Sanktioner (NIS2)

Overtrædelse af NIS2 kan medføre betydelige administrative sanktioner. For væsentlige enheder kan bøderne nå op til 10 millioner euro eller 2% af den globale omsætning. For vigtige enheder er maksimum 7 millioner euro eller 1,4% af den globale omsætning.

Tilbage til ordbog

Bødestørrelser under NIS2

NIS2 artikel 34 fastslår minimumsbeløbene for de bøder, som nationale myndigheder kan idømme. Beløbene er afhængige af, hvilken kategori organisationen tilhører:

Væsentlige enheder:

Maksimumsbøde: 10.000.000 EUR eller mindst 2% af den samlede globale omsætning, alt efter hvad der er højest

Vigtige enheder:

Maksimumsbøde: 7.000.000 EUR eller mindst 1,4% af den samlede globale omsætning, alt efter hvad der er højest

Disse er minimumsniveauer for medlemsstaterne: Direktivet fastlægger minimumsbødeniveauerne. Medlemsstaterne kan vælge at fastsætte højere bøder i deres nationale implementeringslovgivning.

Andre sanktionstyper

Ud over bøder kan myndighederne under NIS2 anvende en bredere vifte af sanktioner og håndhævelsesforanstaltninger:

Advarsler og påbud: Krav om at bringe overtrædelsen til ophør inden en fastsat frist.
Bindende instrukser: Myndighederne kan udstede instrukser om specifikke foranstaltninger, organisationen skal implementere.
Sikkerhedsrevisioner: Krav om at gennemføre en uafhængig sikkerhedsrevision på organisationens regning.
Offentliggørelse: Offentlig meddelelse om overtrædelsen (naming and shaming).
Midlertidigt forbud mod ledelse: I grove tilfælde kan ledelsesmedlemmer midlertidigt forbydes at udøve ledelsesfunktioner.

Hvad kan udløse sanktioner?

Sanktioner kan idømmes for overtrædelse af NIS2's krav, herunder:

Manglende implementering af sikkerhedsforanstaltninger
Manglende eller forsinket hændelsesrapportering
Manglende registrering hos myndighederne
Manglende samarbejde med tilsynsmyndighederne
Manglende ledelsesengagement og uddannelse

Personligt ansvar for ledelsen

NIS2 indfører bestemmelser om, at ledelsesorganer kan holdes personligt ansvarlige for manglende overholdelse af kravene til cybersikkerhedsrisikostyring. Dette er et markant skift fra tidligere lovgivning, hvor sanktioner typisk kun var rettet mod organisationen.

Ofte stillede spørgsmål om sanktioner (nis2)

Hvad er maksimumsbøden under NIS2?

For væsentlige enheder kan bøder nå op til 10 millioner euro eller 2% af den globale omsætning, alt efter hvad der er højest. For vigtige enheder er maksimum 7 millioner euro eller 1,4% af den globale omsætning.

Kan enkeltpersoner straffes under NIS2?

Ja. NIS2 giver mulighed for, at ledelsesmedlemmer i grove tilfælde kan idømmes et midlertidigt forbud mod at udøve ledelsesfunktioner. Det er en ny bestemmelse, der ikke fandtes i det tidligere NIS-direktiv.

Hvad udløser NIS2-sanktioner?

Sanktioner kan udløses af manglende implementering af sikkerhedsforanstaltninger, manglende hændelsesrapportering inden for de foreskrevne frister, manglende registrering hos myndigheder, manglende samarbejde med tilsyn og manglende ledelsesengagement.

Er NIS2-bøderne ens i alle EU-lande?

Nej. NIS2 fastlægger minimumsbødeniveauer. Medlemsstater kan implementere højere bøder i national lovgivning. Det faktiske bødeniveau i en konkret sag afhænger af national lovgivning og overtrædelsens alvor.

Hvordan er NIS2-bøderne sammenlignet med GDPR-bøder?

NIS2-bøder for væsentlige enheder (10 mio. EUR eller 2% af omsætningen) er lavere end de maksimale GDPR-bøder (20 mio. EUR eller 4% af omsætningen). Til gengæld indfører NIS2 yderligere håndhævelsesværktøjer som ledelsesforbud, som GDPR ikke indeholder.