Cybersikkerhed i 2026 er et bestyrelsesansvar. Med stigende cybertrusler, skærpet lovgivning og krav fra kunder og myndigheder er sikkerhed både lovkrav og sund forretning.
I dette nyhedsbrev har Board Institute talt med sikkerhedsrådgivere og eksperter i cyber- og informationssikkerhed hos den danske virksomhed Cyber Partners for at synliggøre bestyrelsens ansvar og rolle i 2026. Dette er et emne, som Fremtidens Bestyrelse i en ny og bedre version 2.0 skal have fokus på.
Omkring hver ottende virksomhed i Danmark med mere end 10 ansatte har ifølge Danmarks Statistik været ramt af brud på deres IT-sikkerhed i 2025. Tallene omfatter kun de virksomheder, der faktisk ved, at de har været ramt – og medregner dermed ikke de mange, der mangler tilstrækkelig overvågning. Under halvdelen har dokumenterede sikkerhedsprocedurer, og blot en tredjedel har undervisning i sikkerhed.
Som bestyrelsesmedlem ved vi, at Selskabslovens § 115 pålægger bestyrelsen at sikre den overordnede og strategiske ledelse, en forsvarlig organisation af virksomheden og at bogføring og regnskabsaflæggelse er tilfredsstillende og har procedurer for risikostyring og intern kontrol.
Hertil kommer EU-direktivet NIS2, som implementeres i dansk lovgivning og pålægger bestyrelsen det ultimative ansvar for at godkende og overvåge organisationens rammer for styring af informations- og cybersikkerhedsrisici. Manglende overholdelse kan føre til personligt ansvar for bestyrelsesmedlemmer og betydelige bøder til virksomheden.
En bestyrelsespost indebærer altså, at man skal påse, at virksomheden er tilstrækkeligt beskyttet mod it-kriminalitet og andre risici i moderne tid, og det er uanset selskabets størrelse.
“Cybersikkerhed er et bestyrelsesansvar på linje med finansielt ansvar og strategi,” siger Alan Mark Kristensen, som er sikkerhedsrådgiver og partner hos den danske virksomhed Cyber Partners og har mere end et årtis erfaring med cyber- og informationssikkerhed. Han har bidraget til opbygning af nogle af verdens mest avancerede sikkerhedsplatforme for bl.a. Siemens Gamesa og har designet og ledet udviklingen af OT- og IT-sikkerhedsløsninger til kritisk infrastruktur i energisektoren.
NIS2 – sikkerhed rykkes ind i bestyrelseslokalet
I efteråret 2024 vedtog EU-Kommissionen NIS2 som en ny EU-lov, der skal sørge for, at virksomheder bliver bedre til at beskytte sig mod cyberangreb. Man kan sige, at NIS2 handler om tre ting:
Forebyggelse og driftskontinuitet
Korrekt og koordineret håndtering af hændelser og krisesituationer
Ledelsen skal tage ansvar
Cyberangreb sker meget oftere end før – og rammer ikke kun store organisationer.
Hvis virksomheder bliver lagt ned, kan det gå ud over samfundsfunktioner fx strøm, hospitaler, vand, transport eller IT-systemer. Derfor siger NIS2: “Sikkerhed er så vigtigt, at det skal være noget, ledelsen arbejder med – ikke kun IT-afdelingen.”
Bestyrelsesmedlemmer bør også forstå bl.a.:
Critical Entities Resilience Directive (CER), Cybersecurity Act, AI Act, Cyber Resilience Act, Cyber Solidarity Act, CSRD og Digital Services Act. Særligt AI Act fremhæves som ofte overset.
Kunder og myndigheder forventer, at virksomheder har styr på datasikkerhed og IT-robusthed som led i Governance og Sustainability. Internationale undersøgelser fra KPMG viser, at cybersikkerhed og ESG vurderes som nogle af de vigtigste faktorer for virksomheders succes.
Selskabslovens § 115 pålægger bl.a. bestyrelsen at sikre “en forsvarlig organisation” samt “fornødne procedurer for risikostyring og interne kontroller”.
Tre typiske misforståelser – og hvorfor de koster dyrt
Selv når man anerkender cybersikkerhedens vigtighed, forankres ansvaret ofte forkert. Tre misforståelser går igen:
1) “Det tager IT sig af”
Selvom de fleste bestyrelser erkender, at cybersikkerhed er vigtigt, hersker der ofte det syn på cybertruslen, at “det tager IT sig af, det er jo derfor vi har en CTO”, og det fører til en underprioritering af området. Bestyrelsen skal bistå med risikovurderinger, og være med til at sætte ord på, hvad der har værdi for forretningen at beskytte. Det første skridt på enhver rejse mod en sikker forretning, er at udpege, hvilke aktiver der har størst værdi, og belyse hvilke trusler disse aktiver står overfor.
