4. Digital sikkerhet
Digital sikkerhet er et samfunnsansvar og digitale trusler utgjør en betydelig risiko for det norske samfunnet og norske virksomheter som i økende grad reguleres. Kunstig intelligens forsterker denne risikoen, men tilfører også nye virkemidler for å beskytte virksomheten. Styret skal tilrettelegge for å beskytte virksomhetens verdier mot digitale trusler, skaffe seg en forståelse for sårbarheter og sikre at virksomheten jobber med akseptabel risiko. Styret skal selv vise nysgjerrighet og mot i dialogen om digital sikkerhet og kunstig intelligens.
(Versjon 2-4: Siste oppdatering 2026-04-15)
Kommentarer
Digital sikkerhet er et samfunnsansvar og digitale trusler utgjør en betydelig risiko for det norske samfunnet med høy kritikalitet for store og små bedrifter. Styret skal skaffe seg en forståelse av det digitale trusselbildet virksomheten står ovenfor [1,2,3,4], grunnleggende kompetanse om beste praksis innen håndtering av digitale trusler og gjenoppretting ved hendelser. Med ny regulering (som DORA og NIS2 [5]) stilles styret i økende grad ansvarlig for digital sikkerhet, som må være like selvsagt og integrert i virksomheten som andre virksomhetskritiske områder (eksempelvis HMS og bærekraft).
Kunstig intelligens (KI) er et tveegget sverd i digital sikkerhet: Teknologien gjør det mulig å gjennomføre mer presise og automatiserte angrep, svindelforsøk og påvirkningsoperasjoner som er vanskelige å oppdage. Samtidig gir KI nye forsvarsmekanismer gjennom avansert deteksjon, analyse og respons i sanntid. Styret må forstå både risikoene og potensialet, og sikre ansvarlig bruk av KI i tråd med gjeldende reguleringer som EUs KI-forordning [6] og virksomhetens risikoprofil.
Styret kan oppfylle sitt ansvar innen tilsyn og forvaltning ved å sikre at virksomheten har passende prosesser innen de tre områdene: risikostyring og et bevisst forhold til risikotoleranse (virksomheten avdekker relevante digitale risikoer på egenhånd), måling av modenhet (virksomheten måler seg selv opp mot anerkjente sikkerhetsrammeverk, f.eks. [7,8]) og eksterne vurderinger av sikkerhetsnivået (virksomheten evalueres/ testes av andre parter, slik at man ikke ser seg blind på et feilaktig sikkerhetsnivå uten innspill fra omverdenen). Det er naturlig at virksomheten har strategiske KPIer knyttet til sikkerhet, hvor det blant annet kommer frem hvordan det står til med virksomhetens sikkerhetskultur og evne til å oppdage og håndtere sikkerhetshendelser og sårbarheter.
Styret bør være bevisst på at det er et kommunikasjonsgap mellom toppledelsen og teknologi-/sikkerhetsledere, og at sistnevnte er mindre optimistiske når det gjelder evnen til å beskytte virksomheten mot digitale trusler. Mange styremedlemmer og toppledere vil ha en overdreven selvtillit innen digital sikkerhet, selv om kompetansen er lav (den såkalte «Dunning-Kruger-effekten» [9,10]). Styret bør tilstrebe å ta hensyn til dette og reflektere over hvilken fase de selv er i (uvitenhet, fornektelse, panikk eller mestring).
Styremedlemmer bør i møte med digitale sikkerhet utvise nysgjerrighet (stille spørsmål, gjerne dumme), tålmodighet (utvise forståelse for at endring krever tid), modighet (evne til å ta beslutninger med høy usikkerhet og personlig risiko), årvåkenhet (være oppmerksom på mulige sikkerhetstrusler i det daglige og være en rollemodell for andre) og åpenhet (invitere til dialog og oppfordre til åpenhet rundt svakheter, hendelser og risiko).
Kunstig intelligens (KI) er et tveegget sverd i digital sikkerhet: Teknologien gjør det mulig å gjennomføre mer presise og automatiserte angrep, svindelforsøk og påvirkningsoperasjoner som er vanskelige å oppdage. Samtidig gir KI nye forsvarsmekanismer gjennom avansert deteksjon, analyse og respons i sanntid. Styret må forstå både risikoene og potensialet, og sikre ansvarlig bruk av KI i tråd med gjeldende reguleringer som EUs KI-forordning [6] og virksomhetens risikoprofil.
