{"id":2252,"date":"2025-07-19T21:29:54","date_gmt":"2025-07-19T21:29:54","guid":{"rendered":"https:\/\/bedrecybersikkerhed.dk\/?p=2252"},"modified":"2025-07-19T21:29:54","modified_gmt":"2025-07-19T21:29:54","slug":"cyberrisici-bestyrelsens-strategiske-ansvar","status":"publish","type":"post","link":"https:\/\/bedrecybersikkerhed.dk\/index.php\/2025\/07\/19\/cyberrisici-bestyrelsens-strategiske-ansvar\/","title":{"rendered":"Cyberrisici: Bestyrelsens strategiske ansvar"},"content":{"rendered":"

Forestil dig, at din virksomhed bliver ramt af et m\u00e5lrettet cyberangreb. <\/span><\/p>\n

Systemerne lammes, data kompromitteres og tilliden fra kunder og samarbejdspartnere smuldrer. For mange virksomheder og organisationer er det ikke l\u00e6ngere et hypotetisk scenarie – det er blevet til virkelighed. <\/span><\/p>\n

Her kommer bestyrelsen p\u00e5 banen.<\/span><\/p>\n

Cybertrusler i Europa \u2013 en eskalerende risiko<\/b><\/span><\/h4>\n

If\u00f8lge IT Governance Europe (<\/span>Data Breaches and Cyber Attacks \u2013 Europe 2024 Report – IT Governance Blog<\/span><\/a><\/u><\/span>) blev der i <\/span>2024 alene registreret over 2,2 milliarder data records, som blev kompromitterede i Europa fordelt p\u00e5 556 offentligt kendte h\u00e6ndelser.<\/u><\/span><\/p>\n

ENISAs seneste Threat Landscape Report (<\/span>Threat Landscape | ENISA<\/span><\/a><\/u><\/span>)<\/span> fremh\u00e6ver <\/span>ransomware og DDoS-angreb som de mest udbredte trusler<\/u><\/span> i regionen. <\/span><\/p>\n

CERT-EU rapporterer (<\/span>CERT-EU – Threat Landscape Report 2023<\/span><\/a><\/u><\/span>)<\/span>, at <\/span>80 trusselsakt\u00f8rer var aktive mod EU-institutioner i 2023, med 906 ofre for ransomware alene i Europa.<\/u><\/span><\/p>\n

Disse analyser og tal understreger, at cyberrisici ikke blot er et tekniske IT problem. De er forretningskritiske risici, som bestyrelsen skal forholde sig til.<\/span><\/p>\n

Cyberrisici: Ikke kun et problem for CISO – det er ogs\u00e5 et ledelses- og bestyrelsesansvar<\/b><\/span><\/h4>\n

World Economic Forum (WEF) har i samarbejde med Harvard udviklet forslag og guidelines for bestyrelsens rolle og good governance i forbindelse med cybersikkerhed, herunder:<\/span><\/p>\n

    \n
  1. \n

    Cybersecurity som strategisk forretningsdriver<\/span><\/p>\n<\/li>\n

  2. \n

    Udvikling af cybersikkerhedskompetence i bestyrelsen<\/span><\/p>\n<\/li>\n

  3. \n

    Samarbejde p\u00e5 tv\u00e6rs af organisationen for systemisk modstandsdygtighed<\/span><\/p>\n<\/li>\n<\/ol>\n

    Se mere her: WEF_Cyber_Risk_Corporate_Governance_2021.pdf<\/a><\/u><\/span><\/p>\n

    Principles for Board Governance of Cyber Risk<\/a><\/u><\/span><\/p>\n

    En multi-disciplin\u00e6r tilgang virker: – skab et samarbejde mellem bestyrelse, CISO, juridisk afdeling og risk manager.<\/b><\/span><\/p>\n

    For at skabe en effektiv cyberrisikostyring kr\u00e6ves der et tv\u00e6rfagligt samarbejde. <\/span><\/p>\n

