, Parallels, Linuxdistributioner og evt. uopdaterede virtuelle servere. Dertil kommer et stort antal på servere, OEM/ODM og industrielle styresystemer”
siger Jesper Christiansen, Sikkerhedschef, ICARE SECURITY A/S.
Hvad sker der pr. 14. oktober 2025
| Ændring | Hvad betyder det | Hvem er omfattet | Kilde |
|---|---|---|---|
| Slut på gratis support og sikkerhedsopdateringer til Windows 10 | Ingen nye funktions- eller sikkerhedsopdateringer fra Microsoft Update | Alle Windows 10-udgaver | Microsoft Support. (support.microsoft.com) |
| EØS-forbrugere: gratis ESU i ét år | Kritiske/vigtige patches kan modtages til og med 13. okt. 2026; ingen almindelig support | Private forbrugere i EØS (inkl. DK, NO, IS, LI) | windows.com |
| Uden for EØS: betalt ESU | ESU som betalt abonnement, hvis man vil blive på Windows 10 | Private/organisationer uden for EØS | Microsoft Learn (ESU-program). (learn.microsoft.com) |
Juridisk risikovurdering og praksis
| Område | Regelgrundlag | Hvad skal man kunne dokumentere | Afgørelser/vejledning |
|---|---|---|---|
| Databeskyttelse (alle, der behandler personoplysninger) | GDPR art. 32 (passende tekniske og organisatoriske foranstaltninger) | Risiko- og modenhedsbaseret sikkerhed, herunder patch- og lifecycle-management for operativsystemer | Datatilsynet udtalte alvorlig kritik af SDU (utilstrækkelig test af softwareopdatering). (datatilsynet.dk) |
| Offentlige myndigheder og offentlige leverandører | GDPR art. 32; for udvalgte sektorer tillige NIS2 | Governance for opdateringer, sårbarhedshåndtering og dokumentation for afhjælpning | Datatilsynet: alvorlig kritik til Digitaliseringsstyrelsen for mangelfulde sikkerhedsforanstaltninger. (datatilsynet.dk) |
| Databehandlere (leverandører til kommuner mv.) | GDPR art. 32, databehandleransvar | Procedure for ajourførte systemer og rettidig patching | Datatilsynet: alvorlig kritik af Kombit som databehandler. (datatilsynet.dk) |
| Kritiske/essentielle enheder (udvalgte sektorer) | NIS2 (Dir. 2022/2555) og national implementering | Tekniske risikostyringstiltag, herunder sårbarheds- og patchmanagement | ENISA NIS2-overblik og teknisk implementeringsvejledning. (enisa.europa.eu) |
Bemærk: Ovennævnte afgørelser handler om utilstrækkelige sikkerhedsforanstaltninger, hvor manglende test/patching indgik. De illustrerer pligtgrundlaget efter art. 32, som også er relevant ved fortsat brug af forældede styresystemer. Datatilsynets generelle vejledning om behandlingssikkerhed uddyber dette.
Dine valgmuligheder – fordele, ulemper og compliance-spor
| Mulighed | Kort beskrivelse | Fordele | Ulemper/risici | Egnet til |
|---|---|---|---|---|
| Bliv på Windows 10 med ESU (EØS-forbruger: gratis i 1 år) | Behold Windows 10 og modtag ESU, herefter planlagt migration | Kendt miljø, kortsigtet risikoreduktion | Ingen funktionsopdateringer; stigende kompatibilitets- og trusselsrisiko efter ESU; organisatorisk ikke tilstrækkeligt for mange dataansvarlige | Private og midlertidige løsninger i mindre ikke-kritiske miljøer. (The Verge) |
| Køb betalt ESU (uden for EØS eller efter gratisåret) | Betalt abonnement på sikkerhedsrettelser | Udskyder udskiftning | Driftsomkostning; teknisk gæld | Virksomheder, der behøver overgangsperiode. (learn.microsoft.com) |
| Opgrader til Windows 11 | In-place opgradering hvor hardware opfylder krav | Længere support, moderne sikkerhedsmodel (TPM 2.0, Secure Boot) | Kræver kompatibel hardware | De fleste brugere/virksomheder med kompatible enheder. (support.microsoft.com) |
| Skift styresystem (Linux) | Installer understøttet Linux-distribution | Lavere hardwarekrav, lang LTS-support, kan give ældre pc’er nyt liv | Kompetencebehov; applikationskompatibilitet | Tekniske brugere og særlige use-cases |
| Køb ny pc | Ny hardware “født” til Windows 11 | Fuld kompatibilitet og support | CapEx; bæredygtighedshensyn | Når TCO/risiko tilsiger udskiftning |
Hardwarekrav og “workarounds”
Microsoft fastholder Windows 11-hardwarekrav (bl.a. TPM 2.0 og Secure Boot). Uofficielle metoder til at omgå kravene eksisterer, men er ubestøttede og kan bryde ved fremtidige opdateringer, særligt efter 24H2/25H2.
