Bestyrelsens checkliste til cybersikkerhed: 8 spørgsmål der afslører jeres risikoniveau
Cybersikkerhed er i dag et ledelses og bestyrelsesansvar. Ikke som et teknisk detaljespørgsmål, men som en integreret del af governance, risikostyring og langsigtet værdiskabelse.
Det er også derfor, at mange bestyrelser rammer et velkendt problem: Man ved godt, at området er vigtigt, men mangler rammerne, sproget og strukturen til at arbejde systematisk med det i bestyrelseslokalet.
Bestyrelsens opgave er at varetage den overordnede ledelse og føre tilsyn med direktionen. Det følger blandt andet af selskabslovens §115. I en digital virkelighed betyder det, at bestyrelsen skal kunne forholde sig til cyberrisici på linje med andre forretningskritiske risici og sikre, at direktionen arbejder struktureret med forebyggelse, beredskab og opfølgning. Samtidig skærpes kravene til ledelsens ansvar og risikostyring på området, blandt andet via EU’s NIS2.
Hvor det typisk går galt
I mange bestyrelser ser vi, at cybersikkerhed enten bliver parkeret hos IT eller en leverandør, reduceret til politikker uden reel implementering, eller først får opmærksomhed, når noget går galt.
Den praktiske konsekvens er, at bestyrelsen ikke får et klart risikobillede og dermed heller ikke et solidt beslutningsgrundlag.
Bestyrelsens checkliste til cybersikkerhed
Brug checklisten her som et fast punkt på agendaen og som ramme for de rigtige spørgsmål til direktionen. Målet er ikke at gøre bestyrelsen teknisk, men bestyrelsesmæssigt skarp.
1) Forankring og ansvar
Er cybersikkerhed formelt anerkendt som et ledelses og bestyrelsesanliggende, og er ansvaret tydeligt placeret i direktionen?
Bestyrelsesspørgsmål: Har vi et klart billede af, hvem der har ansvar, og hvordan vi fører tilsyn?
2) Overblik over de vigtigste digitale aktiver
Har vi identificeret de mest kritiske systemer, data og processer, og er det tydeligt, hvad der er mest forretningskritisk at beskytte?
Bestyrelsesspørgsmål: Hvis ét system kompromitteres, hvad rammer det konkret i forretningen?
3) Regulatorisk efterlevelse og krav
Har vi overblik over, hvilke krav virksomheden er omfattet af, og følger vi op på efterlevelse i praksis, ikke kun dokumentation?
Bestyrelsesspørgsmål: Er vi reelt compliant, eller har vi primært politikker på papir?
4) Fra politikker til praksis
Er der sammenhæng mellem sikkerhedspolitikker og den faktiske adfærd i organisationen, og er beredskabsplaner opdaterede og testede?
Bestyrelsesspørgsmål: Virker vores sikkerhed også, når organisationen er under pres?
5) Mennesker og sikkerhedskultur
Har virksomheden en tydelig plan for sikker adfærd, og trænes medarbejdere løbende, så hændelser opdages og rapporteres tidligt?
Bestyrelsesspørgsmål: Understøtter vores kultur sikker adfærd, eller skaber den smutveje?
6) Fast rapportering til bestyrelsen
Modtager bestyrelsen fast rapportering, der er kort, overskuelig og fokuseret på ændringer i risikoniveau og fremdrift?
Bestyrelsesspørgsmål: Har vi tilstrækkeligt overblik til at handle rettidigt?
7) Kompetencer i bestyrelsen
Har bestyrelsen tilstrækkelig forståelse for cyberrisiko til at udøve sit tilsyn, og har vi et fælles sprog for området?
Bestyrelsesspørgsmål: Er vi klædt på til at stille de rigtige spørgsmål?
8) Sammenhæng med strategi og værdiskabelse
Er cybersikkerhed tænkt ind i strategi, digitalisering og det samlede risikobillede, og vurderes investeringer som forretningskritiske?
Bestyrelsesspørgsmål: Understøtter vores sikkerhedsniveau virksomhedens langsigtede mål?
Et enkelt næste skridt til næste bestyrelsesmøde
Vælg to punkter fra checklisten og bed direktionen om en kort status på netop dem. Det er ofte nok til at flytte cybersikkerhed fra “noget vi bør” til “noget vi styrer”, og til at give bestyrelsen et fælles sprog og en fast rytme.
Cybersikkerhed handler i sidste ende ikke om dokumenter, men om beslutningskraft. En moden bestyrelse har et klart risikobillede, kan prioritere de rigtige investeringer og følger løbende op, så virksomheden står stærkt, også når det uventede sker.
