EU styrker cybersikkerhetsregelverk: Økt ledelsesansvar under NIS2-direktivet

Med NIS2 må europeiske virksomheter tilpasse seg en ny virkelighet der digitale trusler spiller en større rolle enn før og hvor ledelsen tar et større ansvar for virksomhetens digitale robusthet.Europaparlaments- og rådsdirektiv (EU) 2022/2555 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen (NIS 2) medfører strengere krav til cybersikkerhet for virksomheter i EUs medlemsland. Regelverket som stiller krav til digital sikkerhet har lenge vært fragmentert, både når man ser på regelverk på EU nivå og på nasjonalt nivå. Dette er også tilfellet i Norge, der Utvalget om organisering og regulering av nasjonal IKT-sikkerhet i 2018 identifiserte rundt 150 lover og forskrifter som omhandler IKT-sikkerhet. 

Samtidig blir viktige samfunnsfunksjoner i større grad avhengig av digitale tjenester som er sammenkoblet, herunder digital infrastruktur, og avhengige av hverandre på tvers av landegrensene.  En av de viktigste årsakene til at NIS2 etter kort tid erstattet NIS-direktivet er nettopp fordi NIS raskt viste seg å ikke være egnet til å sørge for et enhetlig sikkerhetsnivå på tvers av medlemslandene. I tillegg til et større fokus på harmonisering av nasjonalt regelverk, definerer NIS2 18 sektorer som omfatter tilbydere av samfunnsviktige tjenester. Direktivet vil dermed få et utvidet nedslagsfelt sammenlignet med NIS-direktivet.

Ledelsen i virksomheter som er omfattet av NIS2-direktivet vil merke ansvaret på kroppen i langt større grad. NIS2-direktivet innfører regler som krever at ledelsen har et aktivt forhold til risikobildet og cybersikkerhetstiltak i virksomheten. I tillegg skal medlemmer av ledelsen, såkalte «management bodies» kunne ilegges personlig ansvar for enkelte brudd på regelverket.

NIS2-direktivet deler samfunnsviktige tjenester inn i to kategorier avhengig av om de er mer eller mindre samfunnsviktige. I den norske oversettelsen omtales disse som vesentlige og viktige tjenester. Denne klassifiseringen avgjør hvilke krav om tilsyn og sanksjoner som kommer til anvendelse, men kravene til ledelsen er mer eller mindre tilsvarende.

Implementering av NIS2 i Norsk rett

Før vi ser på hvordan ledelsesansvaret endrer seg med NIS2, er det hensiktsmessig å ta et blikk på når vi kan forvente at direktivet blir en del av norsk rett. 

Både NIS og NIS2 er ansett som EØS-relevante. I Norge implementeres NIS-direktivet gjennom Digitalsikkerhetsloven. Denne loven er vedtatt, men har foreløpig ikke trådt i kraft. I tillegg var utkast til forskrift til digitalsikkerhetsloven på høring i slutten av 2024. Forslaget inkluderte enkelte krav som følger av NIS2. 

Sannsynligvis vil NIS2 implementeres gjennom digitalsikkerhetsloven. Det er fremdeles uvisshet om når digitalsikkerhetsloven og digitalsikkerhetsforskriften trer i kraft, samt i hvilken grad regelverket tar innover seg kravene i NIS2.

Innholdet i lederansvaret i NIS2

Ansvaret som følger av NIS2 må sees i sammenheng med det overordnede ansvaret som allerede følger av aksjeloven, hvor det er fastsatt at styret har det generelle og overordnede ansvaret for forvaltningen av selskapet. Styret skal ikke bare ivareta den forretningsmessige driften, men har ansvar for å sikre at hele virksomheten drives på en forsvarlig måte.

NIS2 pålegger tilsvarende ledelsen å ta aktivt eierskap til hvordan virksomheten organiserer og følger opp arbeidet med digital sikkerhet. Dette ansvaret er nærmere regulert i artikkel 20 og 21, som fastsetter rammene for hvordan ledelsen skal forholde seg til sikkerhetsarbeidet i virksomheten som et minimum.

Artikkel 20 fastslår at ledelsen har ansvar for å godkjenne tiltakene virksomheten setter i verk for å sikre tilstrekkelig styring av sikkerhetsrisikoen i virksomheten og føre tilsyn med at disse faktisk gjennomføres i praksis. Tiltakene skal som et minimum omfatte de som er listet opp i artikkel 21. 