| Emne | minimumskrav/position | hvor ser jeg det |
|---|---|---|
| TPM | TPM 2.0 påkrævet | Microsoft Support og Learn. (support.microsoft.com) |
| Secure Boot + UEFI | Påkrævet | Microsoft Learn. (learn.microsoft.com) |
| Omgå-vejledninger | Findes (Rufus, registry m.v.), men ikke officielt supporteret | Tom’s Hardware, Windows Central (advarsel), m.fl. (Tom’s Hardware) |
Anbefalet handleplan:
- Klassificér systemer og data
Kortlæg alle enheder med Windows 10 (inkl. VDI/VM’er og Parallels) samt datatyper (persondata, følsomme data, forretningskritiske systemer). Dette er forudsætning for en art. 32-risikovurdering. Se Datatilsynets vejledning. (datatilsynet.dk) - Vælg midlertidigt værn og migrationsspor
For private i EØS kan gratis ESU aktiveres i ét år. Virksomheder bør kun bruge ESU som overgang, ikke som varigt værn. Dokumentér beslutningen, inkl. eksterne afhængigheder (leverandører/databehandlere). (The Verge) - Planlæg opgradering eller udskiftning
Vurder hardware op mod Windows 11-kravene; hvor krav ikke kan opfyldes, planlæg udskiftning eller Linux-alternativ. Bevar bevis for proportionalitet, omkostninger og “state of the art” jf. art. 32. (support.microsoft.com) - For NIS2-omfattede enheder
Opdater jeres politikker for sårbarhedshåndtering og patching, og indarbejd livscyklusstyring (EOL/EOS) som eksplicit kontrol. Brug ENISA’s tekniske implementeringsvejledning. (enisa.europa.eu) - Dokumentér og test
Indfør kontrolbeviser (change logs, testprotokoller, rollback-planer). Datatilsynets praksis viser, at manglende test/patching udløser alvorlig kritik. (datatilsynet.dk)
Ofte stillede spørgsmål
Kan jeg køre videre uden ESU?
Ja, men risikoen vokser måned for måned, fordi nye sårbarheder ikke lappes. For dataansvarlige vil det ofte ikke være foreneligt med art. 32 at fortsætte uden risikoreduserende tiltag.
Drejer det sig om lukkede systemer f.eks. på et lager eller EDGE COMPUTING, uden internet adgang kan du overveje et lukket VPN net med disse enheder, hvortil der kan indføjes en firewall der lukker dette af for Internet og alle porte mod Gateways og LAN med internet.
Fortsætter Microsoft Defender-undersystemer?
Microsoft stopper Windows 10 OS-opdateringer, mens visse sikkerhedskomponenter kan have særskilte tidslinjer – men uden OS-patches forbliver sårbarheder åbne. Planlæg derfor migration.
Må jeg “tvinge” Windows 11 ind på ældre pc’er?
Der findes uofficielle metoder, men Microsoft fraråder det og kan blokere i fremtiden. Det kan være uforsvarligt for dataansvarlige at basere art. 32-compliance på ikke-understøttede builds.
Praktisk tjekliste til i morgen
- Tag fuld backup og inventarliste over alle Windows 10-enheder
- Aktiver gratis ESU i EØS for private brugere eller etabler betalt ESU, hvor relevant
- Fastlæg migrationsplan mod Windows 11 eller Linux pr. system
- Opdater sikkerhedspolitikker, risikovurderinger og databehandleraftaler
- Gennemfør test og dokumentér beviser for beslutninger og tekniske tiltag
- Efter indstallation anbefales portscanninger på samtlige porte pr. IP adresse med log for disse.
Links til centrale kilder
- Microsoft: Slut på support til Windows 10 pr. 14. oktober 2025. (support.microsoft.com)
- ESU-program (globalt overblik). (learn.microsoft.com)
- Windows 11 systemkrav (Microsoft). (support.microsoft.com)
- GDPR art. 32 (dansk gengivelse) og Datatilsynets vejledning. (General Data Protection Regulation)
- Datatilsynet – udvalgte afgørelser om utilstrækkelige sikkerhedsforanstaltninger. (datatilsynet.dk)
- ENISA – NIS2-ressourcer og teknisk implementeringsvejledning. (enisa.europa.eu)
Kilde: ICARE.DK
Fotokredit: Microsoft
Personer/Firmaer/Emner/#: #Windows10, #Windows11, #ESU, #GDPR, #Artikel32, #NIS2, #Datatilsynet, #ENISA, #Canalys, #TheVerge, #WindowsCentral, #ICARESECURITY
Copyrights: Ⓒ 2025 Copyright by ICARE.DK – kan deles ved aktivt link til denne artikel.
