I en tid hvor digitale trusler utgjør en av de største forretningsrisikoene, og hvor Norges støtte til Ukraina gjør gjør oss til et attraktivt mål, er denne manglende kunnskapen en alvorlig svakhet. Mange selskaper organiseres fremdeles på en måte hvor sikkerhetsansvarlig må gjennom flere ledd før styret får kjennskap til risikoene. Dette er en sikkerhetstrussel i seg selv.
Styrets blindsone
Forestill deg at virksomheten din stopper i morgen. Produksjonen stanser, e-post og systemer slutter å fungere, og nøkkelinformasjon er utilgjengelig. Dette er ikke lenger hypotetisk. Cyberangrep rammer bredt, og når de gjør det, mangler styret ofte oversikt og beredskap.
I 2019 kostet et angrep på Hydro over 600 millioner kroner. De kom seg tilbake, men det er ingen selvfølge.
Ifølge en europeisk PwC-undersøkelse fra 2024 diskuterer bare 17 prosent av styrer digital sikkerhet regelmessig. Samtidig advarer Etterretningstjenesten om økt risiko for angrep mot norske selskaper, nettopp på grunn av vår støtte til Ukraina og den geopolitiske spenningen.
Styret har ansvaret
Styret har ikke bare en plikt til å håndtere digitale trusler, men også et juridisk ansvar. Aksjeloven krever forsvarlig organisering, og med nyere regelverk som NIS2, DORA og Cyber Resilience Act er denne plikten ytterligere skjerpet. Styremedlemmer kan holdes personlig ansvarlige ved grov uaktsomhet.
Utfordringen er at mange styrer fremdeles består av medlemmer uten digital erfaring. Kompetansen domineres av finans, jus og drift, mens teknologiforståelse og sikkerhetskompetanse er underrepresentert. Resultatet er ofte overflatediskusjoner om svært komplekse risikoområder.
Styresammensetningen må gjenspeile det faktiske risikobildet. Digital kompetanse må vurderes på linje med juridisk og finansiell ekspertise. Det er tid for å modernisere kompetansekriteriene i styrerommet.
Direkterapportering og struktur
I de fleste selskaper er revisjons- og kompensasjonsutvalg selvsagt. Digital risiko bør behandles med samme struktur. Et eget utvalg for digital sikkerhet gir rom for dypere oppfølging, kontinuitet og bedre kontroll. Men struktur alene er ikke nok.
En av de viktigste endringene styret kan gjøre nå, er å etablere en direkte og regelmessig rapporteringslinje fra sikkerhetsansvarlig. Når informasjon filtreres gjennom operativ ledelse, risikerer man at alvorlige svakheter tones ned eller overses. Styret må få fakta, ikke powerpoint-filtrerte versjoner av virkeligheten.
Sikkerhet er en investering
Mange ser fortsatt på digital sikkerhet som en utgift. Det er en feilvurdering. Sikkerhet er en forutsetning for fremtidig vekst og teknologisk utvikling. Virksomheter med høy sikkerhetsmodenhet kan ta i bruk ny teknologi raskere og tryggere. IBMs rapport Cost of a Data Breach 2023 viser at selskaper med god sikkerhetskultur har 50 prosent lavere nedetid ved angrep og håndterer hendelser mer effektivt.
Styret må stille konkrete og målbare spørsmål: Hva er våre viktigste digitale verdier? Har vi testet hva som skjer hvis disse svikter i én time? Eller én dag? Vet vi hvordan vi ligger an sammenlignet med konkurrenter? I altfor mange tilfeller er svaret: «Vet ikke».
Et minimumskrav
Styret må eie digital sikkerhet. Det kan ikke outsources. Et minimumsansvar inkluderer: Etablering av digitalt risikoutvalg, kvartalsvis rapportering direkte fra sikkerhetsansvarlig, årlig styredeltakelse i beredskapsøvelser, kartlegging av de mest kritiske digitale verdiene og systematisk vurdering av digital risiko i større investeringsbeslutninger.
Dette er ikke lenger bare beste praksis. Med det nye regelverket er det en plikt.
Når krisen kommer
Det er ikke lenger et spørsmål om «hvis», men «når». Når krisen rammer, er det for sent å lære hva vi skulle ha gjort.
Et godt styre må stille de vanskelige spørsmålene på forhånd. Ikke via to mellomledere og en oppsummeringsrapport. Hvis sikkerhetsansvarlig i din virksomhet ikke har en slik direktelinje, har dere allerede en sårbarhet. Dere ser den bare ikke ennå.
Utvalg foreslår NSM-kutt
