Mange organisasjoner investerer i risikoberedskap og hendelseshåndtering, men opplever fortsatt at de er underforberedt når forstyrrelser inntreffer. En undersøkelse fra World Economic Forum og McKinsey i 2025 satte et tall på det: 84 % av ledere føler seg underforberedt på fremtidige forstyrrelser, spesielt når det gjelder krisehåndteringskapasitet og strategisk omorientering under press.

Ta vurderingen av gap i lederskapsstyring

Start nå →

To eksempler illustrerer dette, ett fra offentlig sektor og ett fra privat sektor. 

For det første avdekket Hawaiis justisministers etterforskning av skogbrannene i Lahaina i 2023 – 102 døde og 6 milliarder dollar i skader – en isolert kommandostruktur, fragmentert situasjonsforståelse og en koordineringsinfrastruktur som ikke var på plass da det var behov for den. Sjefen for Maui Emergency Management Agency trakk seg. 

For det andre, da Sør-Koreas massive datainnbrudd avslørte 33,7 millioner Coupang-kundekontoer, trakk administrerende direktør seg og uttalte: «Jeg beklager dypt at jeg skuffet offentligheten […]. Jeg føler et dypt ansvar for utbruddet og den påfølgende gjenopprettingsprosessen.» 

Konsekvensene for ledelsen personlig er ikke lenger abstrakte. Over hele Europa gjør NIS2 artikkel 20 ledelsesorganer personlig ansvarlige for overtredelser, med bøter på opptil 10 millioner euro eller to prosent av den globale omsetningen og muligheten for midlertidige utestengelser fra lederstillinger. DORA, som har vært i kraft siden januar 2025 , pålegger finansielle tjenester tilsvarende forpliktelser. Storbritannias Senior Managers and Certification Regime etablerer en lovfestet «ansvarsplikt»: mens den juridiske bevisbyrden ligger hos regulatoren, må navngitte individer være praktisk forberedt på å demonstrere og dokumentere at de tok rimelige skritt.

Håndhevingen har gått utover direktivspråk. Tysklands BSI utstedte formelle varsler til 47 enheter i fjerde kvartal 2025 under sin nasjonale NIS2-implementering. Spørsmålet ledergruppene nå blir stilt er ikke om beslutninger ble tatt. Det er om de var informerte, rettidige og forsvarlige – og om resultatene beviser det.

Forstå hullene i beredskapen

Mange organisasjoner investerer i beredskap, men sliter med å håndtere hendelser effektivt når de oppstår. I 2026 rapporterte FCA at noen firmaers kommunikasjonsplaner «eksisterte på papiret, men ikke hadde blitt testet», noe som begrenset tilliten til at de ville redusere skade under en reell hendelse. En undersøkelse fra 2026 av ledende amerikanske bedriftsledere fant det samme mønsteret: respondentene beskrev organisasjonens kriseplanlegging som proaktiv – men rapporterte også økonomiske konsekvenser av en nylig forstyrrelse.

Det er påfallende at en Deloitte-undersøkelse blant styringspersonell fra fjerde kvartal 2025 fant at bare 15 % av styrene i børsnoterte selskaper hadde deltatt i scenarioplanlegging eller bordøvelser , og nesten en tredjedel hadde ingen formelt definert styrerolle i forberedelsene til krisehåndtering.

Effektiv beredskap krever mer enn planer og rammeverk. Gjeldende regelverk – godkjenn, overvåk, vær ansvarlig for resultatet – krever at lederskap styrer beredskap som en kontinuerlig organisatorisk evne, ikke en funksjon som delegeres inntil noe går galt.

Styring: lederskapets rolle i beredskap i dag

Beredskap er en kontinuerlig styringspraksis – en praksis som krever at ledelsen opprettholder koordinering og ansvarlighet på tvers av hele beredskapsnettverket. Rammeverket nedenfor identifiserer hvordan denne styringen endrer seg, og hva det betyr for ledere.

