Sikkerhetsstyring handler om systematiske aktiviteter som er nødvendige for å oppnå og opprettholde et forsvarlig sikkerhetsnivå for virksomhetens verdier, med bakgrunn i risikovurdering. Da forsvarlig sikkerhet vil forandre seg over tid, på bakgrunn av endring av risiko, skal sikkerhetsstyring også ivareta prinsippet om kontinuerlig forbedring av sikkerhetsarbeidet i virksomheten.

Sikkerhetsstyring har blitt enda viktigere i møte med komplekse verdikjeder og et samfunn preget av internasjonalisering og teknologisk utvikling. Nye avhengigheter mellom virksomheter kan resultere i at sårbarheter i én virksomhet får konsekvenser for andre virksomheter.

God digital sikkerhet forutsetter et systematisk arbeid som er forankret i virksomhetens ledelse. En helhetlig tilnærming til sikkerhet inkluderer både prosessuelle, organisatoriske og tekniske tiltak.

Mange virksomheter er nok av den formening at de ikke har verdier som er attraktive for målrettede digitale operasjoner. Erfaring viser at alle kan bli brukt i både verdikjedeangrep mot andre mål eller rammes av mer vilkårlige trusler som direktørsvindel eller løsepengevirus. Derfor er det viktig at alle i virksomheten vet hva som skal gjøres når noe skjer. Virksomheten bør ha en beredskapsplan med definerte roller og ansvar og øve på denne jevnlig, samtidig som ledelsen må ha en plan for hvordan det skal løses.

God sikkerhetskultur er å erkjenne at dataangrep og andre sikkerhetshendelser kan ramme alle.

Det forebyggende sikkerhetsarbeidet må derfor være på plass for å redusere digital risiko.