Security Due Diligence

Cyber & Information Security Due Diligence

For beslutningstakere som trenger et presist, uavhengig og kommersielt relevant risikobilde før investering, oppkjøp eller strategiske endringer

Digitale sårbarheter er en av de mest undervurderte risikofaktorene i transaksjoner. De påvirker verdsettelse, driftsstabilitet, omdømme, regulatorisk eksponering og fremtidig kostnadsnivå i et omfang som mange investorer og styrer først forstår etter at avtalen er signert. I dagens trussellandskap holder det ikke lenger å vurdere økonomi, marked og juridiske forhold alene. Dersom det digitale fundamentet er svakt, kan hele organisasjonen stå ustabilt – og transaksjonens verdi kan forvitre.

Berigo leverer en Due Diligence som går dypere enn tradisjonelle teknologigjennomganger. Vi kartlegger selskapets sikkerhetsmodenhet, digitale risikoeksponering, regulatoriske forpliktelser, teknologisk gjeld og ledelsens evne til faktisk å kontrollere virksomhetens mest kritiske aktiva. Vi bruker et rammeverk designet for eiere, styrer og investorer – ikke for teknologer. Målet er å gi et risikobilde som direkte påvirker prising, avtalevilkår, integrasjonsplaner og fremtidig styring.

Hvorfor Cyber Due Diligence er kritisk

Mange transaksjoner undervurderer digital risiko av tre årsaker:

  1. Ledelsen undervurderer egen eksponering
    De fleste selskaper tror de er “greit sikret”. Vår erfaring er at dette sjelden stemmer når risiko måles mot verdier, regulatoriske krav og faktiske trusselaktører.
  2. Teknologimiljøer gir ikke beslutningsnivå-relevant informasjon
    Rapporter blir tekniske og fragmenterte – og dermed ubrukelige for investorer.
  3. Konsekvensene er undervurdert
    Et sikkerhetsbrudd etter oppkjøp kan gi:
    – umiddelbare driftsstans
    – bøter og regulatoriske pålegg
    – krav om etterinvesteringer
    – tapt markedsposisjon
    – redusert selskapsverdi
    – økte integrasjonskostnader

En god Due Diligence avdekker risiko før den blir en kostnad – og gjør det mulig å prise risikoen inn, stille vilkår eller avstå fra dårlige investeringer.

Slik gjennomfører vi Cyber & IS Due Diligence

Vår metodikk kombinerer strategiske, regulatoriske, tekniske og organisatoriske vurderinger. Vi leverer en sterk, uavhengig vurdering som gir et helhetlig bilde av:

  • faktiske digitale verdier
  • kritikalitet og forretningsavhengigheter
  • trussel- og risikoeksponering
  • teknologisk gjeld og vedlikeholdsetterslep
  • governance og modenhet
  • regulatoriske krav og etterlevelsesrisiko
  • hendelseshåndteringsevne
  • beredskap og kontinuitet
  • integrasjonsrisiko
  • fremtidige investeringsbehov

Hvert punkt kobles til forretningsmessig konsekvens, eieransvar og påvirkning på transaksjonen.

Vurderingsområder

1. Governance, ledelse og modenhet

Vi vurderer hvordan selskapet faktisk styrer digital risiko:

  • Rollen og kapasiteten til CISO/IT-ledelse
  • Forankring i styret
  • Risikostyringsprosess
  • Rapportering, målinger og kontroll
  • Prioriteringslogikk og beslutningskultur
  • Intern fordeling av ansvar og eierskap

Dette er ofte det området hvor vi finner de mest alvorlige svakhetene – og det som best predikerer fremtidig risiko.

2. Teknisk plattform, arkitektur og teknologisk gjeld

Vi kartlegger struktur, kvalitet og modenhet i teknologigrunnlaget:

  • Arkitektur og tekniske avhengigheter
  • Intern vs ekstern drift
  • Patch-nivå, livssyklus, EOL-komponenter
  • Identitetsstyring, tilgangskontroll og privilegier
  • Nettverksarkitektur og segmentering
  • Sårbarhetsnivå og eksponerte tjenester
  • Sky- og SaaS-bruk

Målet er å identifisere både akutt risiko og langsiktige kostnadsdrivere.

