Gå direkte til indhold
 

Cybersikkerhed i bestyrelseslokalet: Et ansvar blandt mange – men med særlige konsekvenser

Læsetid i minutter: 2

Skrevet d. 04-08-2025 af

Bestyrelsens ansvar er i dag mere komplekst end nogensinde. Udover at sikre virksomhedens finansielle sundhed, vurdere forretningsstrategien og navigere i et konkurrencepræget marked, stiller nye reguleringer inden for cybersikkerhed som NIS2 og DORA nu også krav om, at emnet bliver en fast og prioriteret del af bestyrelsens arbejde.

I dette blogindlæg kan du læse mine pointer om bestyrelsens rolle i den digitale risikostyring – og ikke mindst: Fire konkrete prioriteringer, bestyrelsen bør fokusere på som første skridt mod et mere cybersikkert ledelsesansvar.

martin kofoed

Hvordan lykkes man?

Det er ikke længere nok at betragte cybersikkerhed som en teknisk disciplin, der hører til i IT-afdelingen.

Med den nye lovgivning, der rammer den kritiske infrastruktur, er det bestyrelsen, der har det ultimative og ikke-delegerbare ansvar. Og det er dermed også bestyrelsen, der skal godkende virksomhedens IT-risikostyring, føre tilsyn med beredskabsplaner og afprøvning og kunne dokumentere, hvordan virksomheden arbejder med digital modstandsdygtighed.

For at lykkes, kræver det et sundt og tillidsfuldt samspil mellem bestyrelse og direktion. Ledelsen skal have mulighed for at rapportere åbent og præcist om risici – også når status ikke er tilfredsstillende – uden frygt for, at det udløser unødige sanktioner eller uro i bestyrelseslokalet.

Samtidig bør bestyrelsen understøtte, at risici bliver gjort synlige og bringes i kontrol. Samt at sikre at cybersikkerhed prioriteres som en kontinuerlig ledelsesopgave frem for en isoleret hændelse.

 

Faldgruber: Når cybersikkerhed negligeres – eller overdrages blindt

En typisk faldgrube er, at bestyrelsen overlader cybersikkerhed til IT eller CISO’en, uden at stille de relevante og til tider kritiske spørgsmål til risikobilledet eller teststrategien. Det kan skabe en falsk tryghed, hvor beslutninger træffes uden reelt ledelsesmæssigt overblik.

En anden faldgrube er “tick-box”-tilgangen: At man tror, man er dækket ind, fordi der findes en politik eller er gennemført en penetrationstest. Men i praksis er det ofte her, det halter, særligt når det kommer til opfølgning på afvigelser, manglende integration i risikovurderinger, eller fordi man alene anvender testen som dokumentation for, at man ”har gjort noget”.

 

Fire prioriteringer bestyrelsen bør fokusere på

  1. Stil de rigtige spørgsmål: Bed om risikovurderinger med kobling til forretningskritiske funktioner. Spørg ind til Business Impact Assessments (BIA), og hvordan cybersikkerhed indgår i virksomhedens strategiske risikostyring.

  2. Efterspørg dokumenteret beredskab og læring: Er der planlagte beredskabsøvelser, og foreligger der incident response-planer og dokumentation for hændelser og opfølgning? Hvis ikke, så mangler der et centralt element i robustheden.

  3. Gør cybersikkerhed til fast punkt på årshjulet: Governance kræver kontinuitet. Cybersikkerhed bør være et tilbagevendende emne i bestyrelsens mødekalender – ligesom finansiel rapportering og forretningsudvikling.

  4. Målet for cybersikkerhed-indsatsen er ikke blot overholdelse af compliance: Hvis cybersikkerhed udelukkende betragtes som et middel til at opfylde lovkrav, rammer man forbi målet. Compliance er kun et delmål – det egentlige formål er at beskytte virksomhedens eksistensgrundlag, sikre forretningskontinuitet og værne om data, integritet og tillid. Cybersikkerhed skal understøtte forretningen – ikke blot krydse tjekbokse. 

 

Cybersikkerhed som konkurrencefordel

Virksomheder, der formår at integrere cybersikkerhed som en strategisk disciplin, vinder ikke kun på compliance – men også på tillid. Investorer, samarbejdspartnere og kunder efterspørger dokumenterbar modstandsdygtighed.

Når bestyrelsen tager reelt ejerskab over cybersikkerhed, bidrager det til at styrke virksomhedens position i markedet. For cybersikkerhed handler ikke kun om at forsvare sig – men også om at stå stærkere. Og i en digital virkelighed, hvor risici udvikler sig hurtigere end nogensinde, er det måske ikke firewall’en, men bestyrelsens beslutningskraft, der udgør den vigtigste forsvarslinje. 

 

De rette kompetencer og kapacitet i bestyrelsen er afgørende

For at leve op til det stigende ansvar og kompleksiteten i trusselsbilledet, bør bestyrelsen styrke sin egen kapacitet og indsigt i cybersikkerhed. Det starter med viden.

Bestyrelsesmedlemmer bør løbende uddannes i cybersikkerhed, risikostyring og regulatoriske krav som NIS2 og DORA, eller lignende branche- og sektorspecifikke krav. Ikke for at blive teknikere, men for at kunne træffe informerede beslutninger og stille de rigtige spørgsmål.

Samtidig bør bestyrelsen overveje at inddrage eller udpege medlemmer med konkrete kompetencer indenfor cybersikkerhed. Det bidrager ikke blot til en bedre forståelse, men sikrer også, at cybersikkerhed forankres som en integreret del af virksomhedens overordnede strategi og governance-struktur.

En kompetent og oplyst bestyrelse sender et klart signal til både direktion, investorer og omverden:

Cybersikkerhed er ikke et add-on – det er et direkte kerneansvar!

 

Læs også:

Prioriterer din bestyrelse cybersikkerhed højt nok?

Lad os tage en snak om din aktuelle situation. Udfyld formularen, så kontakter vi dig.