“Det første skridt er at identificere, hvilke aktiver der har størst forretningsmæssig værdi – og hvilke trusler de står overfor,” siger Alan Mark Kristensen.
2) “Vi er næppe et mål”
En anden udbredt misforståelse er “vores virksomhed er næppe et mål for hackere.” Især mindre virksomheder tror fejlagtigt, at de flyver under radaren, fordi de ikke fylder i medierne som de store selskaber. I realiteten skyder cyberkriminelle med spredehagl efter sårbarheder frem for at søge specifikke navne. Alle kan rammes, hvis sårbarhederne er der, og alle bliver angrebet.
Her er det vigtigt at forstå, at det altid er lettere at tænke sikkerheden ind som en kerneværdi fra starten end at implementere efterfølgende.
“Alle kan rammes – og alle bliver angrebet, hvis sårbarhederne er der,” siger Alan Mark Kristensen.
3) ”Kryds-i-boksen”-syndromet
En tredje misforståelse er “kryds i boksen”-syndromet (The “Check-in-the-box Syndrome”), hvor virksomheder har et stort hul mellem hensigten (skriftlige politikker og procedurer) og den faktiske implementering og eksekvering af de selvsamme politikker og procedurer.
En nedskrevet cybersikkerheds-politik er ikke en garanti mod angreb, hvis medarbejdere alligevel klikker på phishing-mails, fordi de ikke modtager cybersikkerhedsundervisning, der har til formål at opbygge et stærkt forsvar mod digitale trusler. Uddannelse fokuserer på at lære medarbejdere at genkende og reagere korrekt på potentielle sikkerhedsbrister, herunder phishing-genkendelse, adgangskodehygiejne, sikker browsing, dataklassifikation og datahåndtering og hændelsesrapportering.
Medarbejderne bør være den første forsvarslinje i organisationens cybersikkerhed, da menneskelige fejl ofte er en væsentlig årsag til sikkerhedsbrud.
“Politikker er kun værdifulde, når de efterleves i praksis – det skal leve i virksomhedens og medarbejdernes daglige adfærd hver dag,” siger Alan Mark Kristensen.
Mennesker – nøglen til sikkerhed
Adskillige undersøgelser fastslår, at menneskelige fejl er årsag til langt de fleste sikkerhedsbrud. Faktisk estimeres det, at over 90 % af alle IT-sikkerhedshændelser kan spores tilbage til en medarbejders (u)bevidste handling. Når den menneskelige faktor er skyld i så stor en del af hændelserne, er det centralt, at bestyrelsen også har fokus på mennesker, kultur, og adfærd, som en central del af strategien.
Det paradoksale er, at mange organisationer på trods af den kendsgerning, stadig har størst fokus på tekniske løsninger og tunge processer. Tekniske foranstaltninger er nødvendige, men man skal forstå at det ikke kan stå alene. Selv den bedste firewall eller politik kan undermineres af en uopmærksom medarbejder. Omvendt er det gang på gang bevist, at en stærk sikkerhedskultur hos medarbejderne i organisationen fungerer som et utroligt effektivt skjold, der fanger de fleste fejl som ellers ville falde igennem de tekniske foranstaltninger.
Hvis medarbejderne oplever sikkerhedsreglerne som konstante benspænd, finder de smutveje. Travlhed og stress spiller også ind, og man ser ofte, at advarsler overses eller at man får klikket “ja” til noget man burde have afvist, når der er for travlt.
Man kan udforme systemer, processer og arbejdsgange, så de fremmer sikker adfærd og minimerer risikoen for fejl. Sådanne tiltag “bygger sikkerhed ind” i processerne på en måde, der guider medarbejderne til at gøre det rigtige.
Kultur og adfærdsinitiativer skal komme fra toppen, og bestyrelsen skal sammen med topledelsen tydeligt støtte en stærk sikkerhedskultur. Det betyder, at man som øverste ansvarlige efterspørger sikker adfærd og ikke mindst selv efterlever retningslinjerne. Der skal være plads til at stille spørgsmål og til at begå fejl og turde indrømme det.
Bestyrelsen bør kræve af direktionen, at der udformes en egentlig strategi for sikkerhedskulturen, med undervisning, løbende automatiske stikprøver, og ikke mindst fælles beredskabsøvelser, hvor ledelsen også deltager.