3. Data, informasjon og regulatoriske krav

Vi vurderer selskapets datastrømmer, informasjonsklassifisering og beskyttelsesnivå:

  • Personopplysninger og etterlevelse av GDPR
  • NIS2-relevans og sektor-/bransjeforskrifter
  • Kritiske data og IP
  • Tredjepartsavhengigheter
  • Kontrakter og sikkerhetskrav
  • Lagret data, logging og tilgjengelighet

Dette påvirker både risiko og fremtidige forpliktelser betydelig.

4. Beredskap, respons og kontinuitet

Vi vurderer selskapets evne til å håndtere en alvorlig hendelse:

  • Incident response
  • Beredskapsplaner
  • Backup-strategi og gjenopprettingsevne
  • Øvelser og kvalitet
  • Historiske hendelser og læringsmekanismer

Dette synliggjør om organisasjonen tåler et alvorlig angrep – eller må gjenoppbygges.

5. Kultur, kompetanse og organisatorisk robusthet

Vi vurderer de menneskelige faktorene:

  • Sikkerhetskultur
  • Bevissthet og opplæring
  • Etterlevelse i praksis
  • Turnover og ressurssituasjon
  • Etiske og strategiske vurderinger

Dette er ofte den skjulte risikoen som først viser seg etter oppkjøp.

Integrasjonsrisiko

For investorer og kjøpere er integrasjonsrisiko en av de mest kritiske faktorene. Vi vurderer:

  • Kompatibilitet mellom teknologiske plattformer
  • Sammenfall i prosesser og styringsmodeller
  • Fremtidige migrasjonsbehov
  • Kostnadsestimat for modernisering
  • Sannsynlighet for driftsforstyrrelser
  • Kritiske kontrakter som må reforhandles

Vi beregner også post-merger risk uplift – en indikator som viser hvordan risikoen endres når to organisasjoner kombineres.

Leveranser

Berigo Due Diligence-rapport
En komplett, stratetisk og styrenivå-tilpasset rapport som inneholder:

  • klare funn
  • risikovurdering med forretningsmessig konsekvens
  • modenhetsanalyse
  • regulatorisk vurdering
  • kritikalitetskart
  • investeringsbehov
  • prioriterte anbefalinger
  • vurdering av integrasjonsrisiko
  • vurdering av ledelsens gjennomføringsevne

Executive Summary for styret
Kort, investorrelevant, beslutningsrettet, uten teknisk støy.

Red Flags & Deal-Breakers
De mest kritiske funnene presentert tydelig og konkret.

Valuation Impact Assessment
Hvordan funnene påvirker verdi, risiko og oppkjøpsvilkår.

100-dagers plan (post-merger)
Konkret plan som kan implementeres umiddelbart etter transaksjonen.

Fortrolig sparring med investorer og styreleder
Direkte dialog i krevende vurderinger eller tidskritiske funn.

Hva du faktisk får som beslutningstaker

  • Et risikobilde som kan brukes direkte i forhandlinger
  • Evne til å prise risiko korrekt
  • Forståelse av reelle kostnadsdrivere i teknologien
  • Innsikt i om ledelsen faktisk har kontroll
  • Tidlig identifikasjon av regulatoriske forpliktelser
  • Klarhet i fremtidige investeringsbehov
  • Dokumentasjon som tåler tilsyn og revisjon
  • Redusert risiko for overraskelser etter overtakelse
  • En “second opinion” som ikke er farget av ledelsens egen prestisje

Dette gir investorer, styrer og eiere et fundament som sikrer bedre beslutninger, sterkere forhandlingsposisjon og en transaksjon som er robust over tid.

Kontakt oss

Vi tilbyr en konfidensiell vurdering av selskapet du vurderer å investere i, kjøpe eller restrukturere. Ta kontakt dersom du ønsker en uavhengig, moden og kommersielt relevant Due Diligence som gir klarhet, kontroll og beslutningskraft.

kategori

  • Ingen kategorier

kontakt oss

info@berigo.no

+47 9415 7716

Sinsenveien 51C, 0585 OSLO

Vi er medlem av:

Logo of ESRA Norway, with text highlighting its name and purpose as a Norwegian association for risk and vulnerability analysis.
Logo for TEK Norge, featuring bold letters and a modern design.
Logo for Forbes Technology Council as an official member for 2025.
Logo for PECB Authorized Partner
PECB logo in red and black