NIS2: Personlig ansvar for ledelsen og ansatte

Bull har også skrevet om hvilke virksomheter som omfattes.

Les videre om sikkerhetstiltakene som kreves.

Hva betyr dette for deg?

For norske private og offentlige virksomheter innebærer NIS2 en skjerping av ansvaret for å sikre digital infrastruktur, særlig for virksomheter som ikke tidligere har blitt regulert. Direktivet er betydningsfullt på to hovedområder:

For det første ligger det et personlig ansvar på ledelsen. Ledelsen er ikke bare styret og daglig leder, men kan også være personer lenger ned i organisasjonen. Detaljene i hvordan ansvaret vil se ut, vil bestemmes når Norge implementerer direktivet i norsk rett. Men uansett vil NIS2 skjerpe det ansvaret som allerede ligger i det såkalte styreansvaret, som i realiteten kan gi også personer nedover i en organisasjon et personlig erstatningsansvar.

For det andre pålegges selve virksomheten plikter. Ledelsen må for eksempel godkjenne og overse at nødvendige cybersikkerhetstiltak er gjennomført. Se mer om plikter i egen artikkel. Overtredelse av slike plikter kan føre til alvorlige konsekvenser for virksomheten, som:

• Overtredelsesgebyr: For essensielle virksomheter skal gebyret være minst opptil 2% av årlig omsetning i konsernet eller 10 millioner euro, avhengig av hva som er høyest. For viktige virksomheter er gebyret noe lavere, men fortsatt betydelig.
• Midlertidig fjerning av ledelsen: Myndighetene kan fjerne ledelsen i essensielle virksomheter dersom andre tiltak ikke har ønsket effekt.
• Stans av virksomheten: I alvorlige tilfeller kan essensielle virksomheter forbys å drive videre.

Når kommer reglene?

Implementasjonen av NIS2 i norsk rett forberedes, og vil neppe tre i kraft før 2026. Siden høringsnotatet ikke kom ut før sommeren som forventet, blir NIS2 kanskje gjernnomført med sitt søster-direktiv CER-direktivet som gjelder fysisk sikkerhet. Før den tid vil NIS1 tre i kraft gjennom digitalsikkerhetsloven. Men mange EU-land har implementert NIS2-direktivet og flere kommer til. Det betyr at norske virksomheter som leverer til EU vil måtte forholde seg til kravene i NIS2, særlig gjennom kontrakt.

Hva bør virksomhetene gjøre?

For å forberede seg på NIS2 bør virksomheter allerede nå ta grep for å sikre etterlevelse og redusere risikoen for personlig ansvar. Tidlig start gir normalt bedre resultat til lavere kostnad. Her er noen konkrete tiltak som bør vurderes:

• Etablere tydelige ansvarsforhold: Klargjør hvem som har ansvar for hva i organisasjonen, og sørg for at dette er dokumentert. Dette gjelder både på styrenivå og i den daglige driften.
• Investere i forsikringer: Vurder styreansvarsforsikring, cyberforsikring og andre forsikringer som dekker både virksomheten og ansatte og styremedlemmer.
• Sikre god underliggende sikkerhet: Gjennomfør risikoanalyser og implementer robuste tekniske og organisatoriske sikkerhetstiltak.
• Revider avtaler: Er du kunde, sørg for at leverandører oppfyller sikkerhetskravene. Er du leverandør, sørg for å begrense ditt sikkerhetsansvar ved krav om etterlevelse av NIS2.
• Gjennomføre opplæring: Sørg for at både ledelsen og ansatte er kjent med kravene i NIS2 og hvordan de kan etterleves i praksis.

NIS2 er en omfattende regulering som vil påvirke mange norske virksomheter. For å unngå alvorlige konsekvenser, både for virksomheten og enkeltpersoner i ledelsen, er det avgjørende å ta grep nå. Cybersikkerhet er ikke lenger bare et teknisk spørsmål – det er et strategisk ansvar som krever ledelsens fulle oppmerksomhet.

Har du spørsmål om hvordan din virksomhet kan forberede seg på NIS2? Ta kontakt med oss her. Vi hjelper deg med å sikre at din virksomhet er rustet for fremtidens krav.

Bull bistår også med rådgivning på andre sikkerhetsregler. Du finner oss her.