    If\u00f8lge Harvard og MIT b\u00f8r bestyrelsen:<\/span><\/p>\n

      \n
    1. \n

      Involvere CISO\u2019en i strategiske dr\u00f8ftelser<\/span><\/p>\n<\/li>\n

    2. \n

      Samarbejde med juridisk afdeling om regulatoriske krav og ansvar<\/span><\/p>\n<\/li>\n

    3. \n

      Koordinere med risk manageren for at integrere cyberrisici i den samlede risikostyring<\/span><\/p>\n<\/li>\n<\/ol>\n

      Professor Stuart Madnick fra MIT fremh\u00e6ver et eksempel p\u00e5 en risiko: \u201dS\u00e5 l\u00e6nge organisationer opbevarer store m\u00e6ngder persondata ukrypteret i skyen, vil individer v\u00e6re i risiko for at f\u00e5 deres data stj\u00e5let og misbrugt.\u201d<\/span><\/p>\n

      Fra teknisk ekspertise til strategisk dialog<\/b><\/span><\/h4>\n

      Bestyrelsen kan stille krav til, at CISOens risikorapportering indeholder meget mere end en status p\u00e5 firewalls og phishing og at der foretages en forretningsm\u00e6ssig risikovurdering samt tilh\u00f8rende vurdering af behov for investeringer og konsekvenser for virksomhedens driftsm\u00e6ssige robusthed og omd\u00f8mme. <\/span><\/p>\n

      Bestyrelsen kan bl.a. stille sp\u00f8rgsm\u00e5l som:<\/span><\/p>\n

        \n
      1. \n

        Hvordan p\u00e5virker cyberrisici vores forretningsmodel?<\/span><\/p>\n<\/li>\n

      2. \n

        Hvilke investeringer i cybersikkerhed skaber st\u00f8rst v\u00e6rdi?<\/span><\/p>\n<\/li>\n

      3. \n

        Hvordan er vores beredskabsplan testet og opdateret?<\/span><\/p>\n<\/li>\n<\/ol>\n

        James Scott, cybersikkerhedsforsker ved Institute for Critical Infrastructure Technology, ser lagdelt forsvar som en grundpille i moderne cybersikkerhed.<\/span><\/strong><\/p>\n

        Han argumenterer for, at der ikke findes \u00e9n \u201csilverbullet\u201d, der kan stoppe alle trusler. I stedet b\u00f8r virksomheder og organisationer anvende flere beskyttelseslag, der kombinerer tekniske, organisatoriske og menneskelige elementer. \u201cOnly layered defense works,\u201d som han udtrykker det. <\/span><\/p>\n

        For bestyrelsen betyder det, at investeringer i cybersikkerhed ikke kun b\u00f8r fokusere p\u00e5 teknologi, men ogs\u00e5 omfatte tr\u00e6ning, governance og samarbejde p\u00e5 tv\u00e6rs af afdelinger.<\/span><\/p>\n

        Cyberrisikostyring og robusthed som konkurrencefordel<\/b><\/span><\/h4>\n

        Virksomheder og organisationer, der integrerer cybersikkerhed i deres strategi, klarer sig bedre p\u00e5 sigt. <\/span><\/p>\n

        En McKinsey-unders\u00f8gelse af 114 virksomheder (<\/span>A board-level view of cyber resilience | McKinsey<\/span><\/a><\/u><\/span>) <\/span>viste, at kun 10<\/span>\u202f<\/span><\/span>% havde et cybersikkerhedsniveau, der kunne modst<\/span>\u00e5<\/span> avancerede trusler og angreb. Samt at de virksomheder, hvor bestyrelsen var involveret og som havde en strategisk tilgang klarede sig markant bedre. <\/span><\/p>\n

        Det handler derfor ikke kun om forsvar, men om en pro-aktiv, strategisk og multi-disciplin\u00e6r tilgang. Det skaber vedvarende og langsigtet robusthed, v\u00e6rdi og tillid i forhold til samarbejdspartnere og andre stakeholders. <\/span><\/p>\n

        Bestyrelsen og cybersikkerhed<\/b><\/span><\/h4>\n

        Virksomheder og organisationer har vidt forskellige strukturer, kulturer og risikoprofiler. Som n\u00e6vnt ovenfor, er der derfor ikke kun en universel metode eller l\u00f8sning, n\u00e5r det g\u00e6lder om at etablere en effektiv styring af cybersikkerheden. <\/span><\/p>\n

