Ledelsesorganet i NIS 2: Hvem er omfattet i praksis?
Opmærksomheden er stigende i forhold til det nye NIS 2-direktiv (”NIS 2”). Dette skyldes blandt andet, at NIS 2 medfører væsentligt skærpede regler for ledelsen i omfattede enheder.
NIS 2 medfører, at ledelsen i de omfattede virksomheder fra den 18. oktober 2024 kan ifalde personligt strafansvar for manglende opfyldelse af NIS 2 i modsætning til, hvad der er gældende i henhold til NIS 1-direktivet.
Men hvem kan risikere at ifalde personligt strafansvar? Og hvilke sanktionsmuligheder kan i øvrigt være forbundet med virksomhedens manglende efterlevelse af reglerne i NIS 2? Dét gør vi dig klogere på i denne nyhed.
Hvem er omfattet af ledelsesorganet?
NIS 2 anvender begrebet ”ledelsesorganet”, men definerer ikke begrebet yderligere. Det er derfor baseret på ordlyden af NIS 2 uklart, hvilke personer der, udover medlemmer på bestyrelses- og direktionsniveau, vil være omfattet og dermed kunne risikere at ifalde et personligt strafansvar eller på anden måde blive sanktioneret. Disse regler vedrørende ”ledelsesorgan” ændrer ikke på national ret, for så vidt angår ansvar for embedsmænd og personer valgt og udnævnt til offentlige erhverv.
Begrebet ”ledelsesorganet” og dets rækkevidde i forhold til NIS 2, kan søges nærmere afklaret ved brug af fortolkningsbidrag fra andre EU-retsakter.
Begrebet ”ledelsesorgan” defineres i EU-forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor (DORA-forordningen). Lignende definitioner af ”ledelsesorgan” indgår i en række øvrige finansielle EU-retsakter, der hver især regulerer forskellige områder, men fastlægger rammerne for, hvordan et ledelsesorgan skal forstås på en materielt ensartet måde.
Overordnet består et ”ledelsesorgan” ifølge andre sammenlignelige EU-retsakter af personer:
- Som er udpeget i overensstemmelse med national lovgivning
- Som har beføjelse til at fastlægge enhedens strategi, målsætninger og generelle ledelsesprincipper eller de øverste beslutningsbeføjelser
- Som fører tilsyn og kontroller med og overvåger ledelsens beslutningstagning
- Som varetager enhedens daglige og faktiske ledelse, faktiske drift eller nøglefunktioner i overensstemmelse med relevant EU-ret eller national ret
Et ledelsesorgan kan derfor umiddelbart udover at omfatte bestyrelses- og direktionsmedlemmer i en virksomhed, også omfatte øvrige personer som ansvarssubjekter. Personer, der ikke er en fast del af ledelsen, men udfører den faktiske drift eller nøglefunktioner i overensstemmelse med relevant EU-ret eller national ret, vil derfor formentlig på tilsvarende vis kunne ifalde strafansvar. Så snart der foreligger mere klarhed om det kommende nationale lovforslag, vil vi foretage en nærmere vurdering af det faktiske ledelsesansvar i medfør af NIS 2 og det generelle danske selskabsretlige ledelsesansvar.
Sanktion over for ledelsen
Udover muligheden for at strafsanktionere medlemmer af ledelsen personligt, indebærer de skærpede muligheder for sanktionering f.eks., at de kompetente myndigheder fremover vil kunne kræve, at der for de væsentlige enheder kan indføres midlertidigt forbud mod personer eller juridiske repræsentanters udøvelse af ledelsesfunktioner på direktions- og bestyrelsesniveau. Mulige sanktioner er således skærpede for væsentlige i forhold til vigtige enheder.
De skærpede sanktioner for ledelsen i henhold til NIS 2 skyldes, at NIS 2 sigter mod at etablere et højt ansvarsniveau hos de omfattede virksomheder, herunder i forhold til implementering af foranstaltninger vedrørende styring af cybersikkerhedsrisici og rapporteringsforpligtelser. I den forbindelse fremhæves det i NIS 2, at de omfattede virksomheders ledelsesorganer, (i) skal godkende foranstaltninger til styring af cybersikkerhedsrisici og føre tilsyn med gennemførelsen heraf og (ii) skal sikre, at medlemmerne af virksomhedens ledelsesorgan følger kurser og cybersikkerhedsuddannelser samt tilskynde til løbende at tilbyde kurser til ansatte. Ved overtrædelse af disse forpligtelser vil medlemmer til ledelsen kunne ifalde personligt strafansvar.
Området inden for udvikling af kompetenceniveau og ledelsesforankring i topledelsen fremhæves tilsvarende som en del af Regeringens strategiske målsætninger for udviklingen af et stærkere og mere sikkert digitalt Danmark i den nationale strategi for cyber- og informationssikkerhed. NIS 2 overlader det til medlemsstaterne at fastsætte regler om sanktioner såvel som at sikre, at der træffes og gennemføres nødvendige foranstaltninger i tilfælde af overtrædelse af NIS 2 eller nationale implementeringsbestemmelser. Medlemsstaterne bør sikre, at disse sanktioner er effektive og står i rimeligt forhold til overtrædelsen, samt at disse har en afskrækkende virkning.
Vores anbefaling
Baseret på en ordlydsfortolkning af NIS 2 kan det ikke afvises, at CISO’er, complianceansvarlige og IT-ansvarlige kan blive omfattet, hvis disse har ansvaret for nøglefunktioner eller den faktiske drift - i forbindelse med virksomhedens beredskab og foranstaltninger til styring af cybersikkerhedsrisici. En nærmere afklaring vil dog afhænge af indholdet af den endelige danske implementeringslovgivning.
Det er dog allerede nu vigtigt at få afklaret internt, hvordan virksomheden organisatorisk har fordelt roller og ansvar i forhold til styring af cybersikkerhedsrisici. Eftersom det endnu er uklart, hvordan de kompetente myndigheder vælger at definere ledelsesorganet, er det vigtigt at holde sig opdateret om national lovgivning og eventuelle specifikke vejledninger fra myndighederne.
Alle omfattede virksomheder bør dog investere i uddannelse af cybersikkerhed og informationssikkerhed, og herved øge bevidstheden og forståelsen af NIS 2-kravene blandt relevante medarbejdere i virksomheden. Således tages der både hånd om, at ledelsen og ansvarlige medarbejdere er godt informerede om deres ansvar og de potentielle konsekvenser af manglende overholdelse, samt at kravene til uddannelse i NIS 2 efterleves. Dette vil bidrage til at skabe en kultur med cybersikkerhedsbevidsthed og minimere risikoen for overtrædelser.
Opsummerende
Denne artikel er baseret på vores nuværende forventninger til det kommende nationale lovforslag, der skal implementere NIS 2 i dansk ret. Der er naturligvis flere uklarheder om, hvordan de nationale myndigheder vil implementere rammerne for NIS 2, herunder i forhold til tilgangen og omfanget af de specifikke sektorreguleringer.
Overordnet kan det imidlertid udledes af præamblerne til NIS 2, at grundtanken bag reguleringen blandt andet er at sikre et højt ansvarsniveau for de omfattede enheders foranstaltninger. Det vil unægtelig hænge sammen med, at ledelsen i de omfattede virksomheder vil få en afgørende rolle i at sikre dette.
Vil du holdes opdateret på nyheder om NIS 2-direktivet?
Bliv en del af DAHL Advokatpartnerselskabs NIS 2-netværksgruppe på LinkedIn, hvor vi løbende vil komme med faglige opdateringer inden for NIS 2 og cyber- og informationssikkerhed. Der vil være mulighed for at netværke på tværs, og derudover vil DAHL afholde online-Q&A, webinarer og faglige arrangementer for netværkets medlemmer. Netværket er særligt relevant for de personer, som enten beskæftiger sig eller vil skulle beskæftige sig med NIS 2 eller cyber- og informationssikkerhed. Du får adgang til netværksgruppen på LinkedIn via dette link.
Du kan også blive modtager af vores nyhedsserie om NIS 2. Her opdaterer vi dig løbende på, hvordan den danske lovgivningsproces og implementering af NIS 2 udvikler sig. Artiklerne er målrettet ledelsen i virksomheder inden for de sektorer, der omfattes af NIS 2. Vil du sikre, at du får adgang til de kommende artikler om NIS 2, kan du tilmelde dig via denne formular.
Har du spørgsmål til, hvordan du håndterer det nye NIS 2, er du altid velkommen til at kontakte vores specialister for en uforpligtende drøftelse.