Cybersikkerhed for bestyrelser: skab sammenhæng mellem forretning og regulatoriske krav

For blot få år siden blev cybersikkerhed betragtet som en teknisk opgave, der hørte til i IT-afdelingen. I dag er det en af de mest kritiske forretningsrisici – og ansvaret er rykket permanent ind i bestyrelseslokalet.

Det understreger behovet for øget fokus på cybersikkerhed for bestyrelser.

For europæiske virksomheder, uanset om der er tale om SMV’er eller store koncerner, strammer EU i disse år kravene med ny, kompleks lovgivning. Men hvordan navigerer du som bestyrelsesmedlem eller direktør i regulering og koncepter som NIS2, Cyber Resilience Act og Secure SDLC, når du ikke har en IT-baggrund?

Dette indlæg oversætter de tekniske krav til forretningsstrategi og giver dig det overblik, du behøver for at sikre din virksomhed og undgå personligt ansvar.

Cybersikkerhed handler ikke længere kun om firewalls og antivirus. Det handler om forretningskontinuitet, omdømme og i stigende grad: lovmæssig compliance – særligt når det gælder cybersikkerhed for bestyrelser.

EU har rullet en række nye regulativer ud, der har til formål at højne det generelle sikkerhedsniveau i Europa. Som ledelse er det ikke forventet, at I forstår koden bag systemerne, men det er et lovkrav, at I forstår risikobilledet og sikrer, at organisationen handler på det.

 

1. NIS2-direktivet: Det personlige ledelsesansvar

NIS2-direktivet er den hidtil mest omfattende cybersikkerhedslovgivning i EU. Det rammer langt flere sektorer end tidligere, herunder produktion, fødevarer, transport og underleverandører til disse.

Hvad det betyder for bestyrelsen:

• Personligt ansvar: Under NIS2 kan ledelsen og bestyrelsen gøres personligt og økonomisk ansvarlige, hvis virksomheden ikke overholder sikkerhedskravene.
• Aktiv involvering: Direktivet kræver, at ledelsen skal godkende virksomhedens risikostyringsforanstaltninger inden for cybersikkerhed og regelmæssigt modtage undervisning i emnet.
• Risiko for bøder: Manglende overholdelse kan medføre bøder i millionklassen (op til 2% af den globale omsætning).

 

2. Cyber Resilience Act (CRA): Sikkerhed i jeres produkter

Hvor NIS2 handler om at sikre jeres infrastruktur, handler Cyber Resilience Act (CRA) om de produkter, I sælger. Hvis jeres virksomhed producerer eller sælger hardware eller software med digitale elementer (alt fra smartwatches og TV til komplekse softwareplatforme) rammer lovgivningen jer.

Hvad det betyder for bestyrelsen:

CRA gør det ulovligt at bringe digitale produkter på det europæiske marked, hvis ikke de lever op til omfattende sikkerhedskrav. Produkter skal være “Secure by Design” – altså designet med sikkerhed integreret allerede fra idé og første udviklingsfase. Det ændrer fundamentalt den måde, virksomheder skal udvikle deres produkter på.

 

3. Secure SDLC: Værktøjet der løser CRA-udfordringen

For at imødekomme kravene i Cyber Resilience Act, vil jeres IT- og udviklingsafdelinger ofte tale om Secure SDLC (Secure Software Development Life Cycle).

Selvom det lyder teknisk, er konceptet simpel forretningslogik: I stedet for at bygge et produkt færdigt og først derefter tjekke, om det er sikkert (hvilket er dyrt og ineffektivt), bygger man sikkerhedstests og -krav ind i hvert eneste trin i udviklingsprocessen.

 

ISO 27001: Fundamentet der binder kravene sammen

Med de mange nye forkortelser og EU-krav kan det virke overvældende at finde ud af, hvor man som organisation overhovedet skal starte. Her kommer den anerkendte internationale standard, ISO 27001, ind i billedet, som bestyrelsens måske vigtigste strategiske værktøj.

ISO 27001 er et ledelsessystem for informationssikkerhed. For jer i ledelsen betyder det, at man med standarden omsætter de abstrakte lovkrav til et struktureret, veldokumenteret og målbart system for virksomhedens IT-sikkerhed.

Hvorfor en ISO 27001-baseret tilgang er afgørende:

• Et massivt forspring på NIS2: NIS2 stiller strenge krav til systematisk risikostyring og ledelsesinvolvering. Hvis jeres virksomhed allerede er ISO 27001-certificeret (eller arbejder ud fra principperne), har I etableret de processer og det årshjul, der indfrier langt størstedelen af NIS2-kravene.
• Struktur omkring CRA og Secure SDLC: Mens CRA og Secure SDLC fokuserer på selve produkterne I udvikler eller leverer, sikrer ISO 27001, at den bagvedliggende organisation, medarbejdernes adgangsforhold og jeres datahåndtering er sikker. Det skaber den nødvendige dokumentation, som lovgivningen kræver.
• Et sprog bestyrelsen forstår: ISO-standarden tvinger organisationen til at arbejde med sikkerhed ud fra en forretningsmæssig risikovurdering frem for blot tekniske ‘tjeklister’. Det gør trusselsbilledet operationelt og gør det muligt for ledelsen at træffe informerede beslutninger.

 

4 spørgsmål bestyrelsen bør stille til næste møde:

Som ledelse behøver I ikke kende de tekniske løsninger, men I skal stille de rigtige spørgsmål for at sikre compliance og minimere risiko. Tag disse fire spørgsmål med til jeres næste bestyrelsesmøde med den IT-ansvarlige (CISO):

1. Har vi overblik over, hvordan NIS2 og Cyber Resilience Act rammer os, og har vi en klar tidsplan for compliance?
2. Arbejder vi struktureret med informationssikkerhed, f.eks. via ISO 27001, så vi kan dokumentere vores processer overfor myndighederne?
3. Har vi en opdateret og testet plan for hændelseshåndtering (Incident Response)?
4. For produktions/software-virksomheder: Benytter vores udviklingsafdeling en verificeret Secure SDLC-proces for at sikre, at vi lever op til kravene om “Secure by Design”?

Få hjælp til at bygge bro mellem forretning og IT

Cybersikkerhed og compliance med EU-regulering behøver ikke være en byrde. Med den rette rådgivning kan I gøre komplekse EU-krav til praktiske løsninger; cybersikkerhed for bestyrelser der styrker forretningen og skaber værdi.

Hos Nespone specialiserer vi os i at hjælpe europæiske virksomheder og deres bestyrelser med at navigere i det nye trusselslandskab. Vi bygger bro mellem ledelsens strategiske behov og IT-afdelingens tekniske virkelighed – uanset om I skal have hjælp til ISO 27001-rådgivning, gøres klar til NIS2, eller implementere en sikker udviklingsproces for at overholde Cyber Resilience Act (CRA).

Martin Schulze // Partner Nesp.ONE