Ledelsens ansvar for å gjøre seg kjent med risikobildet og tiltakene understrekes ytterligere gjennom kravet i artikkel 20 (2) om at ledelsen tilegner seg den nødvendige kunnskapen og kompetansen til å vurdere sikkerhetsrisiko. Det handler i praksis ikke om å bli teknolog eller ekspert innenfor sikkerhetsstyring, men om å kunne stille riktige spørsmål, sikre at virksomheten har tilstrekkelig kompetanse tilgjengelig til å vurdere virksomhetens eksponering og fatte informerte beslutninger. I tillegg skal ledelsen legge til rette for regelmessig opplæring til virksomhetens ansatte, slik at de kan identifisere risikoer og vurdere hvordan risikostyring påvirker virksomhetens tjenester.

Artikkel 21 stiller konkrete krav til hvordan risikostyringen skal gjennomføres, inkludert hvilke konkrete tiltak virksomheten skal iverksette som et minimum. Dette omfatter en rekke organisatoriske og tekniske grep – blant annet for risikovurdering, håndtering av hendelser, kontinuitetsplaner, leverandørsikkerhet, håndtering av sårbarheter, kryptering, tilgangskontroll og bruk av flerfaktorautentisering. Tiltakene skal reflektere et helhetlig perspektiv, en såkalt "all-hazards approach", som beskytter både de digitale og fysiske aspektene ved nettverks- og informasjonssystemene.

Hvilken gruppe er omfattet av lederansvaret i NIS2 

NIS2-direktivet angir ikke direkte hvilke roller i virksomheten som omfattes av begrepet «management bodies», og som dermed må forholde seg til kravene og ansvaret lagt til ledelsen. Lovgiver vil ha muligheten til å spesifisere ytterligere  hvilke roller som omfattes gjennom den norske implementeringen. 

Andre land ser i varierende grad ut til å ha benyttet seg av denne muligheten. Polens lovutkast gir en omfattende definisjon av «management bodies» som dekker et bredt spekter av lederroller, og spesifiserer eksplisitte ansvarsområder knyttet til cybersikkerhet.¹ I Nederlands lovforslag nevnes styret eksplisitt som et ledelsesorgan som skal ha opplæring i cybersikkerhet.  Regelverkene som implementeres i Belgia og Kroatia er mindre presise og gir ikke ytterligere avklaring om hva som regnes som ledelsesorganer, og spørsmålet må presumtivt løses på bakgrunn av andre rettsregler.

Det er naturlig at styret og daglig leder som et minimum vil kunne omfattes av ansvaret i Norge. Her er kan man også trekke en parallell til vurderingene som er gjort i forbindelse med gjennomføringen av DORA-forordningen (EU 2022/2554),² hvor mange av de samme begrepene og plikttypene går igjen. Finansdepartementet tolker begrepet «management bodies» som det organet som etter norsk rett har ansvaret for å utarbeide virksomhetens overordnede strategi og føre tilsyn med gjennomføringen av denne, hvilket typisk vil være styret. Samtidig understrekes det at flere av pliktene etter DORA naturlig faller inn under daglig leders ansvarsområde, og at det derfor er nødvendig med en klar og bevisst ansvarsfordeling mellom styret og daglig leder der styret har en «påse-plikt» og daglig leder har en utøvende rolle. I tilfeller der det oppstår uklarhet om hvem som har ansvaret for hva, peker departementet i DORA-sammenheng på at det er styret som har plikt til å avklare ansvarsfordelingen.

Overført til NIS2 innebærer dette at styret som utgangspunkt vil være adressat for de pliktene som etter artikkel 20 og 21 påhviler ledelsen. Samtidig vil daglig leder normalt ha det operative ansvaret for implementering av sikkerhetstiltak, gjennomføring av hendelseshåndtering og løpende risikostyring – i tråd med den alminnelige selskapsrettslige fordelingen av ansvar. 

Konsekvensene av brudd på regelverket 

NIS2-direktivet krever at nasjonale myndigheter ved implementeringen sikrer effektive, proporsjonale, og avskrekkende virkemidler til å håndtere brudd på regelverket, og NIS2 gir tilsynsmyndigheten flere verktøy for å gjennomføre kontroll og sanksjonere brudd. Manglende overholdelse av direktivet kan medføre betydelige bøter, avhengig av virksomhetens størrelse og sektor, og kan også resultere i personlig ansvar for medlemmer av ledelsen. NIS-direktivet pålegger nemlig medlemslandene ved innføringen av direktivet å sikre at dersom andre tiltak ikke er tilstrekkelig, så skal det være anledning til å midlertidig suspendere ledelsen fra sine posisjoner inntil de nødvendige tiltakene for å rette opp er iverksatt. 

Hvilke tiltak må på plass?

Det beste virkemiddelet for å unngå brudd på forpliktelsene ledelsen får i henhold til NIS2-direktivet, er å sikre at virksomheten har et velfungerende styringssystem for informasjonssikkerhet. NIS2-direktivet inneholder minimumskrav, men for å avklare hvilket nivå av cybersikkerhetsrisikotiltak som må etableres utover minimumsnivået, må virksomheten gjøre en vurdering av risikoen som virksomheten står overfor og de eksisterende tiltakene. 