Bestyrelsen bør kræve fast rapportering
Vi kan ikke forestille os et bestyrelsesmøde uden en fastlagt rapportering af virksomhedens nøgletal. Men i halvdelen af danske virksomheder – og det tal er langt større i SMV’er – har bestyrelsen ikke fast procedure for sikkerhedsrapportering. Det efterlader et hul i bestyrelsens risikobillede.
Alle bestyrelser bør bede deres direktioner om standardiseret cyberrapportering på hvert bestyrelsesmøde. For at bestyrelsen kan udøve sit ansvar, skal den have løbende rapportering om status på sikkerheden fra direktionen.
En effektiv model til at kommunikere ændringer i niveau, er at bruge trafiklys-formatet (grøn/gul/rød status). En ændring i niveau kan hurtigt spottes med klare farvekoder og rapporten bør omfatte:
- Aktuelt trusselsbillede (eksempelvis en kort vurdering af den aktuelle trusselsituation mod virksomheden/branchen. Er der nye cyberangreb i omløb eller advarsler fra myndigheder (fx Center for Cybersikkerhed) der øger risikoen?)
- Væsentlige sikkerhedshændelser siden sidst (eksempelvis “Større Phishing angreb mod finansafdelingen, opdaget via Microsoft Defender, ingen kompromittering, vi bør geninvestere i licenser. (Farvekode grøn).”
- Resultater af øvelser (eksempelvis phishing og pentest. “Hvornår blev beredskabsplaner, backup-restore og krisekommunikation sidst øvet, og hvad lærte vi?”)
- Audit/compliance-status (eksempelvis interne eller eksterne revisioner af IT-sikkerheden, kort opsummering af resultater fra tilsyn ift. ISO 27001/D-mærke/GDPR/NIS2).
- Planlagte tiltag og investeringsbehov (eksempelvis ”Opgradering og kantsikring af netværk (est. 500.000 DKK) anbefales for at imødegå øget cybertrussel mod produktionsenhed i Ukraine. (Farvekode gul).”
Rapporteringen bør holdes kort og præcis. Formålet er at give et 5-10 minutters overblik, hvor bestyrelsen hurtigt kan overskue større ændringer i selskabets trusselsbillede via farvekoderne. Bestyrelsen vil også lettere kunne fungere som tilsyn, da der nu er en direkte kommunikationsvej i tilfælde af manglende overblik i direktionen.
Bestyrelsen bør sikre sig, at der rent faktisk bliver investeret i tekniske foranstaltninger, og bestyrelsen bør forlange tredjeparts vurdering af løsningerne.
Cybersikkerhed kræver kompetencer
Bestyrelsesformanden bør sikre, at bestyrelsen har kompetencer i cybersikkerhed. Såfremt dette ikke er muligt, bør eksterne rådgivere hyres til at undervise bestyrelsen i risikohåndtering og hjælpe med at afkode rapporteringen. Over tid lærer bestyrelsen at tænke som eksperterne og får på samme tid løst kompetenceproblemet her og nu.
NIS2 står ikke alene, og det anbefales, at man som ansvarligt bestyrelsesmedlem også sætter sig godt ind i foruden NIS2 også Critical Entities Resilience Directive (CER-direktivet på dansk), Cybersecurity Act, AI Act, Cyber Resilience Act, Cyber Solidarity Act, Corporate Sustainability Reporting Directive (CSRD) og Digital Services Act, hvis man er leverandør til/af nogen former for infrastruktur eller har digitale ydelser. Særligt AI Act er ofte overset.
Både kunder og myndigheder forventer i stigende grad, at virksomheder har orden på datasikkerhed og IT robusthed som led i både god governance og Sustainability, under ESG. Internationale undersøgelser fra bl.a. KPMG viser, at topledelser anser ESG og cybersikkerhed som to afgørende områder for virksomhedens succes.
“Stærk sikkerhed opstår, når hele organisationen er tænkt ind i løsningen, og når vi skaber et miljø, hvor det er trygt at lære og udvikle sig,” siger Alan Mark Kristensen.
Har du spørgsmål, eller vil du høre mere om, hvordan Board Institute kan hjælpe dig med din bestyrelseskarriere og med at udbygge din forståelse for det ansvar, der følger?
Så tøv ikke med at tage fat i os.
På Board Institute Bestyrelsesuddannelsen klæder vi både nye og erfarne bestyrelsesmedlemmer på til at bidrage til arbejdet i de danske bestyrelser og samtidigt forstå bestyrelsens ansvar.
Skriv til os – vi svarer altid på alle spørgsmål og henvendelser: info@boardinstitute.dk
