Webinar – Klar kommunikation i årsrapporten

af | maj 13, 2025 | Viden, Webinar

Klar kommunikation i årsrapporten

Hvordan gør man cyberrisiko forståelig for bestyrelsen?

Cyberrisiko er blevet et strategisk ledelsesanliggende – men hvordan kommunikerer man risiko, trusler og tolerance på en måde, der giver mening i bestyrelseslokalet?

I dette webinar giver vi konkrete bud på:

  • Hvordan man definerer og udtrykker risikotolerance

  • Hvordan trusler og hændelser kan formidles uden teknisk kompleksitet

  • Hvordan man skaber sammenhæng mellem investeringer i sikkerhed og risikoreduktion

Webinaret er målrettet CISO’er, risikoejere og andre med ansvar for kommunikation til ledelse og bestyrelse.

Se webinaret - del 1
Se webinaret - del 2
Download slides

Nedenfor kan du ligeledes læse en opsummerende artikel om de primære områder fra webinaret:

Klar kommunikation af cyberrisiko til ledelse og bestyrelse

Fra trusler og hændelser til tolerance og tabsgrænser

I takt med at cyberrisiko bliver en integreret del af den forretningsmæssige virkelighed, vokser behovet for at kommunikere risici klart og meningsfuldt til virksomhedens øverste ledelseslag. Det handler ikke blot om at redegøre for tekniske hændelser eller beskrive trusler, men om at skabe en fælles forståelse af, hvad risiko betyder for virksomheden – og hvordan den bør håndteres.

Vi samler her centrale elementer fra vores webinar med fokus på risikokommunikation rettet mod ledelse og bestyrelse – med særligt fokus på risikotolerance, trusselsvurdering, hændelseshåndtering, forsikring og koblingen mellem sikkerhedsinvesteringer og risikoreduktion.

1. Risikotolerance: Hvor stort et tab er vi villige til at acceptere?

Risikotolerance er det niveau af risiko, en virksomhed er villig til at acceptere for at nå sine mål. Det er ikke tilstrækkeligt at definere risikotolerance i kvalitative termer – som lav, middel eller høj. For at kunne anvendes som styringsværktøj bør risikotolerance udtrykkes både kvalitativt og kvantitativt:

  • Sikkerhedsstil: En grundlæggende vurdering af, hvor eksperimenterende eller forsigtig organisationen er i sin tilgang til teknologi og sikkerhed.

  • Rapporteringsgrænser: Hvornår skal bestyrelsen orienteres om hændelser – og hvilke typer?

  • Kvantitativ tolerance: Hvilket økonomisk tab er acceptabelt med en given sandsynlighed (f.eks. 5 %, 50 %, 95 %)? Dette kan udtrykkes i tabskurver og sammenlignes med virksomhedens risikokapacitet.

Ved at sætte ord og tal på virksomhedens grænser, bliver det muligt at træffe beslutninger på et oplyst grundlag – og at prioritere investeringer i sikkerhed mere målrettet.

2. Trusselsbilledet: Fra teknisk detaljer til strategisk overblik

Trusler bør ikke beskrives som angrebsteknikker eller tekniske sårbarheder, men som overordnede scenarier med ledelsesmæssig relevans. En effektiv trusselskommunikation kan struktureres i fem kategorier:

  • Fejl hos tredjepart (fx leverandørnedbrud)

  • Interne fejl og mangler

  • Eksterne ondsindede angreb (fx ransomware)

  • Interne ondsindede handlinger

  • Fysiske hændelser (fx brand eller tyveri)

Trusler bør vurderes med afsæt i sandsynlighed, worst case-tab og forventet årligt tab. Det gør det muligt at prioritere indsatsen og føre en informeret dialog med bestyrelsen – uden at fordybe sig i tekniske detaljer.

3. Hændelser: Realtidserfaring som kalibreringsgrundlag

Hændelser er realiserede risici – og bør behandles som datapunkter, der kan bruges til at justere og forbedre risikovurderinger. En hændelse kan betragtes som et risikoscenarie med 100 % sandsynlighed og lavere usikkerhed omkring tabsomfanget.

Ved at opgøre hændelser i samme enheder som risici – fx kroner og tabsintervaller – bliver det muligt at:

  • Vurdere om tidligere risikovurderinger har ramt rigtigt

  • Identificere mønstre i hyppighed og konsekvens

  • Dokumentere effekten af tidligere investeringer i sikkerhed

Særligt produktivitetstab og indirekte konsekvenser (f.eks. omdømme eller tabt indtjening) bør systematisk indsamles og vurderes.

4. Cyberforsikring: Et værktøj til risikotransfer

Forsikring kan være en effektiv metode til at reducere virksomhedens eksponering over for større hændelser. Det forudsætter dog, at virksomheden har et klart billede af:

  • Hvilke tabsformer forsikringen dækker (håndtering, produktivitet, udstyr, immaterielle aktiver m.m.)

  • Hvilke hændelser der undtages

  • Hvordan forsikringen supplerer interne kontroller og beredskab

Forsikringen bør ses i sammenhæng med virksomhedens risikotolerance: Hvilken del af risikoen ønsker vi at bære selv – og hvilken vil vi overføre?

5. Risikoreduktion og budget: Hvad koster det at reducere risiko?

Det er ikke tilstrækkeligt at opgøre, hvor mange penge der bruges på sikkerhed. For at skabe transparens og styring bør der opbygges sammenhæng mellem investeringer og forventet effekt:

“Investeringen i initiativ X koster 250.000 kr. årligt og forventes at reducere det årlige forventede tab med 300.000 kr.”

Ved at bruge kvantitative modeller som Annual Loss Expectancy (ALE) og worst-case scenarier, kan sikkerhedsbeslutninger dokumenteres og prioriteres mere effektivt.

Afsluttende bemærkning

Effektiv risikokommunikation handler ikke om at simplificere risiko – men om at gøre den forståelig og styrbar. Ved at koble trusler, hændelser, tabsdata og risikotolerance skabes et samlet billede, der gør det muligt for ledelse og bestyrelse at træffe bedre beslutninger.

Uanset hvor moden organisationens risikostyring er, er det muligt at tage de første skridt med de data, man allerede har – og bygge videre derfra.