April 2026

Ledningsrapportering för cybersäkerhet: en mall för styrelsen

NIS2 skärper kravet på ledningsansvar för cybersäkerhet. Styrelse och verkställande ledning ska förstå risk, följa upp åtgärder och säkerställa att organisationen har tillräckliga resurser. En väl utformad rapport gör abstrakta hot mätbara och kopplar teknikinvesteringar till affärskonsekvenser. Här är en ram som fungerar i både börsnoterade bolag och medelstora verksamheter.

Vad styrelsen behöver se

Rapporteringen ska svara på fyra frågor: vad är vår riskbild, vad har hänt sedan förra mötet, vilka beslut behövs nu och hur följer vi upp effekten. Inkludera en kort sammanfattning på en sida, därefter bilagor med detaljer för den som vill fördjupa sig. Undvik rena tekniklistor utan koppling till affärsprocesser. Visa istället vilka kritiska tjänster som skyddas, var sårbarheter återstår och hur incidentberedskapen ser ut.

Secure Score och kompletterande KPI:er

Microsoft Secure Score är en användbar indikator för mognad i Microsoft-miljön om ni tolkar den i sitt sammanhang. Kombinera med antal kritiska patchar som överstiger SLA, täckningsgrad för multifaktorautentisering, resultat från phishingövningar och tid till återställning efter testad incident. Sätt mål per kvartal och förklara avvikelser: varför sjönk poängen när ni införde en ny tjänst, eller varför steg den efter hårdare Conditional Access.

Riskmatris och incidentöversikt

En enkel matris med sannolikhet och konsekvens hjälper styrelsen prioritera. Uppdatera topp fem risker varje gång och visa tydlig ägare samt förväntad riskreduktion. För incidenter: antal under perioden, allvarlighetsgrad, rotorsak i kortform och åtgärder som förhindrar upprepning. Om ni inte haft större händelser, rapportera ändå nästan incidenter och lärdomar från övningar.

Mallstruktur att återanvända

Föreslagen ordning: sammanfattning för ordföranden, risk och efterlevnad, teknisk mognad och KPI:er, projekt och investeringar, incidenter och nästa steg. Lägg till en beslutssektion där ni explicit ber om godkännande för budget, policyändring eller extern hjälp. Nordvide stöttar er med att ta fram första versionen, kalibrera nivån mot er bransch och koppla rapporten till er faktiska Microsoft-arkitektur.

Varje rapport bör ha en tydlig ägare i ledningsgruppen som kan svara på uppföljningsfrågor även när CISO inte är närvarande. Arkivera versioner så att revisorer kan följa hur riskbilden förändrats över tid. Om ni använder externa rådgivare, be om en kort bilaga med oberoende observationer som kompletterar intern självbild. Det minskar risken för blinda fläckar när samma team både levererar och rapporterar.