Ansvaret for cybersikkerhed ligger hos ledelsen

For partnerne Christel Teglers og Søren Skibsted, der til dagligt rådgiver virksomheder og organisationer om teknologi, digitalisering og outsourcing, er cybersikkerhed én af de største forretningsrisici, virksomheder står overfor. Og mangelfuld styring af cyberrisici er en af de største personlige risici for professionelle bestyrelses- og direktionsmedlemmer i dag. Christel uddyber:

"Dagene, hvor cybersikkerhed kan betragtes som en IT-opgave, er forbi. Det er en ledelsesopgave på øverste niveau. Cybertruslen er reel og potentielt forretnings- og samfundskritisk. Det er derfor afgørende, at bestyrelse og direktion ved, hvad der er digitalt kritisk for virksomheden, og at der er strategier, politikker og testede planer på plads for beskyttelse af vigtige digitale aktiver og aktiviteter."

Ny virkelighed – større ledelsesansvar

I løbet af særligt de seneste år har vi oplevet et massivt pres på nationers kritiske infrastruktur og angrebsformer, der tager endnu mere ødelæggende karakter. Det udfordrer virksomheder og samfund, og ifølge Søren kalder det på et langt større ledelsesfokus:

"Vil man stå mere robust i kampen mod cyberangreb, er der behov for en ledelsesforankret strategi og en fælles referenceramme for at italesætte og styre cyberrisici på tværs af organisationen. Mange danske virksomheder er ikke tilstrækkeligt beskyttede mod eller forberedt på et cyberangreb. Det er og bliver et ledelsesansvar at sikre dette. Bestyrelse og direktion er derfor nødt til at læne sig ind i cybersikkerhed og behandle cyberrisici på linje med andre forretnings- og samfundskritiske risici," mener han.

Inden længe venter desuden et nyt forsvarsforlig, og på den europæiske scene bliver cybersikkerhed i de kommende år mere detailreguleret, blandt andet i form af det tværsektorielle NIS2-direktiv og DORA-forordningen for den finansielle sektor. Virksomheder og organisationer kan ikke undgå at have cybersikkerhed højt på deres agenda de kommende år. Christel uddyber:

"De nye regler stiller krav til, at danske virksomheder og myndigheder øger deres cyberrobusthed markant. Reglerne indeholder blandt andet skærpede ledelseskrav, minimumskrav til risikostyring, test og foranstaltninger, håndtering af risici i forsyningskæden og leverandørkontrakter, rapporterings- og auditkrav samt bøder for overtrædelser. Reglerne skal ikke reduceres til en complianceøvelse, men kan i høj grad bruges som en løftestang til at kunne gennemføre digital transformation og grønne målsætninger samtidig med, at virksomheden beskytter sin 'license to operate'."

Vil du i gang med arbejdet med NIS2 og DORA?

Uanset hvordan og hvor meget din virksomhed arbejder med cybersikkerhed i dag, anbefaler Christel og Søren, at din virksomhed får lavet en indledende modenheds- og gapanalyse med konkrete og operationelle anbefalinger til, hvordan virksomheden ud fra en prioriteret indsats kan opfylde NIS2/DORA-kravene og opnå et tilstrækkeligt beskyttelsesniveau, såvel teknisk som operationelt, organisatorisk og kontraktuelt.

I december 2022 udkom en ny vejledning om cybersikkerhed for bestyrelse og direktion. Vejledningen indeholder konkrete og operationelle anbefalinger og forslag og tager – så vidt det har været muligt – højde for de kommende NIS2-lovkrav til cybersikkerhed. Vi har udarbejdet vejledningen i et samarbejde mellem blandt andre Industriens Fond, Bestyrelsesforeningens Center for Cyberkompetencer, Dubex, Center for Cybersikkerhed, Copenhagen Business School og Aalborg Universitets Cyber Security Group.