        Alligevel er der n\u00f8glepunkter, som kan n\u00e6vnes:<\/span><\/p>\n

          \n
        1. \n

          Cyber literacy<\/b><\/span>: Bestyrelsesmedlemmers grundl\u00e6ggende forst\u00e5else for digitale risici og cybertrusler.<\/span><\/p>\n<\/li>\n

        2. \n

          Strategisk dialog<\/b><\/span>: Cyberrisici som en del af bestyrelsens \u00e5rshjul, dagsorden og strategiske dr\u00f8ftelser.<\/span><\/p>\n<\/li>\n

        3. \n

          Multidisciplin\u00e6rt samarbejde og rollefordeling<\/b><\/span>: – mellem CIO og CISO, risk manager, juridisk afd. mv. <\/span><\/p>\n<\/li>\n

        4. \n

          Tr\u00e6ning og kultur<\/b><\/span>: Hele organisationen \u2013 inkl. bestyrelse, ledelse og medarbejdere \u2013 modtager regelm\u00e6ssig cybersikkerhedstr\u00e6ning.<\/span><\/p>\n<\/li>\n

        5. \n

          Modenhed og m\u00e5linger<\/b><\/span>: Bestyrelsen f\u00e5r relevante m\u00e5linger af trusselsniveauer og virksomhedens\/organisationens evne til respondere.<\/span><\/p>\n<\/li>\n<\/ol>\n

          Cybertruslerne udvikler og \u00e6ndrer sig konstant \u2013 og det skal bestyrelsens kompetencer ogs\u00e5. Det kr\u00e6ver nysgerrighed, samarbejde og mod til at stille de sv\u00e6re sp\u00f8rgsm\u00e5l samt til at forst\u00e5, diskutere og tr\u00e6ffe strategiske beslutninger om digitale risici. <\/span><\/p>\n

          Digitale kompetencer i bestyrelsen er en del af good governance og kan skabe langsigtet v\u00e6rdi. Uden dem uds\u00e6ttes virksomheden un\u00f8digt for risici, den hverken forst\u00e5r eller er kl\u00e6dt p\u00e5 til at h\u00e5ndtere. <\/span><\/p>\n\n\n

          <\/p>\n","protected":false},"excerpt":{"rendered":"

          Forestil dig, at din virksomhed bliver ramt af et m\u00e5lrettet cyberangreb. Systemerne lammes, data kompromitteres og tilliden fra kunder og samarbejdspartnere smuldrer. For mange virksomheder…<\/p>\n","protected":false},"author":7,"featured_media":2253,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_kadence_starter_templates_imported_post":false,"_kad_post_transparent":"","_kad_post_title":"","_kad_post_layout":"","_kad_post_sidebar_id":"","_kad_post_content_style":"","_kad_post_vertical_padding":"","_kad_post_feature":"","_kad_post_feature_position":"","_kad_post_header":false,"_kad_post_footer":false,"_kad_post_classname":"","footnotes":""},"categories":[21],"tags":[],"ppma_author":[20],"class_list":["post-2252","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ledelse"],"authors":[{"term_id":20,"user_id":7,"is_guest":0,"slug":"lani-bannach","display_name":"Lani Bannach","avatar_url":{"url":"https:\/\/bedrecybersikkerhed.dk\/wp-content\/uploads\/2025\/07\/Lani-Bannach.jpg","url2x":"https:\/\/bedrecybersikkerhed.dk\/wp-content\/uploads\/2025\/07\/Lani-Bannach.jpg"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":""}],"_links":{"self":[{"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/posts\/2252","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/comments?post=2252"}],"version-history":[{"count":1,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/posts\/2252\/revisions"}],"predecessor-version":[{"id":2254,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/posts\/2252\/revisions\/2254"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/media\/2253"}],"wp:attachment":[{"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/media?parent=2252"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/categories?post=2252"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/tags?post=2252"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/ppma_author?post=2252"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}