Ledelsesansvar (NIS2)

NIS2 placerer et direkte ansvar på ledelsen for cybersikkerhed. Ledelsesorganer i væsentlige og vigtige enheder skal godkende de sikkerhedsforanstaltninger, der er implementeret, og kan holdes personligt ansvarlige for overtrædelser. Desuden er obligatorisk uddannelse et krav.

Tilbage til ordbog

Hvad betyder ledelsesansvar under NIS2?

En af de vigtigste nyskabelser i NIS2-direktivet sammenlignet med det oprindelige NIS-direktiv er den eksplicitte ansvarsplacering på ledelsesniveau. Cybersikkerhed er ikke længere udelukkende it-afdelingens ansvar – direktivet kræver, at topledelsen er aktivt involveret og ansvarlig.

NIS2 artikel 20 fastslår, at ledelsesorganer i væsentlige og vigtige enheder skal godkende de foranstaltninger, der er truffet til styring af cybersikkerhedsrisici, og overvåge gennemførelsen af dem.

Konkrete krav til ledelsen

Under NIS2 er ledelsesorganet (bestyrelse, direktion eller tilsvarende) underlagt følgende forpligtelser:

Godkendelse: Ledelsen skal formelt godkende de cybersikkerhedsforanstaltninger, organisationen implementerer.
Overvågning: Ledelsen skal føre tilsyn med, at foranstaltningerne gennemføres effektivt.
Uddannelse: Ledelsesmedlemmer er forpligtet til at gennemgå passende uddannelse inden for cybersikkerhed.
Personligt ansvar: Ledelsesmedlemmer kan holdes personligt ansvarlige for overtrædelser af NIS2-kravene.

Personligt ansvar er nyt: Under det tidligere NIS-direktiv var det primært organisationen, der hæftede. NIS2 indebærer, at individuelle ledelsesmedlemmer i visse tilfælde kan pålægges midlertidigt forbud mod at varetage ledelsesfunktioner ved grove eller gentagne overtrædelser.

Uddannelseskravet

NIS2 artikel 20 stk. 2 kræver, at ledelsesmedlemmer gennemgår uddannelse for at opnå tilstrækkelig viden og færdigheder til at identificere risici og vurdere praksisser inden for cybersikkerhedsrisikostyring og dens indvirkning på de tjenester, enheden leverer. Ligeledes skal ansatte tilbydes relevant uddannelse.

Uddannelsen behøver ikke at gøre ledelsesmedlemmer til tekniske eksperter. Fokus er på at sikre, at de kan træffe informerede beslutninger om cybersikkerhed og forstå konsekvenserne af manglende indsats.

Konsekvenser ved manglende overholdelse

Ved overtrædelse af NIS2's krav, herunder manglende ledelsesengagement, kan følgende sanktioner idømmes:

Administrative bøder (op til 10 mio. EUR eller 2% af global omsætning for væsentlige enheder)
Påbud om at bringe overtrædelsen til ophør
I grove tilfælde: midlertidigt forbud mod at varetage ledelsesfunktioner

Ofte stillede spørgsmål om ledelsesansvar (nis2)

Kan ledelsesmedlemmer holdes personligt ansvarlige under NIS2?

Ja. NIS2 giver mulighed for, at ledelsesmedlemmer kan pålægges personlige sanktioner, herunder i grove tilfælde et midlertidigt forbud mod at udøve ledelsesfunktioner. Det er en væsentlig ny skærpelse sammenlignet med det tidligere NIS-direktiv.

Hvad skal ledelsen uddannes i under NIS2?

Ledelsen skal have tilstrækkelig viden til at identificere cybersikkerhedsrisici og vurdere organisationens sikkerhedspraksis. Uddannelsen behøver ikke gøre dem til tekniske eksperter, men de skal kunne træffe informerede beslutninger om cybersikkerhed.

Kræver NIS2 at ledelsen godkender sikkerhedsforanstaltninger?

Ja. NIS2 artikel 20 kræver, at ledelsesorganer formelt godkender de cybersikkerhedsforanstaltninger, organisationen implementerer, og fører tilsyn med deres gennemførelse.

Hvilke bøder kan pålægges for manglende overholdelse af NIS2's ledelseskrav?

Væsentlige enheder kan pålægges administrative bøder på op til 10 mio. EUR eller 2% af den globale årsomsætning. Derudover kan ledelsesmedlemmer pålægges midlertidigt forbud mod at varetage ledelsesfunktioner.

Hvordan adskiller NIS2's ledelsesansvar sig fra det oprindelige NIS-direktiv?

Det oprindelige NIS-direktiv holdt primært organisationen ansvarlig. NIS2 indfører eksplicit personligt ansvar for ledelsesmedlemmer, herunder obligatorisk godkendelse af foranstaltninger, påkrævet uddannelse og mulighed for personlige sanktioner.