Den nye NIS 2-lov og bestyrelsens arbejde med cybersikkerhed

Den nye NIS 2-lov og bestyrelsens arbejde med cybersikkerhed

Compliance IT-ret Selskabs- og fondsret Persondata og cybersikkerhed
NIS2-loven gør cybersikkerhed til et kernespørgsmål for bestyrelser. Omfattede virksomheder skal indføre risikobaserede foranstaltninger, leverandørkrav og dokumenteret tilsyn, mens ikke-omfattede aktører møder stigende kontraktlige krav. Sanktioner kan omfatte midlertidigt ledelsesforbud og bøder.

NIS2-loven skærper kravene til virksomheders styring af net- og informationssikkerhed og løfter bestyrelsens ansvar for cybersikkerhed til et centralt governance-anliggende. Loven gælder på tværs af kritiske sektorer og forventes samtidig at sætte en generel markedsstandard, som også ikke-omfattede virksomheder vil blive målt på i kontrakter og samhandel.

Anvendelsesområde og klassificering

Loven implementerer EU’s NIS2 og dækker bl.a. fødevarer, sundhed, transport og fremstilling, mens energi, tele og finans implementeres særskilt. Virksomheder kategoriseres som væsentlige eller vigtige enheder afhængigt af størrelse og kritisk betydning. Kravene er i udgangspunktet ens, men intensiteten i tilsyn og sanktionsramme varierer med kategorien.

Selv om mange selskaber falder uden for de formelle tærskler, vil standarderne få betydning bredt. Særligt leverandører til NIS2-omfattede virksomheder møder kontraktlige sikkerhedskrav, fordi forsyningskædesikkerhed indgår eksplicit i reguleringen. Derfor bør også ikke-omfattede virksomheder måle sig mod NIS2 som best practice.

Bestyrelsens pligter og styringsprincipper

Bestyrelsen har ansvar for, at virksomheden træffer passende, forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger. Cybersikkerhed bør indgå i bestyrelsens årshjul og rapporteringslinjer på linje med øvrige væsentlige risici. Godkendelsespligten kræver konkret stillingtagen til et passende sikkerhedsniveau i lyset af risikoeksponering og samfundsmæssig betydning.

Som minimum skal følgende områder være dækket, og bestyrelsen bør sikre dokumentation for valg, implementering og effekt:

  1. Risikoanalyse og sikkerhedspolitikker.
  2. Hændelseshåndtering.
  3. Driftskontinuitet og backup.
  4. Forsyningskædesikkerhed.
  5. Sikker udvikling og sårbarhedshåndtering.
  6. Effektivitetsevaluering af foranstaltninger.
  7. Grundlæggende cyberhygiejne og træning.
  8. Kryptografi og kryptering.
  9. Personalesikkerhed og adgangskontrol.
  10. Multifaktorautentificering og sikret kommunikation.

Tilsynet kan understøttes af periodiske ledelsesrapporter og uafhængig revision. Bestyrelsen kan nedsætte et sikkerheds- eller revisionsudvalg, men det samlede ansvar kan ikke fraskrives. Medlemmer i omfattede virksomheder skal deltage i relevante kurser i styring af cybersikkerhedsrisici, og gennemførte aktiviteter bør kunne dokumenteres.

Ikke-omfattede virksomheder og leverandørled

Et stort antal danske selskaber er ikke direkte omfattet. Alligevel vil efterlevelse ofte være kommercielt påkrævet via kundekrav, især når man leverer til kritiske aktører. En frivillig tilpasning til NIS2 mindsker modpartsrisiko, styrker robusthed og kan lette adgang til kontrakter.

Et praktisk første skridt er at foretage et gap-analyse op mod de nævnte minimumsområder og etablere en risikobaseret plan for prioriterede tiltag, herunder leverandørdue diligence, beredskabsøvelser og forbedret rapportering til bestyrelsen.

Håndhævelse og ansvar

Ved væsentlig forsømmelse kan myndighederne som sidste udvej midlertidigt forbyde ledelsesmedlemmer at udøve ledelsesfunktioner, indtil manglerne er afhjulpet. Selskabet kan derudover ifalde bøde- og strafansvar. Et velfungerende kontrolmiljø, tydelig rollefordeling og løbende kompetenceopbygning er derfor ikke blot god praksis, men en central del af retslig efterlevelse.

