Cybersikkerhed er i dag et ledelses- og bestyrelsesansvar. Ikke som et teknisk detaljespørgsmål – men som en integreret del af governance, risikostyring og langsigtet værdiskabelse. Board Institute har udformet checkliste til bestyrelsen – få den her.
Med skærpet regulering, øget digital afhængighed og voksende trusler stilles der nye krav til bestyrelsens overblik, dømmekraft og handleevne. Det er netop her, mange bestyrelser oplever et kompetencegab:
Man ved, at ansvaret ligger i bestyrelsen – men mangler rammerne, sproget og værktøjerne til at arbejde systematisk med området.
Cybersikkerhed kræver bestyrelsesmæssig forståelse – ikke teknisk specialviden
Lovgivning som selskabslovens §115 og EU’s NIS2-direktiv placerer det overordnede ansvar hos bestyrelsen. Det betyder, at bestyrelsen skal kunne:
- forstå virksomhedens væsentligste cyberrisici
- stille de rigtige spørgsmål til direktionen
- vurdere, om organisationen er forsvarligt indrettet
- følge op gennem struktur, rapportering og governance
Det kræver ikke, at bestyrelsesmedlemmer bliver IT-specialister – men at de har den rette bestyrelsesmæssige forståelse af cybersikkerhed som risiko- og ledelsesområde.
Fra ansvar til praksis – her opstår behovet for kompetenceløft
I mange bestyrelser ser vi, at cybersikkerhed enten:
- parkeres hos IT eller ekstern leverandør
- reduceres til politikker uden reel implementering
- eller først får opmærksomhed, når noget går galt
Samtidig mangler bestyrelsen ofte et fælles sprog for cyberrisici, NIS2-krav og rapportering. Det gør det vanskeligt at udøve det ansvar, lovgivningen og omverdenen forventer.
Derfor får du her en checkliste til bestyrelsen.
Bestyrelses-checkliste:
- Forankring og ansvar
- Er cybersikkerhed formelt anerkendt som et bestyrelsesansvar (på linje med økonomi og compliance)?
- Er ansvaret for cyber- og informationssikkerhed tydeligt placeret i direktionen?
- Har bestyrelsen fastlagt, hvordan den fører tilsyn med området?
Bestyrelsesspørgsmål:
Har vi et klart billede af, hvem der har ansvar – og hvordan vi følger op?
- Overblik over virksomhedens vigtigste digitale aktiver
- Har bestyrelsen fået identificeret virksomhedens mest kritiske digitale aktiver?
- Er det tydeligt, hvilke aktiver der er mest forretningskritiske at beskytte?
- Er de væsentligste trusler og sårbarheder belyst i et bestyrelsesegnet format?
Bestyrelsesspørgsmål:
Hvis ét system eller én datakilde kompromitteres – hvad rammer det så konkret?
- NIS2 og regulatorisk efterlevelse
- Har bestyrelsen overblik over, hvilke direktiver og regler virksomheden er omfattet af (fx NIS2, CER, AI Act)?
- Har bestyrelsen godkendt rammerne for styring af cyber- og informationssikkerhedsrisici?
- Følges der løbende op på compliance – ikke kun dokumentation?
Bestyrelsesspørgsmål:
Er vi reelt compliant – eller har vi primært politikker på papir?
- Fra politikker til praksis
- Er der sammenhæng mellem sikkerhedspolitikker og den faktiske adfærd i organisationen?
- Er beredskabsplaner kendte, opdaterede og testet?
- Har virksomheden gennemført øvelser (fx phishing, beredskab, backup/restore)?
Bestyrelsesspørgsmål:
Virker vores sikkerhed også, når organisationen er under pres?
- Mennesker og sikkerhedskultur
- Har virksomheden en tydelig strategi for sikkerhedskultur og adfærd?
- Modtager medarbejdere løbende undervisning i cybersikkerhed?
- Er der en kultur, hvor fejl og hændelser rapporteres åbent?
Bestyrelsesspørgsmål:
Understøtter vores kultur sikker adfærd – eller skaber den smutveje?
- Fast cyberrapportering til bestyrelsen
- Modtager bestyrelsen fast cyberrapportering på hvert møde?
- Er rapporteringen kort, overskuelig og fokuseret på ændringer i risikoniveau?
Bestyrelsesspørgsmål:
Har vi tilstrækkeligt overblik til at handle rettidigt?
- Kompetencer i bestyrelsen
- Har bestyrelsen tilstrækkelig forståelse for cyberrisici til at udøve sit ansvar?
- Er der behov for kompetenceløft eller ekstern sparring?
- Har bestyrelsen et fælles sprog for cybersikkerhed og risici?
Bestyrelsesspørgsmål:
Er vi klædt på til at stille de rigtige spørgsmål?
- Sammenhæng med strategi og værdiskabelse
- Er cybersikkerhed tænkt ind i virksomhedens overordnede strategi?
- Indgår cybersikkerhed i bestyrelsens samlede risikobillede?
- Er investeringer i cybersikkerhed vurderet som forretningskritiske – ikke blot omkostninger?
Bestyrelsesspørgsmål:
Understøtter vores sikkerhedsniveau virksomhedens langsigtede mål?