Virksomheter som følger en anerkjent standard om styringssystem for informasjonssikkerhet, vil sannsynligvis være godt på vei allerede. Flere EU-land har i forbindelse med implementering av NIS2 vist til eksisterende standarder når det gjelder valg av tiltak. Men også på dette området er det forskjeller. Belgia, Italia og Irland baserer seg hovedsakelig på NIST Cybersecurity Framework, mens Ungarn benytter NIST 800-53. Polen følger internasjonale ISO-standarder, og Latvia og Litauen har utviklet egne detaljerte nasjonale rammeverk. Hellas krever offentlig godkjenning av en enhetlig cybersikkerhetspolicy.

Dersom virksomheten omfattes av NIS2, kan det derfor være hensiktsmessig å vurdere å iverksette følgende aktiviteter allerede nå:

1. Skaffe oversikt over kravene i NIS2

Styret bør be om en konkret og tilpasset gjennomgang av pliktene i direktivet, med særlig vekt på artikkel 20 og 21, samt artikkel 32 og 33 dersom virksomheten er eller kan bli klassifisert som henholdsvis essensiell eller viktig. Styreleder bør sikre at virksomheten har tilgang til juridisk og teknisk rådgivning med kompetanse på NIS2.

2. Avklare intern ansvarsfordeling

Det bør dokumenteres hvordan ansvaret etter direktivet fordeles mellom styret og daglig leder. Styret bør formelt fastsette hvilke deler av NIS2-oppfølgingen som ligger til styrets påse-plikt, og hva som delegeres til daglig leder. Dette kan gjøres gjennom interne retningslinjer.

3. Initiere opplæring for styret

I henhold til artikkel 20(2) må medlemmene av styret ha kunnskap om cybersikkerhetsrisiko og tiltak. Hvis denne prosessen ikke allerede er iverksatt, kan det være hensiktsmessig å planlegge aktiviteter som skal øke bevisstheten for å sikre at styret forstår sine plikter og kan føre effektivt tilsyn på et gitt tidspunkt i fremtiden.

4. Kartlegging av cybersikkerhetsrisiko og tiltak

Styret bør be daglig leder legge frem en statusrapport om hvilke tekniske og organisatoriske tiltak virksomheten allerede har implementert, og hvordan disse samsvarer med kravene i artikkel 21. Dette inkluderer risikovurdering, hendelseshåndtering, leverandørsikkerhet, tilgangskontroll og kontinuitetsplaner.

5. Etablere fast oppfølging av cybersikkerhet

Cybersikkerhet bør etableres som fast punkt i styrets årshjul og rapporteringslinjer. Styret bør sørge for at det jevnlig mottar oppdateringer om status, utvikling og hendelser.

6. Dokumentere vurderinger og beslutninger

For å kunne vise til etterlevelse – og beskytte seg mot personlig ansvar – må styret sørge for grundig dokumentasjon av de vurderinger og beslutninger som treffes. Dette inkluderer referater, vedtak og saksgrunnlag i tilknytning til cybersikkerhetstiltak.

NIS2 har allerede trådt i kraft i EU, og det er bare spørsmål om tid før det kommer til Norge. Det er derfor ingen grunn til å ikke gjennomgå og oppdatere virksomhetens cybersikkerhetstiltak allerede nå. 

Ta gjerne kontakt med Deloitte Advokatfirma dersom du trenger hjelp. 

Deloitte Advokatfirma kan bistå din virksomhet med blant annet:

• Kartlegging av cybersikkerhetsrisiko

• GAP-analyse av virksomhetens eksisterende cybersikkerhetstiltak og NIS2

• Rådgivning og veiledning ved valg av nivå for cybersikkerhetstiltak

• Utarbeidelse av kontinuitetsplan, retningslinjer og prosedyrer for sikkerhetstiltak, krisehåndtering og opplæring

• Utarbeide og vurdere corporate goverance rutiner for virksomheten

Kilder

[1] Basert på status fra januar 2025, Navigating NIS2 Compliance: A Current View on Local NIS2 Legislations for Organizations with Cross-Border European Operations. January 2025.
[2] Finansdepartementet. 2025. Prop. 54 LS (2024–2025): Lov om digital operasjonell motstandsdyktighet i finanssektoren, lov om endringer i hvitvaskingsloven (gjennomføring av forordning (EU) 2023/1113) og samtykke til godkjenning av to beslutninger i EØS-komiteen om innlemmelse i EØS-avtalen av forordning (EU) 2022/2554, direktiv (EU) 2022/2556 og forordning (EU) 2023/1113. Oslo: Finansdepartementet. Tilgjengelig fra: https://www.regjeringen.no/no/dokumenter/prop.-54-ls-20242025/id3090648/.​