Hvad laver en CISO konkret?
Arbejdet er mindre teknisk, end titlen antyder. Kernen er risikostyring: at identificere, hvad der kan ramme forretningen, hvor hårdt, og hvad det er værd at gøre ved — for intet budget kan fjerne al risiko. Derfra følger strategi og politikker, compliance-ejerskab (NIS2, GDPR, DORA, ISO 27001), leverandørsikkerhed, beredskab ved hændelser, awareness i organisationen — og ikke mindst rapportering til direktion og bestyrelse i et sprog, der handler om forretningsrisiko frem for portnumre.
En god CISO måles ikke på antallet af indkøbte sikkerhedsprodukter, men på om organisationens vigtigste risici er kendte, prioriterede og håndterede.
Hvorfor er rollen pludselig aktuel for SMV’er?
To drivere. Lovgivningen: NIS2 gør cybersikkerhed til et eksplicit ledelsesansvar — ledelsen skal godkende risikostyringen, føre tilsyn og kan holdes personligt ansvarlig. Det kræver, at nogen ejer området fagligt og kan klæde ledelsen på. Markedet: kunder, udbud og cyberforsikringer spørger i stigende grad “hvem er ansvarlig for jeres informationssikkerhed?” — og “vores IT-mand, når han har tid” er ikke længere et gangbart svar.
vCISO: kompetencen uden fuldtidsstillingen
En erfaren CISO koster let 1,2-1,8 mio. kr. årligt — og de færreste SMV’er har arbejde til en fuldtidsrolle. Alternativet er en vCISO (virtuel CISO): en ekstern specialist, der varetager rollen et fast antal timer om måneden. I får risikostyringen, compliance-ejerskabet og ledelsesrapporteringen — skaleret til jeres størrelse og til en brøkdel af prisen. Modellen passer særligt godt til virksomheder på 20-200 ansatte, der rammes af NIS2 eller kundekrav, men ikke kan bære en fuldtidsansættelse.