Cybersikkerhet krever samspill: Styret, administrasjonen og menneskene i organisasjonen

På tvers av bransjene vi jobber med ser jeg et tydelig mønster: Styret er ofte for langt unna cybersikkerhet og digital risiko. Mange tenker på dette som en teknisk problemstilling, men i 2026 er cybersikkerhet en betydelig forretningsrisiko som styre og ledelse må ha et forhold til. Nasjonal Sikkerhetsmyndighet (NSM) gir fire grunnprinsipper et godt rammeverk som alle virksomheter kan bruke:

1. Identifisere og kartlegge

Styret og ledelsen må forstå hva som faktisk står på spill. Hvilke verdier, data og systemer er kritiske? Et sentralt poeng er at en trusselaktør ikke bryr seg om din compliance eller prosess-status. De leter etter konkrete sårbarheter i folk eller systemer som de kan utnytte til å få tilgang. Slik sett kan dette punktet leses som” begynn med å forstå hva du eksponerer til omverden” og hva du kan gjøre for å minimere risiko der, konkret.

2. Beskytte og opprettholde

Administrasjonen må sørge for at gode rutiner, sikkerhetskontroller og riktige teknologivalg er på plass. Dette inkluderer alt fra tilgangsstyring og opplæring til leverandørstyring og oppdateringer.

3. Oppdage

Virksomheten må ha evne til å fange opp avvik og trusler. Det handler både om teknologi og kultur. De ansatte er ofte første forsvarslinje. I realiteten skjer mange angrep utenfor arbeidstid. Det er derfor et sentralt poeng at de fleste ikke vil ha organisasjon eller evne til å oppdage noe når det skjer, før det er for sent. Det er derfor markedet beveger seg mot Managed Services, eller SOC-as-a- service.

4. Håndtere og gjenopprette

Når noe skjer – og det vil det før eller senere – må responsen være koordinert og forankret. Beredskapsplaner, kommunikasjon og krisehåndtering må være trent på, ikke bare skrevet ned.

Sammen med CEO Stig Valderhaug i Sicra AS har vi diskutert digital uavhengighet, sikkerhet og hvordan virksomheter best kan bygge robuste strukturer i en tid der truslene øker, både geopolitisk og teknologisk. Jeg opplever at dette er temaer som berører alle virksomheter vi jobber tett med: eiendoms- og investeringsselskaper, family offices, stiftelser, foreninger, samt handel og tjenesteyting.

Selv om disse bransjene er svært ulike, har de én ting til felles: De sitter på store verdier og sensitiv informasjon, men har ofte begrensede ressurser dedikert til sikkerhet. Det gjør ledelse og styring ekstra viktig.

Digital uavhengighet – mer enn eierskap til datasentre

Vi hører stadig mer om digital suverenitet. På konferanser og samlinger innen cybersikkerhet blir det tydelig at begrepet ofte forenkles til spørsmål om datasentre, skyleverandører eller fysisk infrastruktur. Men i en verden med geopolitisk uro og et stadig raskere AI-kappløp, er digital uavhengighet et langt større og mer komplekst ansvar.

Det handler om kompetanse, dømmekraft og strategiske valg.

Det handler om hvordan styret, administrasjonen og organisasjonen samhandler.

Og det handler om evnen til å bruke den beste teknologien på en trygg måte.

I møte med Sicra AS har jeg fått innsikt i hvordan man kan ta en mer pragmatisk tilnærming enn den idealistiske retorikken som ofte preger debatten. Når jeg snakker med Stig, fremhever han fire anbefalinger som jeg mener bør ha stor tyngde i diskusjonen om digital suverenitet:

1. Bruk programvare og AI bevisst og sikkert

AI gir store muligheter for effektivisering og bedre beslutningsstøtte, men krever tydelige rammer. Virksomheter må være bevisste på hvilke data som deles, hvordan modeller trenes og hvilke leverandører man er avhengig av. Trygg bruk av AI handler om styring, datakvalitet, tilgangskontroll og forståelse av risiko, ikke bare om å ta i bruk ny teknologi raskest mulig.

2. Tilpass beskyttelsesnivået etter risiko

Ikke all informasjon krever samme grad av konfidensialitet. En risikobasert tilnærming gir bedre ressursbruk og mindre kompleksitet.

3. Følg internasjonale standarder

Felles standarder gir økt sikkerhet, bedre interoperabilitet og lavere kostnader. Det gjør også virksomheter mindre sårbare for leverandøravhengighet.

4. Invester i kompetanse og forskning

Digital suverenitet handler om mennesker. Maskinvare uten kompetente folk er ikke en sikkerhetsstrategi, men en sårbarhet.

Dette perspektivet treffer bredt, ikke bare i store konsern, men like mye i mindre organisasjoner med store verdier og samfunnsansvar.

Det viktigste jeg tar med meg: cybersikkerhet er et lagarbeid

Disse prinsippene er enkle å forstå, men utfordrende å leve etter. Derfor må cybersikkerhet bli et samspill på tvers av organisasjonen, ikke et isolert fagområde.

Hva betyr dette i praksis for virksomheter som våre?

Enten jeg snakker med et family office, en stiftelse eller en handelsbedrift, kommer jeg ofte tilbake til de samme tre rådene:

1. Bygg et felles risikobilde i styret og ledelsen

Cybersikkerhet må på agendaen – jevnlig, ikke ad hoc. Det er et lederansvar å forstå risikoer som kan ramme drift, omdømme og økonomi. I dag er alle et mål og man må opptre deretter.

2. Start med en modenhetsanalyse

Før man investerer i teknologi, bør man forstå hvor man står. De viktigste tiltakene er ofte de enkleste: tilgangsstyring, backup-rutiner, passordhåndtering og vurdering av kritiske leverandører.

3. Jobb med kultur, ikke bare teknologi

Mennesker er både den største risikoen og den største ressursen. En god sikkerhetskultur handler om bevissthet, trygge rutiner og tydelige forventninger.

Fra teori til praksis

For meg handler digital suverenitet og cybersikkerhet om én ting: Å gjøre kloke valg som styrker virksomheten, ikke å følge trender eller store ord. Samtalen med Stig Valderhaug og Sicra AS understreker dette. Det er i skjæringspunktet mellom strategi, kompetanse og samarbeid at vi bygger virksomheter som tåler fremtidens digitale trusler. Og dette gjelder alle. Enten man forvalter verdier, formål eller samfunnsoppdrag.