Toplederens ansvar

Ved du, hvad konsekvenserne for jer er i tilfælde af utilgængelige systemer, tab af fortrolig information eller mistet tillid til korrekte data? Og hvad vil du som leder gøre ved det?

I bund og grund er risikostyring netop at stille de spørgsmål og handle på svarene.

Når det gælder informationssikkerhed, er risikostyring ikke kun en teknisk opgave. Det er en vigtig del af topledelsens ansvar.

I en tid med stadigt flere trusler og voksende uforudsigelighed er risikostyring et nødvendigt værktøj både for at beskytte din organisation og for at sikre, at I når jeres mål. Det er sjældent muligt at fjerne risici helt. Men det er muligt at forstå dem, prioritere sine indsatser og systematisk reducere dem.

Styrelsen for Samfundssikkerhed har udarbejdet en pjece, der sætter sætter fokus på toplederens rolle og ansvar i risikostyring inden for informationssikkerhed. Du kan hente pjecen nedenfor.

Hent pjecen "Topledere og risikostyring"

Derfor er risikostyring vigtigt

Alle organisationer bruger it-systemer og håndterer data, hvilket indebærer risici. God risikostyring skaber overblik og sikrer, at organisationens ressourcer bliver brugt der, hvor de gør mest gavn.

Risikostyring hjælper bl.a. med at:

  • Identificere de største risici i processer og systemer
  • Øge robustheden mod trusler
  • Træffe bedre beslutninger og anvende ressourcer effektivt
  • Opnå større driftssikkerhed og sikkerhed i myndighedens leverancer
  • Styrke organisationens omdømme

Risikostyring er ikke en engangsopgave. Det kræver en løbende indsats, og at du som leder tager ejerskab over det og gør det til en del af ledelsesopgaven.

Dit ansvar i risikostyring

Som topleder har du det overordnede ansvar for risikostyring.

Det betyder, at du skal:

  • Sætte retning og prioritere ressourcer: Du skal sikre, at der er tid, kompetencer og processer til at håndtere risici. Det gælder f.eks. organisering, acceptkriterier og bemanding.
  • Godkende og følge op: Du skal godkende væsentlige risikovurderinger og sikre, at der bliver fulgt op på dem, fx på sikkerhedsudvalgsmøder.
  • Fremme en risikobevidst kultur: Du skal vise engagement og gå forrest ved at anvende den risikobaserede tilgang som grundlag for beslutninger. På den måde er du med til at skabe en kultur, hvor risici tænkes ind i det daglige arbejde.
  • Holde dig opdateret: Du skal kende det aktuelle trusselsbillede. Det kan f.eks. gøres gennem SAMSIK’s trusselsvurderinger eller andre relevante kilder.

NIS2 og risikostyring

I organisationer omfattet af NIS 2-loven skærpes ledelsens ansvar i arbejdet med risikostyring. Det betyder bl.a., at ledelsen har ansvaret for styringen af cybersikkerhed og skal godkende og føre tilsyn med sikkerhedsforanstaltninger. Se NIS 2-vejledningen "Ledelsens rolle
og opgaver" på samsik.dk.

Arbejder din organisation efter sikkerhedsstandarden ISO 27001, er risikostyring et centralt krav.