Dette var temaet for det interessante og vellykkede dagsseminaret som IIA arrangerte 13. april på Handelshøyskolen BI i samarbeid med professor Flemming Ruud som har ansvaret for internrevisjonsstudiet samme sted.
Verden står i dag overfor et stadig mer komplekst landskap av geopolitiske risikoer. Globale spenninger, økonomisk usikkerhet og klimakriser. Raske teknologiske endringer påvirker ikke bare nasjoner, men også virksomheter og organisasjoner på tvers av sektorer. Dette gjør det viktigere enn noen gang å forstå, håndtere og tilpasse seg disse utfordringene.
Gjennom godt forberedte og inspirerende innlegg fra dyktige ledere og fagpersoner fra ulike typer virksomheter ble det presentert interessante vinklinger og nyttige verktøy for hvordan man kan møte fremtidige så vel som nåværende risikoer.
Ved å lese resten av artikkelen nedenfor kan du få innsikt i de viktigste hovedpoengene i de enkelte innleggene:
1. Totalberedskap og motstandskraft i Norden – ulik tilnærming, felles utfordringer
Janne Kuusela, departementsråd i det finske forsvarsdepartementet forklarte at Finland har et meget omfattende system for nasjonal sikkerhet, beredskap og forsyningsberedskap som omfatter både sivile og offentlige virksomheter. 56 ulike strategiske hovedoppgaver er tillagt de ulike ministeriene. Viktige deler av beredskapslogistikken er bygget opp med erfaringene de gjorde seg under annen verdenskrig.
2. Hvordan navigerer du risiko i en kompleks verden?
Professor Flemming Ruud ved Handelshøyskolen BItok utgangspunkt i World Economic Forum Risk Report 2026 og hvor det framgår hvordan globale risikotrender påvirker styring og beredskap i Norden. Gjennom foredraget introduserte han dagens tre hovedtemaer: digital og fysisk motstandskraft, geopolitisk risiko og styring av tredjepartsrisiko.
Figuren nedenfor illustrer hvilke risikoer som oppfattes å være de største:
Neste figur viser innenfor hvilke områder oppfatningene har endret seg mest.
Figuren nedenfor viser hvilke risikoer som oppfattes å være de største på henholdsvis 2 og 10 års sikt:
3. Business Resilience: Hvordan bygge motstandsdyktighet i møte med konstant usikkerhet og endrede spilleregler?
John Wikström, partner i Strategi, bærekraft & resilience, Jan Henrik Schou Straumsheim, partner i Cyber & resilience, Morten Skogum, direktør i Resilience & GRC modernisering – alle fra PwC forklarte hvordan organisasjoner kan nærme seg forretningsmessig motstandsdyktighet («Business Resilience») på en helhetlig og praktisk måte, og delte sine erfaringer med hvordan ulike GRC-roller som Compliance, ERM og internrevisjoner kan bidra til å bygge motstandsdyktighet. Et viktig grep i denne sammenheng er å kunne forberede manuelle prosesser dersom teknologien skulle svikte samt å tilrettelegge for et minimum driftsnivå («Minimum Viable Company») som gjør det mulig å opprettholde driften.
4. Når leverandørkjeden blir angrepsflaten – hvilke praktiske grep har man for robusthet i en geopolitisk urolig tid?
Soner Sevin, sikkerhetssjef/CISO i Coop Norge presenterte konkrete erfaringer og perspektiver på hvordan organisasjoner kan avdekke sårbarheter i leverandørkjeden, etablere robuste sikkerhetsmekanismer og bygge motstandskraft mot både teknologiske og geopolitisk drevne forstyrrelser. Et viktig aspekt i denne sammenheng er å ha en god oppfølging av risiko knyttet til tredjepartsleverandører og hvor mange er SMB – bedrifter som kanskje ikke har like gode sikkerhetsrutiner og derfor er mer sårbare for angrep som kan skape forstyrrelser i verdikjeden.
5. Totalforsvaret – hvordan går vi fra intensjon til praktisk og operativ handling?
Bjarte Malmedal, fagdirektør for digital sikkerhet i Norges Sikkerhetsråd (NSR) redegjorde for hvorfor er næringslivet blitt en primær arena for spionasje og hybrid krigføring, og hva som skiller virksomheter som klarer å stå i krisen fra dem som ikke gjør det. Hybride trusler har blitt framtredende og disse defineres som en koordinert kampanje som kombinerer militære, digitale, økonomiske, informasjonsmessige og psykologiske virkemidler og de er designet for å holde seg under terskelen for væpnet respons. Næringslivet framstår ofte som et foretrukket mål i Norge da størstedelen av kritisk norsk infrastruktur er privateid og derfor mer sårbar. NSR har derfor etablert et beredskapssenter for bedre å kunne motstå denne type trusler og gjennom økt offentlig – privat samarbeid så er det et mål å oppnå et bedre sikkerhetsfellesskap med mer motstandsdyktige verdikjeder. Formålet med dette er at ingen virksomhet skal måtte møte de nye truslene alene.
6. KI-strategi som styreansvar og hvorfor governance må på plass før teknologien løper fra oss
Cecilie Wetlesen Borge, partner i Norscan Partners og advokat i eget advokatfirma forklarte at kunstig intelligens endrer i høyt tempo risiko- og mulighetsbildet for alle typer virksomheter. Nye risikoer og muligheter oppstår også med nye geopolitiske regioner. Mange styrerom mangler ofte en oversikt og strukturert tilnærming til denne nye utviklingen og dette er derfor kompetanseområder man bør prioritere å tilegne seg for å kunne være beredt.
7. DORA og NIST2 – hva er erfaringene etter ett år og hva skjer nå?
Gaute Brynildsen, leder av internrevisjonen i Gjensidige Forsikring ASA forklarte at internrevisjon ikke bare er en «kontrollfunksjon» i relasjon til kravene i Digital Operational Resilience Act (DORA) som gjelder for finansbransjen, men at den også kan være en drivkraft for robusthet gjennom måten den gjennomfører sitt arbeid på og som er godt eksemplifisert i figuren og hovedpunktene nedenfor:
Carsten Maartmann-Moe, Global Head of Cyber & Digital Risk i Advisense ga en kort introduksjon til NIS2 og den nye digitalsikkerhetsloven og gikk gjennom hva man har lært fra DORA-implementeringen. Han forklarte at NIS2 og DORA har samme mål: Å harmonisere krav og øke motstandsdyktighet innen cybersikkerhet i Europa. Digitalsikkerhetsloven («NIS1.5») trådte i kraft 1. oktober 2025i Norge, mens NIS2 forventes implementert i løpet av 2026. Et generelt trekk ved de nye reguleringene er at virksomheter må demonstrere etterlevelse gjennom sertifiseringer og tredjepartsrapportering. Derfor blir også leverandørkjeden påvirket selv om ikke virksomheten er direkte regulert, fordi kunder og partnere vil stille økte krav gjennom tjenesteavtaler. Som figuren nedenfor viser så er både NIS 2 og DORA deler av EU’s digitale reguleringsstrategi:
Dagens tema kort oppsummert:
Seminaret belyste tydelig at geopolitisk risiko, digital sårbarhet og regulatoriske krav hverken kan eller bør håndteres isolert. For styret, ledelse og GRC-funksjoner blir derfor det å tilrettelegge for helhetlig motstandsdyktighet på tvers av sektorer, teknologi, mennesker og leverandørkjeder meget avgjørende i tiden som kommer.
IIA Norge og deltakerne takker bidragsyterne for verdifulle innlegg.
Relevante og nyttige lenker:
https://www.dsb.no/ros-og-beredskap/totalforsvarsaret-2026
https://www.weforum.org/publications/global-risks-report-2026