DimensjonEldre styringsmodellGjeldende styringskrav
LederrolleLedelsen delegerer operativ beredskap og gjeninntrer under eskalering.Ledelse styrer kontinuerlig beredskapsevne og beslutningsberedskap.
AnsvarlighetAnsvaret ligger først og fremst hos organisasjonen.Navngitte ledere må vise til informerte og forsvarlige beslutninger.
BeredskapslogikkBeredskap dokumenteres gjennom planer, rammeverk og samsvarsaktiviteter.Beredskap dokumenteres gjennom utøvd evne og målbar organisasjonsytelse.
KrisesynlighetLedelsen mottar oppsummerte oppdateringer gjennom operative lag.Ledelse krever direkte, rolletilpasset situasjonsforståelse innenfor beslutningsvinduet.
BeslutningsinfrastrukturKoordinering mellom administrasjonsmedlemmer er avhengig av samtaler, orienteringer og fragmentert rapportering.Ledelsens vurderinger støttes gjennom integrert driftsinformasjon i sanntid og reviderbarhet.
ØvelserØvelser validerer planer med jevne mellomrom.Øvelser avdekker kontinuerlig hull i styringen og forbedrer organisasjonens evne.
RevisjonssporOpptegnelsene rekonstrueres etter hendelsen.Styringsregistre genereres automatisk under selve arrangementet.
RisikomiljøHendelser behandles som isolerte driftshendelser.Flere samtidige forstyrrelser skaper organisasjonsomfattende styringsutfordringer.

De viktigste manglene er sjelden de organisasjonene forventer. En selvvurdering kan bidra til å avgjøre eventuelle manglene som må lukkes, samt områder for forbedring.

Beredskap som beste praksis

Da LockerGoga ransomware rammet Norsk Hydro i mars 2019, var omfanget enestående – 170 lokasjoner, 35 000 ansatte, virksomhet i 40 land. Det som utmerket Hydros respons var ikke hastigheten på den tekniske gjenopprettingen, men kvaliteten på selskapets styring. Ledelsen hadde definert roller og ansvar før krisen kom. Beslutningsprosessen var tydelig. Og fra de første timene valgte ledergruppen full åpenhet – med ansatte, investorer, kunder og offentligheten – fremfor instinktet om å begrense og kontrollere fortellingen.

Som Halvor Molland, SVP for kommunikasjon og samfunnskontakt, reflekterte på RAYVN Symposium i 2023: «Åpenhet er kjernen i Norsk Hydros kultur. Vi ønsket å hjelpe andre bransjer med å lære av vår erfaring.» Lærdommene han identifiserte var praktiske: 

  • beredskapsplaner som holdt driften i gang
  • en kommunikasjonsinfrastruktur som holdt seg under vedvarende press 
  • og disiplinen til å opprettholde ansvarlighet gjennom hele

I dag blir selskapets respons ofte sitert som et positivt eksempel på kriseledelse.

Hvordan styring og beredskap samhandler

Organisasjoner som presterer godt under press, behandler beredskap som en kontinuerlig syklus: planlegging og forberedelse, respons, gjenoppretting og vurdering etter hendelser som driver til reell forbedring. 

Toppledelsens rolle i denne syklusen er ikke operativ – den er ansvarlighet, tilsyn og intervensjon når situasjonen krever det. Det krever ekte synlighet i hvert trinn: 

  • nok kjennskap til treningsprogrammet til å vite om det bygger opp reell evne; 
  • nok situasjonsforståelse under en live-hendelse til å handle innenfor beslutningsvinduet i stedet for etter den ;
  • nok engasjement i vurdering etter hendelsen for å sikre at lærdommene faktisk lukker sløyfen for neste planleggingssyklus i stedet for å bli liggende i en rapport som ingen gjør noe ut fra.

PwCs Global Crisis and Resilience Survey identifiserte sponsing av toppledelsen som det første strukturelle kravet for et vellykket resiliensprogram – men bare en tredjedel av bedriftenes resiliensprogrammer er sponset av administrerende direktør. Styringstabellen ovenfor bidrar til å forklare hvorfor. En lederrolle definert som å gå tilbake under eskalering er ikke en sponsorrolle. Det er en responsrolle. De to er ikke det samme, og ved å blande dem sammen ender organisasjoner opp med beredskapsprogrammer som nominelt støttes på toppen og ikke reelt eies av noen.

