Lone Flohr rådgiver danske virksomheder om cybersikkerhed: Her er hendes vigtigste erfaringer
Den finansielle sektor i Danmark er blandt de sektorer, der er mest afhængige af en tværgående digitale infrastruktur. Når it-infrastrukturen svigter et sted, går der få minutter, før konsekvenserne kan mærkes både økonomisk og samfundsmæssigt. Derfor er cybersikkerhed rykket helt op på bestyrelsens dagsorden, fortæller Lone Flohr, partner i EY med ansvar inden for cyber- og it-sikkerhed i finanssektoren.
”Hvis en finansiel virksomhed mister adgang til kritiske systemer, kan man mærke det i samfundet næsten øjeblikkeligt. Derfor er bestyrelserne langt mere opmærksomme på cyberområdet, end de var for bare få år siden” siger hun. Hun understreger, at sandsynligheden for at blive ramt af et cyberangreb eller en større IT-driftsforstyrrelse i dag er så høj, at virksomheder ikke længere kan nøjes med at fokusere på at beskytte systemerne. De skal kunne genetablere deres forretning hurtigt og effektivt, og det kræver et helt nyt niveau af beredskab og robusthed. Samtidig er afhængigheden af kritiske leverandører blevet så omfattende, at leverandørstyring i dag er et sikkerhedsspørgsmål og ikke kun et kontraktforhold.
Cybersikkerhed er ikke længere et it-problem, men et ledelsesansvar
De ændrede cybertrusler kombineret med nye cyber-lovgivningskrav har markant ændret bestyrelsens rolle. Den nye EU cyber-lovgivning, DORA, placerer ansvaret for virksomhedens samlede it-sikkerhed hos bestyrelsen og topledelsen, og konsekvenserne er store, hvis ikke bestyrelsen tager it-sikkerheden alvorlig. Ifølge Lone Flohr er det et tydeligt signal om, at cybersikkerhed ikke længere er en teknisk disciplin, men et strategisk og ledelsesmæssigt ansvar. Derfor er der kommet et ekstra fokus virksomhedernes DORA-compliance, samt øvelser og tests for at kunne dokumentere effektiv implementering. Når en krise rammer, er det topledelse og bestyrelse, der skal træffe de svære beslutninger, og hvis de ikke har prøvet det før, kan det skabe forsinkelser og fejl i håndteringen.
Hvad er Dora?
- Digital Operational Resilience Act (DORA), er en EU‑forordning der trådte i kraft 17. januar 2025
- Lovgivningen har til formål at styrke den digitale og operationelle robusthed i den finansielle sektor i hele EU, så finansielle virksomheder kan modstå, reagere på og komme sig efter ICT‑relaterede hændelser som cyberangreb og systemnedbrud.
- DORA består af fem centrale søjler: IT‑Risikostyring, Hændelsesrapportering, Digital Resilience Testing, IT-leverandørstyring samt Trusselsinformation & videndeling
EY rådgiver i dag virksomheder i den finansielle sektor inden for cybersikkerhed og resiliens. Det handler både om at analysere og evaluere den eksisterende IT-risikostyringsramme, IT-beredskab, forretningskontinuitet, IT-leverandørstyring samt gennemførelse af tekniske tests og simulerede angreb samt træne organisationen i krisekommunikation og samarbejde med kritiske leverandører. Kombinationen af tekniske og organisatoriske øvelser er afgørende for, at virksomhederne kan handle effektivt, når et evt. cyber-angreb eller IT-nedbrud rammer virksomheden.
En af de største udfordringer i branchen er dog ifølge hende, at mange stadig betragter beredskabsplaner som et projekt, man bliver færdig med. It-infrastruktur er i konstant forandring, og planer skal derfor vedligeholdes og opdateres løbende for at være relevante. En plan, der ikke er designet til kontinuerlig vedligeholdelse, risikerer at være forældet allerede ved implementeringen. Det kræver en agil tilgang, hvor organisationer er forberedt på, at verden ændrer sig, og at deres egen infrastruktur ændrer sig med den.
For Lone Flohr er der ingen tvivl om, at cybersikkerhed i den finansielle sektor er blevet et område med voksende kompleksitet og alvor. ”Det her er et område, vi aldrig bliver færdige med. Trusselbilledet ændrer sig hele tiden, og det samme gør infrastrukturen. Det stiller krav til, at virksomheder tænker sikkerhed som en kontinuerlig proces, der skal tilpasses konstant for at sikre en robust digital resilience virksomhed”, siger Lone Flohr.
Lone Flohr
Stilling: Partner, FSO Technology Consulting, EY
Hos EY siden: 2023
Yderligere erhvervserfaring:
- Combitech Danmark: CEO – 2018-2022
- Deloitte: Director, Cyber Risk Services – 2015-2017
- Dubex A/S: Cyber Security Sales Director – 2011-2015
Om Lone:
- Lone Flohr er Partner i FSO Technology Consulting hos EY med ansvaret for cyber security. Hun rådgiver finansielle virksomheder om cybersikkerhed, digital resiliens og operationel robusthed – herunder It-risikostyring, business continuity, It-leverandørstyring samt Cyber & AI
- Hun er ansvarlig for cyber bestyrelsesuddannelsen hos CBS og Finanssektorens Uddannelsescenter, samt en central drivkraft i EY’s DORA Masterclass‑program, hvor hun underviser, faciliterer og formidler erfaringer fra arbejdet med finanssektorens digitale modstandsdygtighed [CA1]
Kontakt
