- Af Jakob Krabbe Sørensen, advokat
NIS2 for bestyrelsesmedlemmer: Sådan lever du op til dine forpligtelser
- august 28, 2024
Som bestyrelsesmedlem i en NIS2-omfattet virksomhed hæfter du personligt og kan få erstatningsansvar, hvis du gør noget uagtsomt eller lignende, som strider imod kravene i NIS2.
Sammen med den øvrige bestyrelse har du altså ikke ‘kun’ et ansvar for at forstå cybersikkerhed på et strategisk niveau – fx hvor du kan vurdere din organisations risici – men også på et praktisk niveau, så du kan beslutte, hvordan I skal beskytte jer mod cybertrusler og –kriminalitet.
Vi hjælper dig hele vejen rundt ved at give dig svarene på:
Hvornår er min organisation omfattet af NIS2?
Vi ser, at både store og små virksomheder bliver ramt af cyberangreb. Derfor er cybersikkerhed i alles interesse. Det er dog ikke alle virksomheder, der er omfattet af kravene i NIS2-direktivet.
For at være omfattet – uanset virksomhedsstørrelse – skal din organisation være indenfor en af disse 10 kategorier:
Hvis din organisation ikke er inden for de 10 ovenstående kategorier, er den omfattet, hvis den opfylder alle disse tre følgende kriterier:
- Har minimum 50 ansatte
- Har en årlig omsætning eller balance på 10 millioner euro
- Er en væsentlig eller vigtig enhed, som altså er i en af de 18 sektorer, som vi har lavet et overblik over hér:
Der kan være juridiske nuancer, som afgør, hvornår en enhed er enten væsentlig eller vigtig i NIS2-direktivet. Hvis du har brug hjælp til at dykke ned i dé nuancer, så ræk endelig ud til os.
Hvilke generelle minimumskrav skal vi overholde?
Da NIS2 er et direktiv, som EU-landene skal implementere ved national lov, kan den enkelte lov se anderledes ud fra andre.
Dog har NIS2-direktivet defineret en række minimumskrav, som alle EU-medlemslande skal leve op til og implementere. De krav dækker over:
- 10 minimumskrav for at sikre tilstrækkelig sikkerhed
- Krav om træning (af ledelse, nøglemedarbejdere og bestyrelse)
- Krav om hændelsesrapportering
Hvis du vil dykke ned i detaljerne i det generelle minimumskrav i NIS2-direktiv, kan du gøre det her.
Hvilke forpligtelser har jeg som bestyrelsesmedlem?
Ifølge Selskabslovens § 115 har bestyrelsen det primære ansvar for at påse, at der er de fornødne procedurer for risikostyring og interne kontroller. Derudover har direktionen ansvaret for den daglige ledelse og for at følge de retningslinjer og vejledninger, som bestyrelsen har givet.
Derfor er der en række minimumskrav, som du, naturligvis sammen med den øvrige bestyrelse og ledelsen, har ansvaret for. I skal sørge for at:
- Godkende både en cybersikkerhedsstrategi og risikovurdering, som direktionen har lavet
- Beslutte jeres risikoappetit indenfor cybersikkerhed ud fra ovenstående cybersikkerhedsstrategi og risikovurdering
- Godkende sikkerhedsforanstaltninger (altså organisatoriske, tekniske og operationelle foranstaltninger), som matcher de risici, I har analyseret jer frem til i risikovurderingen
- Sikkerhedsforanstaltningerne lever op til minimumskrav i NIS2
- Direktion og bestyrelse sikrer sig den fornødne rapportering og opdateringer fra organisationen og direktionen
- Direktion og bestyrelse løbende fører tilsyn med, at strategien bliver fulgt i praksis.
6 anbefalinger til at leve op til dine forpligtelser i praksis
Bestyrelsesforeningens Center for Cyberkompetencer har sammen med blandt andre Center for Cybersikkerhed lavet en vejledning om cybersikkerhed til dig som bestyrelsesmedlem.
