Den nye NIS 2-lov og bestyrelsens arbejde med cybersikkerhed

Undersøgelser fra Styrelsen for Samfundssikkerhed viser, at 40% af danske SMV’er ikke har et digitalt sikkerhedsniveau, som matcher deres risikoprofil, selvom 60% af dem slet ikke eller kun i lav grad vil kunne udføre deres kerneopgaver uden adgang til interne centrale IT-systemer. Samme andel ses hos store selskaber med 250+ ansatte.

Det er derfor afgørende, at bestyrelsen bruger tid og ressourcer på at forstå, imødegå og forebygge cybertrusler. I denne artikel introducerer vi den nye NIS 2-lov og stiller skarpt på bestyrelsens arbejde med cybersikkerhed.

1. NIS 2-loven og dens anvendelsesområde

EU’s net- og informationssikkerhedsdirektiv – også kendt som ”NIS 2” – er netop blevet im-plementeret i dansk ret ved ”NIS 2-loven”, der trådte i kraft den 1. juli 2025. Loven omfatter en række samfundskritiske sektorer som fx fødevarer, sundhed, transport og fremstilling. For så vidt angår energi-, tele-, og finanssektorerne, vil implementeringen af NIS 2-direktivet ske ved særskilt lovgivning.

NIS 2-loven opdeler de omfattede selskaber i henholdsvis ”væsentlige enheder” og ”vigtige enheder” alt efter deres kritiske betydning og størrelse. Selvom loven omfatter alle juridiske personer med CVR-nummer, er kapitalselskaber fokus for denne artikel. ”Væsentlige enhe-der” er bl.a. selskaber i de omfattede sektorer med mere end 250 ansatte eller en årlig om-sætning på over EUR 50 mio. og en årlig samlet balance på over EUR 43 mio. ”Vigtige enhe-der” er selskaber i de omfattede sektorer med over 50 ansatte eller en årlig omsætning på over EUR 10 mio. og en årlig samlet balance på over EUR 10 mio.

Lovens krav til de to kategorier af selskaber er som udgangspunkt ens, men sondringen vil dog have betydning, for hvordan der fra myndighedernes side føres tilsyn med selskaberne samt for sanktionsmulighederne.

2. Hvad med selskaber, der ikke er omfattet af lovreguleringen?

Styrelsen for Samfundssikkerhed vurderer, at omkring 300.000 danske selskaber ikke vil blive omfattet af NIS 2-lovgivningen, enten på grund af deres størrelse eller fordi de ikke tilhører de kritiske sektorer, som lovgivningen omfatter. For så vidt angår SMV’er, viser Styrelsens undersøgelser, at under halvdelen (40%) af ledelserne i de danske SMV’er i høj grad tager stilling til virksomhedernes it-sikkerhedsmæssige aktiviteter, mens 17% slet ikke eller kun i lav grad tager stilling hertil.

Da NIS 2-lovens standarder forventes at opnå status som ”best practice” i erhvervslivet, er de af stor relevans for bestyrelser i ikke-omfattede selskaber. Derudover vil mange selskaber, som er leverandører eller underleverandører til NIS 2-selskaber, opleve, at de omfattede selskaber, ud fra en risikobaseret tilgang til cybersikkerhed, stiller kontraktuelle og kommercielle krav til deres forretningspartnere om overholdelse af sikkerhedskrav. Ét af de elementer, som selskaber omfattet af NIS 2-loven skal tage hensyn til i deres sikkerhedsarbejde, er nemlig forsyningskædesikkerhed. Det betyder, at NIS 2-selskaberne skal vurdere sikkerhedsrelaterede aspekter i forholdet mellem dem selv og deres leverandører eller tjenesteudbydere.

Bestyrelsen i et ikke-lovreguleret selskab bør derfor orientere sig i de lovkrav, der gælder for omfattede selskaber, og overveje at følge standarderne på frivillig basis.

