Hvis topledelsen sjofler cybersikkerheden, kan det betyde fængsel

NIS 2 = nye, højere krav til ledelsen

I takt med at cyberangreb bliver mere komplekse og skadelige, stilles der stadig højere krav til ledelsens engagement i virksomhedens cybersikkerhed.  

Regulativer som NIS2-direktivet stiller skarpt på vigtigheden af, at ledelsen ikke kun ser cybersikkerhed som en teknisk funktion, men som en integreret del af virksomhedens overordnede risikostyringsstrategi.  

Dette inkluderer alt fra at sikre tilstrækkelige budgetter til cybersikkerhed, til aktiv deltagelse i udviklingen af beredskabsplaner og regelmæssige revisions- og opfølgningsprocesser. 

Og det stiller nye krav til virksomhedernes direktion og bestyrelse, som i sidste ende har ansvaret for at sikre robuste cybersikkerhedssystemer og for at beskytte virksomhedsdata, kunders informationer og virksomhedens generelle omdømme.  

Med indførelsen af regulativer som NIS2-direktivet, står ledelsen dog ikke kun over for organisatoriske, men også personlige risici, hvis ikke cybersikkerheden håndteres korrekt. 

NIS2-direktivet lægger nemlig vægt på, at der skal være en klar forståelse for og evne til at håndtere cybersikkerhed på de højeste niveauer i virksomheden. Og det omfatter altså både bestyrelsen og direktionen. 

Direktionens og bestyrelsens rolle og ansvar 

I den forbindelse spiller direktionen og bestyrelsen en central rolle, når det gælder formuleringen af og tilsynet med virksomhedens cybersikkerhedsstrategi. Det er den øverste ledelses ansvar at sikre, at organisationen ikke bare efterlever gældende lovgivning, men at der også bliver implementeret best practice for cybersikkerhed, der matcher både nuværende og fremtidige trusler.  

Det indebærer en aktiv deltagelse i risikovurdering, beslutningstagen omkring sikkerhedsinvesteringer og udvikling af politikker, der beskytter virksomheden mod cyberangreb. 

Mens bestyrelsen typisk godkender og fører tilsyn med cybersikkerhedsstrategien, har direktionen ansvaret for at implementere disse politikker og strategier i den daglige drift.  

Omsæt cybersikkerhed fra strategi til drift

Det vil sige, at direktionen skal sørge for at få omsat strategien til konkrete handlinger og sikre, at alle operationelle aspekter lever op til de sikkerhedsstandarder, der er godkendt af bestyrelsen. 

Direktionen håndterer også den løbende risikostyring og skal sikre, at virksomheden reagerer passende på nye cybertrusler. For at det kan lade sig gøre, kræver det en grundlæggende forståelse for virksomhedens kritiske infrastruktur og de digitale værdier, den huser.  

Under NIS2 forventes det, at alle medlemmer af direktionen og bestyrelsen har et grundlæggende kendskab til cybersikkerhedsprincipper og -risici relateret til virksomhedens sektor. Det betyder ikke, at alle skal være eksperter, men de skal kunne stille relevante spørgsmål og vurdere informationer fra organisationens sikkerhedsfolk. Og på den baggrund skal direktionen kunne træffe beslutninger, der rent faktisk beskytter virksomheden mod potentielle trusler.  

Derudover skal ledelsen sørge for regelmæssig og relevant uddannelse indenfor cybersikkerhed - både hvad angår ledelsen selv og virksomhedens medarbejdere som helhed.  

Risiko for bøder og fængselsstraffe 

Inden for rammerne af NIS2-direktivet og lignende international lovgivning er de personlige risici for ledelsesmedlemmer blevet mere udtalte og omfattende. Og konsekvenserne af forsømmelse strækker sig langt ud over virksomhedens umiddelbare finansielle tab.  

Lovgivningen forpligter på direkte vis ledelsesmedlemmer til personligt at sikre, at deres virksomheder overholder nødvendige cybersikkerhedsstandarder og -foranstaltninger. Der lægges særlig vægt på deres ansvar for at etablere og vedligeholde et forsvar mod cybertrusler. 

Det kræver en dybdegående forståelse og aktiv deltagelse i virksomhedens cybersikkerhed fra hvert enkelt ledelsesmedlem for at sikre både juridisk overholdelse og effektiv risikostyring. 

Hvis det konstateres, at en virksomhed ikke overholder kravene i NIS2-direktivet på grund af forsømmelse fra ledelsens side, kan det medføre økonomiske sanktioner og bøder.  

Størrelsen på bøder i henhold til NIS2-direktivet kan variere meget baseret på specifikke nationale lovgivninger. Generelt set er bøderne dog udformet til at være tilstrækkeligt afskrækkende til at sikre, at virksomheder tager deres cybersikkerhedsforpligtelser alvorligt. 

Under NIS2 kan bøderne for virksomheder gå op til 10 millioner euro eller 2% af den årlige verdensomspændende omsætning.. 

Effekten af sådanne bøder kan være betydelig, ikke kun på virksomhedens økonomi, men også på omdømmet - vel at mærke både virksomhedens og ledelsesmedlemmets eget omdømme. På den måde kan det også have en alvorlig indvirkning på ledelsesmedlemmernes efterfølgende karrierer. 

Endvidere kan ledelsesmedlemmerne i alvorlige tilfælde risikere strafferetlige konsekvenser.  

Dette kan komme på tale, hvis ledelsesmæssige svigt fører til signifikante skader, tab af følsomme data, eller når der sker en krænkelse af privatlivets fred for enkeltpersoner eller grupper. 

De specifikke strafferetlige konsekvenser afhænger af den relevante lovgivning inden for den jurisdiktion, hvor virksomheden opererer. I særligt alvorlige tilfælde, hvor forsømmelser har medført alvorlige konsekvenser som identitetstyveri, økonomisk tab for mange personer eller endog fare for personers sikkerhed, kan konsekvensen være fængselsstraffe for de involverede ledelsesmedlemmer. 

Du kan få frakendt din ledelsesret 

Endelig er der risiko for at blive frakendt sin ledelsesret: Når et ledelsesmedlem frakendes ledelsesretten, mister vedkommende muligheden for at bestride ledelsesmæssige eller bestyrelsesmæssige stillinger i en virksomhed, ofte for en bestemt periode, men i nogle tilfælde også permanent.  

At blive frakendt ledelsesretten er en betydelig juridisk konsekvens, der kan pålægges et ledelsesmedlem, hvis vedkommende findes skyldig i grov forsømmelse eller manglende overholdelse af de pligter, de har i henhold til cybersikkerhedslovgivningen, såsom NIS2-direktivet.  

Denne form for sanktion benyttes primært i tilfælde, hvor ledelsesmedlemmets handlinger eller mangel på samme har forårsaget betydelig skade på virksomheden, dens aktionærer eller kunder.  

Hvis et ledelsesmedlem fx ignorerer advarsler om kendte svagheder i sikkerheden, som senere fører til et datalæk eller en anden alvorlig sikkerhedshændelse, kan dette betragtes som forsømmelse.  

En sådan alvorlig forsømmelse kan under visse omstændigheder give anledning til, at vedkommende bliver idømt en frakendelse af ledelsesretten, idet personen har bevist, at de ikke kan handle ansvarligt i en ledelsesposition. 

Konsekvenserne af at blive frakendt ledelsesretten kommer ud over den umiddelbare straf.  

Det påvirker selvsagt en persons professionelle omdømme og karriere markant, hvilket understreger vigtigheden af, at ledere konstant holder sig ajour med relevante sikkerhedsstandarder og love.