EcoDa on laatinut yhteistyössä kansallisten jäsenjärjestöjensä, vakuutusyhtiö AIG:n sekä Internet Security Alliancen (ISA) kanssa eurooppalaisten yritysten hallituksille kyberuhkiin liittyvien riskienhallintaa tukevan käsikirjan. ISA on tuottanut samantyyppisen käsikirjan myös USA:n, Japanin ja Latinalaisen Amerikan yritysten tarpeisiin.
Käsikirja on jäsennetty viiden periaatteen sekä näihin kuhunkin liittyvien suositusten pohjalle:
- Directors need to understand and approach cyber security as an enterprise-wide risk management issue, not just an IT issue.
- Directors should understand the reputational and legal implications of cyber risks as they relate to their company’s specific circumstances.
- Boards should ensure adequate access to cyber security expertise, and appropriate reporting, at both Board and Committee level.
- Board directors should ensure that management establishes an enterprise-wide cyber-risk management framework which encompasses culture, preventive, detective and response capabilities, monitoring and communication at all levels. Resources should be adequate and allocated appropriately by the strategies adopted.
- Board discussion about cyber risk should include strategies on their management (mitigation, transfer through insurance or partnerships, etc).
Käsikirjassa on lisäksi paljon materiaalia, muun muassa tilastoja ja case-tapauksia, joilla perustellaan ja konkretisoidaan kyberuhkia.
Käsikirja on hallitustyön kannalta varsin raskas (70 sivua), mutta siitä löytyy myös nelisivuinen yhteenveto. Samalla se tukee Traficomin Kyberturvallisuuskeskuksen vuoden 2019 lopulla julkaisemaa ”Kyberturvallisuus ja yrityksen hallituksen vastuu” -käsikirjaa.
EcoDa:n käsikirjan kommentointityöhön osallistui DIFin Senior Advisor Juhani Strömberg.
European Cyber Risk Governance -käsikirja (pdf)
Käsikirjan yhteenveto (pdf)