Ledelsens ansvar i cybersikkerhed: Det starter og slutter med jer

Du møder ind på kontoret mandag morgen, kaffen er varm, og din indbakke er allerede et inferno af ulæste mails. Midt imellem budgetopfølgning og en hastesag fra bestyrelsen tikker en besked ind: "Alle systemer er nede. Vi er muligvis ramt af et ransomware angreb." 

Pulsen stiger. Tankerne farer afsted. Hvad gør vi? Hvem har ansvaret? Hvordan kunne det ske? 

Velkommen til virkeligheden for den moderne leder! 

Cybertrusler er et ledelsesansvar 

Cybersikkerhed er ikke længere kun et IT-anliggende. Det er en ledelsesdisciplin op niveau med økonomistyring og kvalitetssikring. Hvis du som leder stadig tænker, at sikkerhed hører hjemme hos IT-afdelingen, så er det på tide, at du genovervejer de risici der er rettet mod din virksomhed. For selv de dygtigste sikkerhedsfolk i verden kan ikke beskytte din organisation, hvis ikke topledelsen tager ansvar, sætter retning og skaber en sikkerhedskultur. 

Hackerne har for længst forstået dette. De ved, at tekniske barrierer kan være svære at bryde igennem, men mennesker – de kan manipuleres. Det er derfor, phishing, social engineering og CEO-fraud er blandt de største trusler for en virksomhed i 2025.  

Men vi har jo et IT-sikkerhedsprogram? 

Ja det har I jo, men løser det problemet med cyberangreb? Måske har I endda en D-Mærkning, en ISO 27001-certificering, en dygtig CISO og en fornuftig risikovurdering.  

Men spørgsmålet er: Er sikkerhed en integreret del af jeres forretningsstrategi, er det I har implementeret operationelt, eller er det en sidebemærkning i kvartalsrapporten? Er jeres fine certifikat baseret på ligegyldig dokumentation, politikker eller processer, som ingen læser, og endnu færre forstår, eller er det basis for et operationelt og effektivt ISMS, som lever i organisationen? 

Virkelig cybersikkerhed kræver en ledelse, der: 

• Ejer risici. Hvis du ikke forstår de største trusler mod din virksomhed, hvordan kan du så træffe informerede beslutninger? 
• Går forrest. Hvis medarbejderne ser, at ledelsen ignorerer sikkerhedsprocedurerne, hvorfor skulle de så selv tage dem seriøst? 
• Sikrer en robust sikkerhedskultur. Politik og teknologi er fine, men adfærd er det, der afgør, om et angreb lykkes. 

Det handler om overlevelse

Cybersikkerhed er ikke en "nice to have" disciplin. Det er en forretningskritisk nødvendighed. Når vi taler om digitalisering, innovation og vækst, så taler vi også – bevidst eller ej – om cyberrisici. 

Virksomheder går ikke kun konkurs på grund af fejlslagne strategier eller dårlige investeringer. De går også konkurs, fordi et kritisk cyberangreb ødelagde kundernes tillid, fordi ransomware lukkede forretningen ned, eller fordi en regulatorisk bøde tvang dem i knæ. 

Det er dét, cybersikkerhed handler om på ledelsesniveau: Evnen til at træffe de rigtige beslutninger i tide. Nogen ville sige ’rettidigt omhu’, selvom om netop den organisation, der var kendt for det slogan, mistede op mod 2 mia DKK pga. et ransomware angreb. 

Så spørgsmålet er ikke, om I som organisation investerer i cybersikkerhed, og investerer korrekt i cybersikkerhed. Spørgsmålet er, om I har råd til at lade være. 

Om forfatteren

Karsten Dahl Vandrup er cybersikkerhedsekspert, lektor i informationssikkerhed og rådgiver for virksomheder og organisationer om NIS2-overholdelse samt praktisk implementering af ISMS. 

Med over 25 års erfaring inden for IT og cybersikkerhed er Karsten specialiseret i risikovurdering, incident response og cyberresiliens. Han arbejder bredt med ISO 27001, ISO 27701 og NIST-rammeværkerne og hjælper virksomheder med at navigere i komplekse sikkerheds- og compliancekrav. 

Karsten er medforfatter til IT-sikkerhed i praksis (Samfundslitteratur, 2022) og medlem af ENISA’s certificeringskomité. Han underviser i NIS2 for Dansk Standard og rådgiver organisationer om at tilpasse sig de nyeste EU-krav inden for cybersikkerhed som partner i Cybersikkerheds eksperthuset NESP.ONE (www.nespone.com) 

I 2025 udgiver han bøgerne ’Operation 27001’ og ’NIS2 – Strategisk, Taktisk og Operationelt’ (Samfundslitteratur), der giver praktisk vejledning til opbygning af robuste sikkerhedsrammer.