I vejledningen er der 6 anbefalinger, der hjælper dig med at leve op til dine forpligtelser i det daglige – vi har listet anbefalingerne op her:
#1: Sørg for risikovurderinger
Du og den øvrige bestyrelse bør mindst én gang om året – og så ofte det ellers er nødvendigt – modtage og vurdere en opdateret risikovurdering inden for cybersikkerhed.
I bør basere risikovurderingen på organisationens:
- Vigtigste aktiver
- IT-systemer
- Forretningsmodel
- Største sårbarheder
- Sandsynlige trusler
- Potentielle tab ved angreb
- Konkurrenceevne og mulige påvirkninger af denne
#2: Beslut risikoappetit
Bestyrelsen bør mindst én gang om året – og så ofte det ellers er nødvendigt – lægge virksomhedens cybersikkerhedsstrategi, herunder risikoappetit.
I strategien bør I tage højde for jeres:
- Overordnede forretningsstrategi
- Forretningsmål
- IT-infrastruktur
- Generelle risikoappetit
- Sikkerhedsbudget
- Villighed til at investere
#3: Sørg for politikker, processer og parathed
I bestyrelsen bør I sikre og løbende kontrollere, at cybersikkerhedsstrategien er ‘oversat’ i politikker, processer og forretningsgange, så jeres medarbejdere kan efterleve strategien i det daglige.
Du og den øvrige bestyrelse bør også sikre og løbende kontrollere, at organisationen har implementeret tilstrækkelig cyberhygiejne, herunder en relevant backup, der løbende er testet.
Sidst, men ikke mindst, bør I sørge for, at organisationen har en nød- og kommunikationsplan, så I er forberedte og modstandsdygtige overfor et eventuelt hackerangreb eller strømsvigt.
#4: Sørg for rapportering
Bestyrelsen skal have cybersikkerhed som en fast opgave på årshjulet på lige fod med andre vigtige risici.
I bør også prioritere at diskutere cybersikkerhed hver gang, I mødes, og sikre, at I får rapportering inden mødet om:
- Det aktuelle trusselsbillede
- Hændelser
- Resultater af sikkerhedstest
- Awareness- og træningsaktiviteter
- Gennemgange af tilsyn
#5: Hav processer for intern awareness og træning
Både jeres bestyrelse og direktion bør holde viden og knowhow indenfor cybersikkerhed up to date.
Det kan I sikre ved at tage kurser, hvor I lærer at forstå og vurdere cybersikkerhedsrisici, og hvor I dykker ned i praksisser til at administrere og beskytte jeres informationssystemer og data mod cybertrusler i den daglige drift.
For at leve op til minimumskravet i NIS2 bør I også tilbyde awareness og træning indenfor cybersikkerhed til organisationens øvrige relevante medarbejdere.
Det er også vigtigt, at bestyrelsen og den daglige ledelse ‘practice what you preach’ ved at bakke op om en stærk cybersikkerhedskultur.
#6: Sørg for god governance
Det er dit og den øvrige bestyrelses ansvar at sørge for, at I har den fornødne viden og erfaring indenfor risikostyring af IT- og cyberrisici.
Bestyrelsen bør også sikre, at den sikkerhedsansvarlige i jeres organisation sidder i direktionen og rapporterer direkte til jer.
Desuden bør bestyrelsen sikre, at jeres organisation fører kontrol indenfor risikostyring på flere niveauer, uafhængigt af hinanden, for at styrke cybersikkerheden.
I kan fx have tre ‘lines of defense’, hvor der i første kontrollinje kan sidde en outsourcing-ansvarlig eller en medarbejder eller en afdeling med ansvar for jura/kontrakter. I anden kontrollinje kan der sidde afdeling eller medarbejder, som er ansvarlig for compliance (fx en DPO), og i tredje kontrollinje kan I fx have intern revision.
Har du brug for mere eksperthjælp til at forstå NIS2-reglerne og -forpligtelserne for bestyrelsesmedlemmer? Ræk endelig ud til os.
