Cybersikkerhed er nu et bestyrelsesanliggende
NIS2 markerer et paradigmeskifte: cybersikkerhed er ikke længere et spørgsmål, der kan overlades til IT-afdelingen. Med Lov om net- og informationssikkerhed (NIS2-loven), som træder i kraft 17. oktober 2024, har bestyrelse og ledelse et eksplicit, personligt ansvar for organisationens cybersikkerhed.
Det handler ikke bare om at undgå bøder. Ledelser, der tager deres ansvar alvorligt, bygger organisationer, der er mere modstandsdygtige — og mere troværdige over for kunder, partnere og investorer.
Nøglespørgsmålet: Kan din bestyrelse i dag beskrive organisationens top-tre cyberrisici og hvordan de håndteres? Hvis ikke, er der arbejde at gøre.
Hvad siger loven?
NIS2 Artikel 20 — Ledelsens ansvar:
- Ledelsen skal godkende de cybersikkerhedsforanstaltninger, der kræves
- Ledelsen skal overvåge implementeringen af disse foranstaltninger
- Ledelsen kan holdes ansvarlig ved overtrædelser
- Ledelsen skal gennemgå uddannelse for at kunne vurdere risici
- Uddannelse skal regelmæssigt tilbydes til personale
Dette ansvar kan ikke delegeres.
Bestyrelsens fem hovedopgaver
- Godkende cybersikkerhedspolitikken Bestyrelsen skal formelt godkende organisationens overordnede cybersikkerhedspolitik. Politikken skal dække risikostyring, hændelseshåndtering, forretningskontinuitet og leverandørsikkerhed. Godkendelsen skal dokumenteres i bestyrelsesreferatet.
- Sikre risikostyring Bestyrelsen er ansvarlig for, at en systematisk risikostyringsproces er på plads. Det betyder, at risici identificeres, analyseres, behandles og følges op regelmæssigt. Rapporter om toprisikoerne skal nå bestyrelsen.
- Gennemgå cybersikkerhedsuddannelse Hvert bestyrelsesmedlem og ledelsesperson skal gennemgå uddannelse. Formålet er at kunne identificere risici og vurdere, om sikkerhedsforanstaltninger er tilstrækkelige. Uddannelsen skal være relevant for virksomheden.
- Overvåge implementering Det er ikke nok at godkende — bestyrelsen skal også følge op på, at foranstaltninger faktisk implementeres. Det kræver regelmæssig rapportering og KPI'er, der viser udviklingen.
- Håndtere hændelser på ledelsesniveau Ved betydelige hændelser skal ledelsen informeres og træffe beslutninger. Hændelsesrapportering til Center for Cybersikkerhed (CFCS) inden for 24 timer kræver, at der er en fungerende eskaleringskæde.
Hvad sker der ved manglende efterlevelse?
Bøder op til 10 millioner euro eller 2% af global omsætning for væsentlige enheder. For vigtige enheder gælder 7 millioner euro eller 1,4%.
Datatilsynet og CFCS kan kræve offentliggørelse af overtrædelser og udstede offentlige udtalelser, der identificerer ansvarlige personer.
Ledelsespersoner kan holdes personligt ansvarlige. I alvorlige tilfælde kan personer forbydes at varetage ledelsesroller i organisationer, der er omfattet af NIS2.
Organisationer med manglende efterlevelse kan blive genstand for intensiveret tilsyn, herunder regelmæssige revisioner og rapporteringskrav.
Praktiske tips til bestyrelsesmøder
Strukturer cybersikkerhed som fast punkt
Cybersikkerhed skal ikke være noget, der kun diskuteres, når noget er gået galt. Gør det til et fast punkt på dagsordenen:
- Kvartalsvis: Overordnet statusrapport, toprisikoerne, igangværende initiativer
- Årligt: Gennemgang af cybersikkerhedspolitikken, godkendelse af årsplan
- Ved behov: Hændelser, større ændringer, nye krav
Rapportens struktur
En god cybersikkerhedsrapport til bestyrelsen indeholder:
1. Nuværende situation og modenhed
- Hvor står vi i forhold til NIS2-kravene?
- Hvordan ser vi ud sammenlignet med branchen?
2. Toprisikoerne
- Hvad er de tre-fem største risici?