For toppledelsen betyr infrastrukturen som tetter dette gapet:

  • øyeblikkelig varsling når en hendelse er rapportert
  • umiddelbar situasjonsforståelse uten å vente på en filtrert orientering, 
  • en tidsstemplet logg over alle beslutninger og handlinger tatt som det skjer. 
  • Tilpassede rapporter for styrings-, regulatoriske og styremedlemmer genereres fra live-rapporten i stedet for å bli rekonstruert etterpå. 
  • En hierarkisk oversikt over alle aktive hendelser, med mulighet for å veksle mellom dem, betyr at oversikt over hele responsnettverket er umiddelbar. 
  • Og når hendelsen er avsluttet, brukes den komplette registreringen direkte i gjennomgangen etter hendelsen – grunnlaget for neste planleggings- og forberedelsessyklus.

Etter hvert som kravene til styring og ansvarlighet på toppledelsen fortsetter å vokse, vil organisasjonene som bygger motstandskraft være de som bygger infrastrukturen og fremmer beste praksis gjennom sine egne initiativer.

Fordi hver eneste beslutning betyr noe.

Vurdering av gap i lederskapsstyring

Syv spørsmål som dukker opp der organisasjonens styring og beredskap er mest eksponert – tverrfaglig engasjement, situasjonsforståelse og ansvarlighet.

Spørsmål 1 av 7 1 / 7

Halvor Molland, SVP Communication and Public Affairs, Norsk Hydro ASA. Presentasjon kl RAYVN Symposium, november 2023. Det vil være de organisasjonene som bygger motstandskraft som bygger infrastrukturen og fremmer beste praksis gjennom sine egne initiativer.

Verdens økonomiske forum og McKinsey, januar 2025. Resilience Pulse Check. samvirke

Crisis24/Harris Poll, april 2026. Kriseberedskapsundersøkelse blant amerikanske bedriftsledere. https://www.prnewswire.com/news-releases/crisis24-survey-reveals-boardroom-blindspot-majority-of-leaders-claim-to-be-prepared-for-the-next-crisis-their-own-answers-suggest-otherwise-302754998.html

Finanstilsynet, mars 2026. Innsikt i operasjonell robusthet . https://www.fca.org.uk/publications/good-and-poor-practice/operational-resilience-insights-observations-one-year

Deloitte og Society for Corporate Governance, mars 2026. Styrepraksis kvartalsvis: Krisehåndtering og styret (Undersøkelse utført i 4. kvartal 2025). https://www.deloitte.com/us/en/programs/center-for-board-effectiveness/articles/crisis-management-and-the-board.html

Brannsikkerhetsforskningsinstituttet / Hawaiis justisminister. Analyserapport om brannhendelser i Lahaina (fase to) , september 2024. https://fsri.org/research-update/lahaina-fire-incident-analysis-report-released-attorney-general-hawaii

Western Fire Chiefs Association. Rapport om ettervirkningene av skogbrannene på Maui , april 2024. https://wfca.com/fire-headlines/part-1-after-action-report-maui-wildfires/

Park Dae-jun, administrerende direktør i Coupang Corp., har uttalt sin avgang i CNBC , 10. desember 2025. https://www.cnbc.com/2025/12/10/ceo-of-south-korean-online-retail-giant-coupang-resigns-over-data-breach-park-dae-jun.html 

NIS2-direktiv (EU) 2022/2555 . Artikkel 20: Ledelsesorganer.

Lov om digital operasjonell robusthet (DORA), forordning (EU) 2022/2554 . Gjelder fra januar 2025.

Finanstilsynet. Toppledere og sertifiseringsordning.

Tyskland BSI. NIS2UmsuCG-håndhevelsesvarsler, 4. kvartal 2025.

PwC. Global krise- og motstandsdyktighetsundersøkelse , 2023. https://www.pwc.com/gx/en/crisis/pwc-global-crisis-resilience-survey-2023.pdf

Relaterte artikler

Fremhevet bilde av plan for håndtering av datainnbrudd

Databeskyttelse: Innsatsen kunne ikke vært høyere

#samsvar
#cybersikkerhet
Bilde

Selvtillit er nøkkelen: Hvordan trene bedre for beredskap

#beredskap
#øvelse
#sikkerhetskultur
Kontraktgjennomgang

Ingen overraskelser: Hvorfor transparent prising er viktig i krisehåndtering

#nødhjelp

Snakk med en RAYVN Ekspert

Ikke bare test et verktøy – optimaliser strategien din. Sett deg ned med en RAYVN ekspert for å bekrefte at funksjonene våre oppfyller dine samsvarsbehov og se hvor enkelt det er å håndtere komplekse hendelser i sanntid.

Kom i gang
RAYVN Oversikt over bærbar PC