Styret kan oppfylle sitt ansvar innen tilsyn og forvaltning ved å sikre at virksomheten har passende prosesser innen de tre områdene: risikostyring og et bevisst forhold til risikotoleranse (virksomheten avdekker relevante digitale risikoer på egenhånd), måling av modenhet (virksomheten måler seg selv opp mot anerkjente sikkerhetsrammeverk, f.eks. [7,8]) og eksterne vurderinger av sikkerhetsnivået (virksomheten evalueres/ testes av andre parter, slik at man ikke ser seg blind på et feilaktig sikkerhetsnivå uten innspill fra omverdenen). Det er naturlig at virksomheten har strategiske KPIer knyttet til sikkerhet, hvor det blant annet kommer frem hvordan det står til med virksomhetens sikkerhetskultur og evne til å oppdage og håndtere sikkerhetshendelser og sårbarheter.
Styret bør være bevisst på at det er et kommunikasjonsgap mellom toppledelsen og teknologi-/sikkerhetsledere, og at sistnevnte er mindre optimistiske når det gjelder evnen til å beskytte virksomheten mot digitale trusler. Mange styremedlemmer og toppledere vil ha en overdreven selvtillit innen digital sikkerhet, selv om kompetansen er lav (den såkalte «Dunning-Kruger-effekten» [9,10]). Styret bør tilstrebe å ta hensyn til dette og reflektere over hvilken fase de selv er i (uvitenhet, fornektelse, panikk eller mestring).
Styremedlemmer bør i møte med digitale sikkerhet utvise nysgjerrighet (stille spørsmål, gjerne dumme), tålmodighet (utvise forståelse for at endring krever tid), modighet (evne til å ta beslutninger med høy usikkerhet og personlig risiko), årvåkenhet (være oppmerksom på mulige sikkerhetstrusler i det daglige og være en rollemodell for andre) og åpenhet (invitere til dialog og oppfordre til åpenhet rundt svakheter, hendelser og risiko).
Referanser
- Nasjonal sikkerhetsmyndighet (2026). Risiko 2026 – Dagens valg, morgendagens risiko.
https://nsm.no/regelverk-og-hjelp/rapporter/risiko-2026 [nsm.no] - Etterretningstjenesten (2026). Fokus 2026 – Ugradert trusselvurdering.
https://www.etterretningstjenesten.no/publikasjoner/fokus/fokus2026_innhold [etterretni...enesten.no] - Politiets sikkerhetstjeneste (2026). Nasjonal trusselvurdering 2026 (NTV).
https://www.pst.no/wp-content/uploads/2026/02/Nasjonal-trusselvurdering-2026.pdf [pst.no] - Europol (2025). Internet Organised Crime Threat Assessment (IOCTA) 2025.
https://www.europol.europa.eu/publications-events/main-reports/iocta-report [europol.europa.eu] - European Commission (2024). NIS2 Directive – Securing network and information systems.
https://digital-strategy.ec.europa.eu/en/policies/nis2-directive [digital-st....europa.eu] - European Union (2024). Artificial Intelligence Act (Regulation EU 2024/1689).
https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng [eur-lex.europa.eu] - ISO (2022). ISO/IEC 27001:2022 – Information security management systems – Requirements.
https://www.iso.org/standard/27001 [iso.org] - Nasjonal sikkerhetsmyndighet (2024). Grunnprinsipper for IKT-sikkerhet, versjon 2.1.
https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/ta-i-bruk-grunnprinsippene/ [nsm.no] - World Economic Forum & Accenture (2026). Global Cybersecurity Outlook 2026.
https://www.weforum.org/publications/global-cybersecurity-outlook-2026/ [weforum.org] - Kruger, J. & Dunning, D. (2000). Unskilled and Unaware of It: How Difficulties in Recognizing One’s Own Incompetence Lead to Inflated Self‑Assessments. https://www.researchgate.net/.../Dunning-Kruger-effects-in-reasoning-Theoretical-implications-of-the-failure-to-recognize-incompetence.pdf [researchgate.net]
