Styrets ansvar for cybersikkerhet strammes til

Den sterkt økende risikoen for cyberangrep betyr at dersom selskapet har lav cybersikkerhet, kan det gi ansvar, både personlig og for selskapet. Her forklarer vi to nye forhold som gjør at risikoen for ansvar nå er blitt ekstra stor, og hvordan du bør håndtere dette.

Det første forholdet er nye og strengere krav til cybersikkerhet. EU leder som vanlig an, og introduserer flere nye rettsaker om cybersikkerhet, hvorav de viktigste for selskaper er Cyber Resilience Act, NIS2 og DORA.

Cyber Resilience Act stiller krav til sikkerhet i «dingser» – produkter med digitale elementer – men også programvare. Kravene kan omfatte alt fra tilkoblede kameraer og WiFi-rutere, til biometriske lesere og leker.

NIS 2-direktivet gjelder sikkerhet i nettverks- og informasjonssystemer til private og offentlige aktører i et bredt spekter av sektorer. Dekningsområdet utvides kraftig fra NIS 1, som først nå gjennomføres i norsk rett gjennom digitalsikkerhetsloven. NIS 2 vil nok følge på ganske raskt.

Digital Operational Resilience Act («DORA») etablerer nye krav til cybersikkerhet i finansinstitusjoner. Reglene vil ikke bare omfatte de store bankene vi alle er kunde av, men blant annet også selskaper som tilbyr betalingsløsninger, investeringsselskaper, forsikringsselskaper, folkefinansieringsselskaper, revisjonsfirmaer og leverandører av IT-tjenester.

Felles for alle reglene er at en vesentlig del av virksomheters ansvar for cybersikkerhet tillegges styret.

Høyesterett har blitt klarere

Det andre forholdet er Høyesteretts tilstramning av styreansvaret etter aksjelovene. Utgangspunktet for erstatningsansvar i norsk rett er at den som har forårsaket tap eller skade må ha opptrådt uaktsomt for å bli erstatningsansvarlig - et krav om at det må foreligge skyld.

Høyesterett gjorde det klart i en dom fra 2016 at der «plikter som objektivt sett gjelder for vedkommende» er overtrådt, er det en presumsjon (en antakelse) om at vedkommende har opptrådt uaktsomt.

Dommen innebærer at norske domstoler vil anta at styret i selskaper som reguleres av de nye reglene om cybersikkerhet har opptrådt uaktsomt dersom reglene ikke overholdes, og det oppstår et tap eller en skade.

Hvilke grep bør tas?

For å unngå overtredelse bør man starte med å finne ut om egen virksomhet er omfattet av de nye reglene. Dersom svaret er ja, er neste steg å forstå innholdet i reglene, og så finne ut i hvilken grad reglene allerede etterleves (normalt svært lite).

Til slutt må virksomheten legge en plan for å lukke gapene og så faktisk følge denne. Alle stegene krever sitt, særlig det siste.
Selv med godt arbeid gjort, blir du aldri helt sikker. Restrisikoen anbefaler vi du håndterer ved å tegne en cyber-forsikring.

Når gjelder de nye reglene?

De første reglene har gjennomføringsfrist i EU i oktober i år, og vil tre i kraft umiddelbart. Norske myndigheter har gitt signaler om at reglene skal gjennomføres samtidig i norsk rett.

Artikkelen er også publisert på digi.no: Styrets ansvar for cybersikkerhet strammes til.