Kort svar
Styret trenger ikke kunne all teknologi, men må forstå hva som er kritisk, hvilke scenarioer som kan stoppe virksomheten og hvordan beredskapen faktisk ser ut.
Styret bør tidlig avklare hvilke systemer og data som er mest kritiske for virksomheten, hvordan risiko, hendelser og tiltak rapporteres til styret og hvordan beredskap og ansvar fungerer ved alvorlige hendelser.
Når dette blir aktuelt
- når virksomheten blir mer digital og systemavhengig
- når sikkerhet er delegert til IT uten regelmessig styreoppfølging
- når styret vil vite hva som bør rapporteres om cyberrisiko
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvilke systemer og data som er mest kritiske for virksomheten | avgjør hva styret må følge særlig med på |
| Hvordan risiko, hendelser og tiltak rapporteres til styret | er viktig for å skape reell oversikt |
| Hvordan beredskap og ansvar fungerer ved alvorlige hendelser | reduserer risikoen for handlingslammelse når noe skjer |
Slik bør dere gå fram
- Be ledelsen kartlegge de mest forretningskritiske systemene og avhengighetene.
- Fastsett en enkel styrrerapportering på hendelser, modenhet og tiltak.
- Drøft hvem som gjør hva ved alvorlige sikkerhetshendelser og hvilke beslutninger som må løftes til styret.
- Følg opp om lovede forbedringer faktisk blir gjennomført og testet.
Dokumenter og spor som bør være på plass
Styresaker blir sjelden enklere av å vente; tydelig agenda, dokumentasjon og oppfølging er ofte det som reduserer risikoen.
- oversikt over kritiske systemer, leverandører og avhengigheter
- risikorapporter eller sikkerhetsstatus til styret
- beredskapsplan og rollefordeling ved hendelser
- logg over tiltak og fremdrift på identifiserte svakheter
Typiske feil
- styret får bare tekniske statuspresentasjoner uten forretningskonsekvens
- ingen tester om beredskapen faktisk fungerer
- cyberrisiko blir håndtert som et IT-problem og ikke virksomhetsrisiko
Når bør dere få konkret hjelp?
Når virksomheten er sterkt digital eller allerede har hatt hendelser, bør styrets opplegg kvalitetssikres før neste avvik.
Slik bruker dere guiden i praksis
For en bedrift er ikke målet å lese seg opp på styrets oppfølging av it- og cyberrisiko i seg selv. Målet er å avklare hva som må besluttes, hvem som eier oppfølgingen, og hvilke dokumenter som bør tåle en senere kontroll, tvist eller intern gjennomgang.
Bruk derfor guiden som en arbeidsliste: start med grunnlag, vurdering, beslutning og oppfølging, og fordel deretter oppgavene mellom styreleder, daglig leder og styremedlemmene som trenger et forsvarlig beslutningsgrunnlag. Da blir vurderingen mer konkret enn en generell regelavklaring, og dere reduserer risikoen for svakt beslutningsgrunnlag, uklare protokoller og manglende oppfølging av risiko.
Spørsmål som gir bedre avklaring
- Hvilket beslutningsgrunnlag trenger styret før saken kan behandles?
- Hvilke alternativer, risikoer og økonomiske konsekvenser bør fremgå tydelig?
- Hva skal protokollen vise om vurderingen, uenighet og videre oppfølging?
- Hvem eier tiltakene etter styremøtet, og når skal styret få ny status?
- Er saken så vesentlig at eiere, revisor eller ekstern rådgiver bør involveres?
Et godt beslutningsgrunnlag bør vise
| Del | Hva bør stå klart |
|---|---|
| Grunnlag | hvilke tall, risikovurderinger og alternativer styret faktisk har fått |
| Vurdering | hva styret har diskutert, prioritert og eventuelt bedt ledelsen følge opp |
| Sporbarhet | hvordan beslutning, uenighet og videre kontroll fremgår av protokollen |
Denne typen oversikt gjør det enklere å prioritere riktig nivå på arbeidet. Den hjelper også bedriften å skille mellom det som kan løses med bedre intern rutine, det som bør avklares med motpart eller leverandør, og det som bør vurderes før dere tar neste formelle steg.
Relaterte guider
- Styrets oppfølging av likviditetsprognoser: hva bør rapporteres?
- Styrets oppfølging av leverandøravhengighet og konsentrasjonsrisiko
- Styrets oppfølging av risiko og internkontroll