- Hvor sandsynlige er de? Hvad bliver konsekvensen?
3. Iværksatte foranstaltninger
- Hvad har vi gjort siden sidst?
- Har vi haft hændelser? Hvordan blev de håndteret?
4. Igangværende initiativer
- Hvilke projekter er i gang?
- Er vi i tid og budget?
5. Ressourcebehov
- Har vi brug for flere ressourcer?
- Er der kompetencegab?
Spørgsmål bestyrelsen bør stille
- Hvad er vores mest kritiske systemer og data?
- Hvor hurtigt kan vi genoprette efter et ransomware-angreb?
- Hvordan håndterer vi sikkerheden hos vores leverandører?
- Har vi testet vores hændelseshåndtering det seneste år?
- Opfylder vi alle NIS2-krav? Hvis ikke, hvad mangler?
Dashboard og KPI’er for ledelsen
Et effektivt ledelsesdashboard giver overblik uden at drukne i detaljer:
| KPI | Beskrivelse | Mål |
|---|---|---|
| Compliance-niveau | Andel opfyldte NIS2-krav | 100% |
| Kritiske risici | Antal åbne kritiske risici | 0 |
| Hændelser | Antal betydelige hændelser | Nedadgående tendens |
| Patch-niveau | Andel systemer med aktuelle patches | >95% |
| Uddannelse | Andel personale, der har gennemgået uddannelse | 100% |
| Leverandører | Andel gennemgåede kritiske leverandører | 100% |
Almindelige fejl at undgå
NIS2 gør det krystalklart: ansvaret ligger hos ledelsen. At delegere det operative arbejde er okay, men ansvaret kan ikke delegeres væk.
En times generisk præsentation er ikke nok. Uddannelsen skal være substantiel nok til, at ledelsen faktisk kan vurdere risici og foranstaltninger.
At kun handle, når noget går galt, er for sent. Proaktiv risikostyring og regelmæssig opfølgning er nøglen.
Hvis det ikke står i referatet, skete det ikke. Dokumenter bestyrelsens beslutninger, godkendelser og den information, der blev præsenteret.
Næste skridt: Kontroller om jeres organisation er omfattet af NIS2 og læs mere om alle NIS2-krav i vores ramverksoversigt.
Sådan kan Securapilot hjælpe
Securapilot giver ledelsen de værktøjer, der er nødvendige for at opfylde NIS2-kravene:
- Ledelsesdashboard — Overblik over compliance-status, risici og hændelser
- Automatiserede rapporter — Bestyrelsesrapporter med det rette detaljeringsniveau
- Risikostyring — Sporbarhed for alle risici og beslutninger
- Dokumentation — Bevis for godkendelser og opfølgning
- Hændelseshåndtering — Eskalering og rapportering inden for tidskravene
Book en demo og se, hvordan vi kan hjælpe jeres bestyrelse med at tage kontrol over cybersikkerheden.
Ofte stillede spørgsmål
Kan bestyrelsen delegere cybersikkerhedsansvaret?
Nej, ifølge NIS2 kan ledelsens ansvar for cybersikkerhed ikke delegeres. Bestyrelsen skal aktivt godkende foranstaltninger og overvåge implementeringen. Man kan delegere det operative arbejde, men ansvaret forbliver hos ledelsen.
Hvilken uddannelse kræves for bestyrelsen?
NIS2 kræver, at ledelsen gennemgår regelmæssig cybersikkerhedsuddannelse for at kunne identificere risici og vurdere sikkerhedsforanstaltninger. Uddannelsen skal være tilpasset organisationens virksomhed og risici.
Kan bestyrelsesmedlemmer blive personligt ansvarlige?
Ja, NIS2 muliggør personligt ansvar for ledelsespersoner ved alvorlige overtrædelser. I ekstreme tilfælde kan personer forbydes at varetage ledelsesroller. Dette er en betydelig afvigelse fra tidligere praksis.
Hvor ofte skal bestyrelsen behandle cybersikkerhed?
Der er ikke noget specifikt krav, men god praksis er kvartalsvis rapportering til bestyrelsen plus ekstraordinære møder ved hændelser. Cybersikkerhed bør være et fast punkt på bestyrelsens dagsorden.
