사이버보안 리스크는 회사의 성과에 큰 영향을 미칠 수 있는 중요한 요소로 등장하고 있고, 그러한 리스크의 관리 및 방지는 이사회의 중대한 임무로 부각되고 있다. EU에서는 NIS2가 사이버보안 리스크에 관한 이사회의 역할을 강조하고 있다. 감시의무를 강조하는 미국 델라웨어주의 최근 판례 경향에 비추어보면, 사이버보안 리스크에 대한 내부통제시스템 미비를 이유로 이사의 의무위반을 인정하는 판례도 조만간 등장할 것으로 예상된다. 최근 감시의무 위반으로 인한 이사의 책임을 적극적으로 인정하는 우리 대법원의 경향에 비추어 보면, 우리나라도 미국과 유사한 경향을 보일 것이다.
사이버보안 리스크에 대해서는 사후적인 책임추궁보다는 사전적인 리스크 관리 및 적정한 절차가 더 중요하다. 이사회는 사이버보안 리스크의 중요성을 인지하고, 회사의 영업실태에 비추어 그러한 리스크를 관리할 수 있는 적절한 절차를 마련하는 데 주의를 기울여야 한다. 다만 이사들이 직접 보안전문가가 될 수는 없으므로, 이사들의 역할은 직접 사이버보안 리스크 관리에 나서는 것이 아니라, (i) 경영진에게 적절한 질문을 던지고 주의를 환기함으로써 경영진으로 하여금 사이버보안 리스크 관리에 적절한 자원을 투입할 수 있도록 하고, (ii) 사고 발생시 피해 최소화를 위한 절차를 사전에 마련하도록 촉구하는 것이어야 한다.