NIS2 kan leda till näringsförbud för dig som företagsledare!

Daniel Andersson Senior Information Security Consultant, Cegal Sweden. Daniel har lång erfarenhet inom informationssäkerhet och är Certified Information Security Manager (CISM) samt certifierad Cybersecurity Practitioner (CSX-P). Med bakgrund inom både teknik och ledarskap har Daniel en bred syn på dagens utmaningar och dess olika lösningar.

03/19/2024 |

Hur kan du som företagsledare undvika att NIS2 leder till att du får ledningsförbud som individ? Vi reder ut varför NIS2 har dessa krav och hur ni kommer igång med arbetet med NIS2.

Sveriges regerings utredning kring NIS2 har lagt fram förslaget om ”Lag om cybersäkerhet” i vilken ingripande och sanktioner inkluderar möjligheten till ledningsförbud, indirekt näringsförbud i berört bolag, för personer i företagets ledning.

Ledningens ansvar

I allt arbete med informations- och cybersäkerhet har ledningen ett ytterst ansvar att säkerställa att resurser finns och prioriteringar är beslutade och kommunicerade, utöver detta behöver ledningen följa upp arbetet samt i vissa frågor aktivt delta i beslut.

Detta har getts en ytterligare vikt i lagförslaget för NIS2, där krav även finns på ledningens kompetens inom området för informations- och cybersäkerhet. Vilket regleras i kap 3 paragraf 3:

”3 § Ledningen i enskilda och offentliga verksamheter ska genomgå utbildning om riskhanteringsåtgärder och anställda ska erbjudas sådan utbildning. Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om utbildning.”

Ledningens uppgifter

Som ledare för ett bolag som faller inom kategorierna för NIS2, se vår artikel om NIS2 för mer detaljer, behöver ledningen säkerställa minst följande:

Säkerställa att verksamheten registrerar sig hos berörd(a) tillsynsmyndigheter att verksamheten faller under lagen om cybersäkerhet.
Etablera systematiskt och riskbaserat informationssäkerhetsarbete, att etablera Ledningssystem för Informationssäkerhet (LIS/ISMS) är ett första steg för att arbeta systematiskt. Etablerat ledningssystem skall minst beakta alla krav i lagen om cybersäkerhet.
Inom ramen för LIS säkerställa att tekniska, driftsrelaterade och organisatoriska riskhanteringsåtgärder vidtas för skydd mot incidenter, dessa baserade på verksamhetens riskanalys.
Inom ramen för LIS säkerställa att incidenter hanteras och att korrekt incidentrapportering genomförs till berörda myndigheter i enlighet med satta lagkrav.

Ansvaret för ledningen är löpande, dvs att ett etablerat ledningssystem för informationssäkerhet måste underhållas samt även verifieras att det efterlevs. Ledningen bör även säkerställa att de har en fullgod kunskap om hela lagen om cybersäkerhet.

Ingripande och sanktioner

Tillsynsmyndigheterna har ansvar att göra ingripande, vilka inte behöver föregås av en incident utan likväl kan göras om ett företag underlåter att registrera sig hos tillsynsmyndighet, underlåter sig att genomföra utbildning m.m, föreslagen lagtext är enligt följande:

”1 § Tillsynsmyndigheten ska ingripa om en verksamhetsutövare har åsidosatt sina skyldigheter enligt denna lag, eller föreskrifter som har meddelats med stöd av bestämmelserna om

skyldighet att utse företrädare enligt 1 kap. 6 §,
anmälningsskyldighet enligt 2 kap. 2 §,
riskhanteringsåtgärder enligt 3 kap. 1 §,
utbildning enligt 3 kap. 3 §, eller
incidentrapportering enligt 3 kap. 5–7 §§.”

Vid ingripande kan sanktioner sättas in, vilka kan förenas med sanktionsavgifter enligt

”13 § Sanktionsavgiften ska för väsentliga verksamhetsutövare bestämmas till lägst 5 000 kr och högst till det högsta av:

Två procent av den väsentliga verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår, eller
10 000 000 euro.”

Sanktion kan även innebära att näringsförbud upprättas för enskilda individer i företagets ledning i enlighet med:

“8 § Om ett föreläggande enligt 6 § inte följts får tillsynsmyndigheten ingripa mot en person som ingår i verksamhetsutövarens ledning. Ingripande sker genom att tillsynsmyndigheten ansöker hos allmän förvaltningsdomstol om att en person inte ska få vara befattningshavare hos en viss verksamhetsutövare (förbud). Ett sådant ingripande får riktas mot den som är befattningshavare enligt 3 § andra stycket lagen (2014:836) om näringsförbud. Ett ingripande får endast göras om överträdelsen som ligger till grund för föreläggandet är allvarlig och om personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.”

En sådan långtgående sanktion som näringsförbud ska endast göras vid extrema fall, där framtida rättsliga prövningar kommer påvisa vilken nivå av oaktsamhet eller ignorans att följa lagen om cybersäkerhet som krävs för att denna nivå av sanktion skall uppstå.

Även om det endast är ledningsförbud, dvs att ej få vara ledare i berört bolag, blir det indirekt nästan lika långtgående konsekvenser som näringsförbud.

Cegal och NIS2

Cegals konsulter inom informations- och cybersäkerhet kan stötta er i arbetet med att etablera LIS, antingen genom att ta ett helhetsansvar och driva arbetet med er, eller som stöd i specifika delar av etableringen av LIS. Cegals experter kan även stödja företagsledning i de utbildningsinsatser som krävs för ledningen inom ramen för NIS2.      

Cegals hälsocheck av redan etablerat LIS ger er en extern bild av hur ert LIS mår, där kontroll görs av både LIS samt även organisationens efterlevnad för utvalda delar av LIS.