Fem frågor styrelsen bör ställa om cybersäkerhet
En praktisk checklista för styrelseledamöter som vill ta sitt ansvar under den nya lagstiftningen.
Rätt frågor ger rätt insikt
Som styrelseledamot behöver du inte vara teknisk expert. Men du behöver kunna ställa rätt frågor och förstå svaren.
1. Vilka är våra mest kritiska digitala tillgångar?
Förstå vad som verkligen är värt att skydda. Inte all data är lika känslig, inte alla system lika kritiska.
Följdfrågor:
- Hur klassificerar vi information?
- Var finns våra kunddata?
- Vilka system kan inte vara nere?
2. Hur ser vårt risklandskap ut?
Be om en regelbunden redovisning av identifierade risker, deras allvarlighetsgrad och status på åtgärder.
Följdfrågor:
- Hur ofta uppdateras riskbedömningen?
- Vilka är de tre största riskerna just nu?
- Vad gör vi åt dem?
3. Hur vet vi att våra skydd fungerar?
Säkerhetsåtgärder måste testas. Fråga efter resultat från penetrationstester, sårbarhetsanalyser och övningar.
Följdfrågor:
- När testades senast?
- Vad hittades?
- Har bristerna åtgärdats?
4. Vad händer om vi drabbas?
En incidenthanteringsplan ska finnas, vara testad och känd av relevanta personer.
Följdfrågor:
- Finns en dokumenterad plan?
- När övades den senast?
- Vem leder vid incident?
5. Hur hanterar vi leverantörsrisker?
Med NIS2 är detta inte längre frivilligt. Leverantörer med tillgång till era system måste hanteras systematiskt.
Följdfrågor:
- Vilka leverantörer har systemåtkomst?
- Hur bedömer vi deras säkerhet?
- Finns krav i kontrakten?
Sammanfattning
Dessa fem områden täcker kärnan i vad styrelsen behöver ha uppsikt över. Dokumentera frågorna och svaren – det visar att ni tar ert ansvar på allvar.