Likevel opplever jeg at én av de største risikoene mange virksomheter står overfor fortsatt blir behandlet som et rent IT-tema. Det mener jeg er en foreldet måte å tenke på.

Cyberrisiko som økonomisk risiko

Når virksomhetens viktigste prosesser er digitale, kundedata er digitale og verdikjedene er digitale, blir også konsekvensene av et cyberangrep økonomiske. Produksjon kan stoppe opp. Leveranser kan bli forsinket. Kunder kan forsvinne. Omdømme kan svekkes. Kostnadene kan bli betydelige, både direkte og indirekte.

Derfor mener jeg at cybersikkerhet hører hjemme i styrerommet på samme måte som finansiell risiko og operasjonell risiko. God økonomistyring handler om å beskytte virksomhetens evne til å skape verdier. Da må også cyberrisiko være en del av beslutningsgrunnlaget.

Jeg opplever at mange fortsatt ser på sikkerhet som en kostnad. Det blir en investering som må begrunnes og forsvares hvert eneste budsjettår. Samtidig er det få som stiller spørsmål ved investeringer i økonomifunksjoner, internkontroll eller revisjon. Vi vet at disse funksjonene reduserer risiko og bidrar til bedre styring.

God styring krevet IT-sikkerhet

IT-sikkerhet handler om å sikre stabil drift, beskytte kontantstrømmer, opprettholde leveranseevne og bevare tilliten hos kunder og samarbeidspartnere. Styret har et ansvar for virksomhetens samlede risikobilde. Etter min mening innebærer det også å forstå hvilke digitale trusler som kan påvirke virksomhetens strategi og økonomiske utvikling.

For å forstå det må styret ha oversikt over hvilke digitale verdier som er mest kritiske, og hvilken risiko de aksepterer. Styret må også vite hvordan et større sikkerhetsbrudd vil påvirke virksomhetens drift og økonomi. Nedetid kan bety alt fra massiv tap av inntekt til at virksomheten går under.

Styret må derfor vite om virksomheten har evnen til å oppdage angrep tidlig, og om de har en plan for hvordan de skal håndtere det. Hvorvidt man har oversikten over digitale verdier, risiko og -evne, handler om god virksomhetsstyring.

Hvor styring møter operasjonell evne

Samtidig er god styring alene ikke tilstrekkelig. En risikomatrise beskytter ingen virksomhet dersom trusselen faktisk materialiserer seg. Derfor ser vi en tydelig utvikling hvor stadig flere virksomheter kombinerer governance med operativ sikkerhet gjennom et Security Operations Center, en SOC.

Jeg pleier å sammenligne det med økonomifunksjonen. Ingen ville akseptert at økonomi bare ble fulgt opp én gang i året når regnskapet skulle avsluttes. Vi følger likviditet, marginer og nøkkeltall kontinuerlig fordi vi ønsker innsikt før problemene blir store.

En moderne operasjonssentral gjør i prinsippet det samme for cybersikkerhet. Den overvåker virksomheten kontinuerlig, identifiserer avvik, oppdager trusler tidlig og bidrar til rask håndtering når hendelser oppstår.

For meg er dette et godt eksempel på hvordan strategi og operasjon må henge sammen. God governance setter retning, definerer risiko og etablerer ansvar. Operasjonssentralen sørger for at virksomheten faktisk har evnen til å oppdage og håndtere hendelser i praksis. Det ene fungerer dårlig uten det andre.

Cybersikkerhet støtter virksomhetsstyring

Vi ser også at regulatoriske krav som NIS2 og DORA flytter ansvaret høyere opp i organisasjonen. Ledelse og styre forventes å ha eierskap til cyberrisiko på samme måte som annen virksomhetsrisiko. Det er en utvikling jeg mener er både riktig og nødvendig.

De virksomhetene som vil lykkes best vil være de som klarer å integrere cybersikkerhet i virksomhetsstyringen, og samtidig bygge en operativ evne til å håndtere hendelser når de oppstår.

Til syvende og sist handler dette om å beskytte virksomhetens evne til å skape verdier. Når en stadig større del av disse verdiene er digitale, blir cybersikkerhet en naturlig del av ansvarlig økonomistyring.