Cybersikkerhet – en strategisk forretningssak

^{Margarita Sallinen og Daniel Lilliehöök}

Artikkelen ble først publisert i Aktuell Säkerhet den 14 april 2025

Sverige er et av verdens mest oppkoblede land, noe som gir store forretningsmuligheter for selskaper, men også økt eksponering for cybertrusler. Med en økende trusselbilde og skjerpede krav fra både EU-regelverk og den svenske regjeringen, har cybersikkerhet blitt et prioritert tema for stadig flere virksomheter. Ledergrupper er blitt mer bevisste på cybersikkerhetens betydning, og mange selskaper engasjerer cybersikkerhetseksperter og konsulenter for å håndtere disse utfordringene.

Likevel gjenstår et sentralt spørsmål: hvilken rolle bør ledelsen ha i cybersikkerhetsarbeidet?

Fra IT-spørsmål til strategisk forretningsbeslutning

En vanlig misforståelse er fortsatt at cybersikkerhet kun handler om teknologi og IT-systemer, men i realiteten er det et strategisk forretningsspørsmål som direkte påvirker virksomhetens kontinuitet, lønnsomhet og omdømme. Bedriftsledere som ser cybersikkerhet som en integrert del av sin forretningsstrategi, har bedre forutsetninger for å håndtere både økonomiske og operative risikoer. Det handler ikke bare om å beskytte seg mot cyberangrep, men også om å sikre at investeringer i cybersikkerhet bidrar til å redusere risiko på en kostnadseffektiv måte.

Hva betyr dette i praksis?

Cybersikkerhet handler i bunn og grunn om risikostyring, og kan sammenlignes med andre former for risikohåndtering. På samme måte som finansielle og operative risikoer må cybersikkerhetsrisikoer analyseres og prioriteres nøye basert på hvordan de påvirker forretningsvirksomheten. Ledelsen har et avgjørende ansvar for å styre og integrere cybersikkerhetsrisikoer i virksomhetens overordnede risikostyringsstrategi. Det handler om å sikre at virksomheten – og dermed forretningen – kan fortsette å fungere til tross for cyberangrep, datainnbrudd eller andre cybertrusler. Spørsmål ledelsen bør stille seg inkluderer:

·       Hvordan påvirker et cyberangrep vår evne til å levere tjenester?

·       Hvilke kostnader får vi ved driftsstans eller datalekkasjer?

·       Hvor mye risiko reduserer vi for pengene vi investerer i cybersikkerhet?

Å bli utsatt for ransomware er et konkret eksempel på en forretningskritisk risiko knyttet til cybertrusler. Dette er i dag en av de største cybertruslene mot virksomheter og anses av mange som den største og mest akutte enkeltstående risikoen. Ransomware-angrep kan føre til alvorlige økonomiske tap gjennom blant annet driftsstans, inntektsbortfall og juridiske konsekvenser. I tillegg kan et ransomware-angrep medføre juridiske og regulatoriske sanksjoner ved manglende etterlevelse. Ved å integrere cybersikkerhet i den overordnede risikostyringsstrategien kan ledelsen forebygge og håndtere denne typen risiko mer effektivt.

Cybersikkerhet som investering, ikke kostnad

Et strukturert cybersikkerhetsarbeid hjelper ledelsen å få kontroll på sikkerhetskostnadene. I stedet for å satse på ny teknologi uten tydelig kobling til forretningsnytte, kan virksomheten fokusere på å investere i tiltak som reduserer de største risikoene. Å kunne måle effektiviteten av cybersikkerhetstiltakene – og vise hvordan de beskytter virksomheten mot økonomiske tap – er sentralt for å få til en mer strategisk dialog i ledergruppen.

Hvordan arbeide systematisk og kontinuerlig? Å integrere informasjonssikkerhet som en naturlig del av organisasjonens ledelsessystem, for eksempel ved å implementere et ledelsessystem for informasjonssikkerhet (LIS) i henhold til ISO/IEC 27001, er en måte å gi ledelsen makt til å styre, måle og følge opp sikkerhetsarbeidet. Det gir arbeidet riktig forretningsmessig perspektiv og skaper tydelighet i hvorfor ulike cybersikkerhetstiltak innføres, samt hvordan de bidrar til virksomhetens overordnede mål.

Et strategisk spørsmål for fremtiden

Nye regelverk, som NIS2-direktivet og den kommende cybersikkerhetsloven, skjerper dessuten kravene til ledelsens ansvar. For mange virksomheter betyr dette at cybersikkerhetsspørsmål ikke lenger kan delegeres til IT-avdelingen. Det handler i stedet om å skape forståelse for hvordan digitale risikoer påvirker forretningen, og å engasjere seg på riktig nivå.

Organisasjoner med ledelser som i dag tar cybersikkerhet på alvor og integrerer det som del av sin forretningsstrategi, vil være bedre rustet for fremtidens cybertrusler. Ved å sikre at cybersikkerhetsarbeidet er en del av forretningsstrategien, kan de ikke bare beskytte virksomheten – men også skape forutsetninger for lønnsomhet og vekst.

Margarita Sallinen, informasjonssikkerhetsspesialist, Omegapoint
Daniel Lilliehöök, senior informasjonssikkerhetsspesialist, Omegapoint