3. Bestyrelsens pligter

3.1 Cybersikkerhed som en del af arbejdet med risikostyring

Selskabets cybersikkerhed er bestyrelsens ansvar, og arbejdet hermed skal ses i forlængelse af de opgaver, som bestyrelsen har med risikostyring ifølge selskabsloven (som du kan læse mere om her). Bestyrelsen kan derfor med fordel implementere cybersikkerhed som en fast del af sit årshjul på linje med øvrige væsentlige risici og/eller tilføje cybersikkerhed som et fast punkt på bestyrelsesmødernes dagsorden.

3.2 Bestyrelsens godkendelses- og tilsynspligt

Ifølge NIS 2-loven skal et omfattet selskab træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i de net- og informationssystemer, som selskabet anvender i sine aktiviteter. Foranstaltningerne skal også forebygge sikkerhedsbrud i forhold til selskabets kunder, forretningspartnere mv.

Foranstaltningerne skal som minimum omfatte følgende:

1. Politikker for risikoanalyse og informationssystemsikkerhed;
2. Håndtering af hændelser;
3. Driftskontinuitet, herunder backupstyring og reetablering efter en katastrofe og krisestyring;
4. Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem det enkelte selskab og dets direkte leverandører eller tjenesteudbydere;
5. Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder;
6. Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici;
7. Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse;
8. Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering;
9. Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver; og
10. Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt hos selskabet, hvor det er relevant.

Bestyrelsen skal godkende de trufne foranstaltninger og har i øvrigt pligt til at føre tilsyn med gennemførelsen. Godkendelsespligten indebærer en stillingtagen til, hvad der udgør et passende sikkerhedsniveau for selskabets net- og informationssystemer set i forhold til selskabets risikoeksponering og den samfundsmæssige betydning af de tjenester og services, som selskabet leverer. Tilsynspligten kan fx varetages gennem periodiske ledelsesrapporter eller gennem revision med dertilhørende rapportering.

3.3 Uddannelse

Bestyrelsesmedlemmer i et omfattet selskab skal desuden deltage i relevante kurser om styring af cybersikkerhedsrisici og tilskynde til, at tilsvarende kurser tilbydes til selskabets ansatte. Der er ikke nogen direkte krav til, hvilke kurser bestyrelsen skal deltage i, men det kunne være generelle kurser om cyber- og informationssikkerhed eller ledelseskurser hhv. workshops om styring af cyber- og informationssikkerhedsrisici. Alternativt kan selskabet afholde egne interne kurser og seminarer. Det vil formentlig være et krav, at gennemførel-sen af de valgte uddannelsesaktiviteter kan dokumenteres – fx ved et kursusbevis.

3.4 Mulighed for delegation

Bestyrelsen kan vælge at etablere et cyber- og informationssikkerhedsudvalg, revisionsud-valg eller lignende med repræsentanter fra bestyrelsen, og derefter uddelegere opgaver med selskabets cybersikkerhed til dette udvalg. Det er dog vigtigt at være opmærksom på, at det fortsat vil være den samlede bestyrelse, der kollektivt har ansvaret for, at selskabet lever op til forpligtelserne i NIS 2-loven.

4. Bestyrelsen kan sanktioneres for manglende overholdelse af loven

I tilfælde hvor et selskab ikke har efterkommet advarsler, instrukser, påbud eller andre håndhævelsesforanstaltninger taget i forbindelse med forsømmelse af pligterne i NIS 2-loven, kan myndighederne som en sidste udvej midlertidigt forbyde personer med ledelses-ansvar på niveau med som minimum en administrerende direktør at udøve ledelsesfunktio-ner i det pågældende selskab. Der er tale om en midlertidig sanktionsmulighed, som kun kan anvendes, indtil selskabet afhjælper de mangler eller opfylder de krav, der ligger til grund for forbuddet.

For så vidt angår selskabet, kan dette idømmes strafansvar og pålægges bøde for manglen-de overholdelse af NIS 2-loven.

5. Skal vi hjælpe dig?

Hvis du har spørgsmål til bestyrelsens arbejde med cybersikkerhed, NIS 2-loven eller andet i denne artikel, er du meget velkommen til at kontakte Holst, Advokater.