Samlet set lægger NIS2-loven et klart ansvar på bestyrelsen for at sikre en systematisk, dokumenteret og risikobaseret tilgang til cybersikkerhed på tværs af organisation og forsyningskæde.

Læs hele artiklen hos Holst, Advokater →
Søgeord
Tilsyn, Informationssikkerhed, Risikostyring, Leverandørstyring, Bestyrelsesansvar, Governance, Awareness træning, Cybersikkerhed, Væsentlige enheder, Vigtige enheder, Kryptering, Selskabsloven, Politikker og procedurer, Ledelsesrapportering, Intern kontrol, Hændelseshåndtering, Bødeansvar, Adgangskontrol, Strafansvar, Sårbarhedshåndtering, NIS2 loven, Compliance, Sanktionsmuligheder, Driftskontinuitet, Styrelsen for Samfundssikkerhed, Forsyningskædesikkerhed, Krisestyring, Revision, Multifaktorautentificering, Backup, Uddannelse, Personalesikkerhed, Aktiveregister, Sikker kommunikation, Net og informationssystemer, Midlertidigt ledelsesforbud

Relaterede artikler

Venstre Landsret hæver GDPR-bøde til 1,5 millioner kroner
Littler Danmark

Venstre Landsret hæver GDPR-bøde til 1,5 millioner kroner

Vestre Landsret forhøjer GDPR-bøde til 1,5 mio. kr. efter EU-Domstolens afgørelse om, at udmåling skal ske på baggrund af koncernens globale omsætning. Sagen markerer skærpet sanktionsrisiko ved manglende slettefrister og opbevaringsbegrænsning i praksis.
Østre Landsret: Klage direkte til ledelsen gav ikke beskyttelse efter whistleblowerloven
Littler Danmark

Østre Landsret: Klage direkte til ledelsen gav ikke beskyttelse efter whistleblowerloven

Østre Landsret fastslår, at klager direkte til ledelsen ikke udløser beskyttelse efter whistleblowerloven. Beskyttelse kræver indberetning via interne eller eksterne whistleblowerkanaler eller lovlig offentliggørelse. Afgørelsen skærper fokus på klare procedurer i organisationer.
Slutrapporter fra første runde af den regulatoriske sandkasse om AI
Datatilsynet

Slutrapporter fra første runde af den regulatoriske sandkasse om AI

Datatilsynet og Digitaliseringsstyrelsen udgiver slutrapporter fra AI-sandkassen med konkret vejledning om GDPR, test på rigtige data, rollefordeling og risikovurderinger i forsikrings- og kommunale AI-projekter. Næste runde inddrager AI Act med fokus på risikoklassificering.
Datatilsynet har undersøgt DR’s obligatoriske login
Datatilsynet

Datatilsynet har undersøgt DR’s obligatoriske login

Datatilsynet udtaler kritik af DR for at have opfordret DRTV-brugere til at angive deres navn i login-flowet i strid med dataminimering. Obligatorisk login accepteres med hjemmel i GDPR art. 6, stk. 1, litra e. DR har ændret praksis og beder nu om et profilnavn.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Fynbus
FynBus søger en juridisk leder til Jura
Fynbus
Lægemiddelstyrelsen
Jurastuderende til spændende opgaver med bl.a. kontrol af lægemiddelvirksomheder
Lægemiddelstyrelsen
Københavns Kommune
GDPR-jurist til Center for Digitalisering, Data og Analyse i Socialforvaltningen
Københavns Kommune
Lægemiddelstyrelsen
Jurastuderende til spændende opgaver med bl.a. kontrol af lægemiddelvirksomheder
Lægemiddelstyrelsen
Advokathuset Funch & Nielsen Advokatpartnerselskab
Advokatfuldmægtig – evt. advokat søges - Thisted/Nykøbing Mors afdeling
Advokathuset Funch & Nielsen Advokatpartnerselskab
Forsvarets Efterretningstjeneste
FE søger en erfaren kontorchef til Direktionssekretariatet
Forsvarets Efterretningstjeneste
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →