Digital Business Foundation

En struktureret tilgang der gør NIS2-ansvaret håndterbart som en del af ledelsesopgaven

Vi  hjælper CEO i virksomheder, der opererer i samfundskritiske værdikæder, med at løfte deres ledelsesansvar for cybersikkerhed.

Med NIS2 er dette ansvaret blevet tydeligt placeret hos ledelsen. Kravene er blevet konkrete, og forventningerne er skærpet, også i virksomheder uden en egentlig sikkerhedsorganisation.

Sammen skaber vi et samlet overblik over virksomhedens cyberrisici, prioriterer de vigtigste indsatser og etablerer en struktur, der gør det muligt at arbejde systematisk med NIS2 på tværs af ledelse, forretning og drift.

Resultatet er et klart beslutningsgrundlag, som kan bruges i dialogen med bestyrelsen og i den løbende styring af virksomhedens risici.

NIS2-loven tydeliggør, at ansvaret for cybersikkerhed ligger hos virksomhedens ledelse. Det indebærer, at ledelsen skal sikre, at virksomheden arbejder systematisk med at identificere og håndtere risici, der kan påvirke drift og leverancer. Ledelsen skal kunne træffe beslutninger på et oplyst grundlag, prioritere indsatsen og sikre, at der er passende foranstaltninger på plads. Samtidig skal arbejdet kunne dokumenteres, og der skal være en struktur for løbende opfølgning samt håndtering og rapportering af hændelser. Ansvaret kan ikke udliciteres, og forventningen er, at cybersikkerhed indgår som en integreret del af virksomhedens samlede risikostyring og governance.

Du er CEO i en virksomhed, der opererer i en samfundskritisk værdikæde, og cybersikkerhed er blevet noget, du ved, du skal tage stilling til, men uden nødvendigvis at have et klart sted at starte.

Måske kan du genkende noget af dette:

• I arbejder allerede med cybersikkerhed, men det er spredt mellem IT, leverandører og forskellige initiativer
• Du får input fra konferencer, rådgivere og leverandører, men det er svært at omsætte til konkrete beslutninger
• NIS2 har gjort ansvaret tydeligt, men ikke nødvendigvis hvad du konkret skal gøre først
• Du mangler et samlet overblik over virksomhedens vigtigste cyberrisici
• Det er uklart, hvordan cybersikkerhed hænger sammen med forretningens drift og afhængigheder
• Bestyrelsen begynder at stille spørgsmål, som kræver klare svar
• Du er i tvivl om, hvorvidt det I gør i dag, reelt er tilstrækkeligt

Konsekvensen er typisk, at cybersikkerhedsarbejdet enten går i stå, eller udvikler sig uden en klar retning.

Det gør det svært at prioritere de rigtige indsatser, og endnu sværere at forklare virksomhedens situation overfor bestyrelsen.

Samarbejdet er organiseret som en abonnementsaftale, hvor cybersikkerhed bliver håndteret som en del af ledelsesopgaven og ikke som et enkeltstående projekt.

Som CEO har man ansvaret for området. Udfordringen er, at arbejdet sjældent er struktureret, så det kan styres på ledelsesniveau og forankres i organisationen.

Samarbejdet tager derfor udgangspunkt i, at der internt udpeges nøglemedarbejdere, som arbejder med de konkrete opgaver. Arbejdet bliver ikke lagt over på eksterne parter, men forankret i virksomheden.

Min rolle er at skabe struktur i arbejdet, tydeliggøre hvad der skal gøres, og forklare hvorfor det skal gøres på den måde. Jeg guider processen, prioriterer sammen med ledelsen og sikrer, at indsatsen hænger sammen på tværs af virksomheden.

Det betyder, at arbejdet ikke bliver drevet af enkeltstående krav, leverandører eller tilfældige input udefra. I stedet bliver det samlet i en fast struktur, hvor opgaverne gennemføres systematisk, og hvor ledelsen løbende får et klart overblik, et beslutningsgrundlag og en fremdrift, der kan følges og forklares.

Samtidig opbygges der internt en forståelse for, hvad cybersikkerhed kræver på ledelsesniveau. Det gør virksomheden mindre afhængig af enkeltpersoner og bedre rustet til at håndtere ansvaret fremadrettet.

Digital Business Foundation er en referencemodel, der viser, hvad fundamentet for virksomhedens cybersikkerhed reelt består af.

Modellen er opbygget i lag, fra forretningens forudsætninger til ledelsesmæssig styring. De nederste lag beskriver virksomhedens formål, strategi og forretningsmodel, som resten af arbejdet bygger på.

Det betyder, at cybersikkerhed ikke starter med systemer eller kontroller, men med en forståelse af, hvordan virksomheden fungerer, og hvad der er kritisk for drift og leverancer.

Lagene gennemgås ikke ét ad gangen. I praksis skal ledelsen forholde sig til hele fundamentet på samme tid, fordi cybersikkerhed ikke opstår i enkeltdele, men i samspillet mellem forretning, afhængigheder og beslutninger.

Arbejdet handler derfor om at skabe et samlet overblik, hvor det bliver tydeligt, hvad virksomheden er afhængig af, hvor risiciene ligger, og hvad der kræver handling først. Når det billede er på plads, bliver det samtidig synligt, hvor der er svagheder i fundamentet. De svagheder påvirker resten af arbejdet og skal håndteres løbende, efterhånden som indsatsen udvikler sig.

Arbejdet følger en fast proces, hvor modellen bruges til at skabe struktur og retning. Udgangspunktet bliver afklaret med afsæt i forretningens formål, processer og ansvar, så der er et fælles billede af situationen. Herefter bliver afhængigheder og risici gjort tydelige på ledelsesniveau, så de kan forstås og forklares i en forretningsmæssig sammenhæng.

Når det er på plads, bliver indsatsen prioriteret ud fra betydningen for drift og leverancer. Det gør det muligt at træffe beslutninger på et oplyst grundlag, i stedet for at reagere på enkeltstående krav eller input. Arbejdet bliver derefter organiseret, så det kan styres og følges op som en del af ledelsesarbejdet.

Når fundamentet er etableret, stopper arbejdet ikke. Det fortsætter som en del af den måde, virksomheden bliver drevet på.

Cybersikkerhed ændrer sig i takt med virksomheden. Nye afhængigheder opstår, forretningen udvikler sig, og kravene udefra bliver skærpet. Derfor er arbejdet organiseret som et kontinuerligt samarbejde, hvor der løbende træffes beslutninger, følges op på fremdrift, justeres i prioriteringer og dokumenteres over for ledelse og bestyrelse.

Det betyder, at cybersikkerhed ikke bliver et projekt, men en integreret del af virksomhedens samlede risikostyring og governance.

Det giver et helt andet udgangspunkt for at arbejde med cybersikkerhed. I stedet for at starte initiativer uden retning eller sprede ressourcerne, bliver arbejdet samlet og prioriteret.

Du får et klart beslutningsgrundlag, et overblik over virksomhedens reelle risici og en struktur for, hvordan indsatsen styres. Samtidig får du et grundlag for dialogen med bestyrelsen, hvor du kan forklare situationen og stå på mål for de prioriteringer, der bliver truffet.

Arbejdet bliver ikke afhængigt af enkeltpersoner eller tilfældige indsatser. Det bliver forankret som en del af virksomhedens måde at drive forretning på, med tydelig fremdrift og dokumentation.

Hvis du vil se, hvordan abonnementsforløbet er opbygget i praksis, er det beskrevet på siden om abonnementsforløb.

In hac habitasse platea dictumst. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas. Nam eu nunc non augue tincidunt suscipit. Suspendisse potenti. Aliquam erat volutpat. Integer vel turpis sed purus scelerisque euismod.

Curabitur tincidunt, felis a elementum tincidunt, ex felis fermentum dui, eget pulvinar arcu eros eu eros. Vestibulum sollicitudin pretium velit, eget volutpat justo fermentum sit amet. Pellentesque in nulla in nisi dictum interdum.

Fusce at nisi arcu. Quisque sed dolor nec dui scelerisque dapibus. Sed at purus at sem aliquet luctus. Sed non massa sit amet sapien porttitor ornare. Vivamus pretium, tortor at tempus ullamcorper, diam ligula lobortis quam, at scelerisque libero lectus ut risus.

Har I spørgsmål, eller vil I høre mere om, hvordan vi kan hjælpe? Udfyld formularen, så vender vi tilbage hurtigst muligt.