Sveriges regerings utredning kring NIS2 har lagt fram förslaget om ”Lag om cybersäkerhet” i vilken ingripande och sanktioner inkluderar möjligheten till ledningsförbud, indirekt näringsförbud i berört bolag, för personer i företagets ledning.
I allt arbete med informations- och cybersäkerhet har ledningen ett ytterst ansvar att säkerställa att resurser finns och prioriteringar är beslutade och kommunicerade, utöver detta behöver ledningen följa upp arbetet samt i vissa frågor aktivt delta i beslut.
Detta har getts en ytterligare vikt i lagförslaget för NIS2, där krav även finns på ledningens kompetens inom området för informations- och cybersäkerhet. Vilket regleras i kap 3 paragraf 3:
”3 § Ledningen i enskilda och offentliga verksamheter ska genomgå utbildning om riskhanteringsåtgärder och anställda ska erbjudas sådan utbildning. Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om utbildning.”
Som ledare för ett bolag som faller inom kategorierna för NIS2, se vår artikel om NIS2 för mer detaljer, behöver ledningen säkerställa minst följande:
Ansvaret för ledningen är löpande, dvs att ett etablerat ledningssystem för informationssäkerhet måste underhållas samt även verifieras att det efterlevs. Ledningen bör även säkerställa att de har en fullgod kunskap om hela lagen om cybersäkerhet.
Tillsynsmyndigheterna har ansvar att göra ingripande, vilka inte behöver föregås av en incident utan likväl kan göras om ett företag underlåter att registrera sig hos tillsynsmyndighet, underlåter sig att genomföra utbildning m.m, föreslagen lagtext är enligt följande:
”1 § Tillsynsmyndigheten ska ingripa om en verksamhetsutövare har åsidosatt sina skyldigheter enligt denna lag, eller föreskrifter som har meddelats med stöd av bestämmelserna om
Vid ingripande kan sanktioner sättas in, vilka kan förenas med sanktionsavgifter enligt
”13 § Sanktionsavgiften ska för väsentliga verksamhetsutövare bestämmas till lägst 5 000 kr och högst till det högsta av:
Sanktion kan även innebära att näringsförbud upprättas för enskilda individer i företagets ledning i enlighet med:
“8 § Om ett föreläggande enligt 6 § inte följts får tillsynsmyndigheten ingripa mot en person som ingår i verksamhetsutövarens ledning. Ingripande sker genom att tillsynsmyndigheten ansöker hos allmän förvaltningsdomstol om att en person inte ska få vara befattningshavare hos en viss verksamhetsutövare (förbud). Ett sådant ingripande får riktas mot den som är befattningshavare enligt 3 § andra stycket lagen (2014:836) om näringsförbud. Ett ingripande får endast göras om överträdelsen som ligger till grund för föreläggandet är allvarlig och om personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.”
En sådan långtgående sanktion som näringsförbud ska endast göras vid extrema fall, där framtida rättsliga prövningar kommer påvisa vilken nivå av oaktsamhet eller ignorans att följa lagen om cybersäkerhet som krävs för att denna nivå av sanktion skall uppstå.
Även om det endast är ledningsförbud, dvs att ej få vara ledare i berört bolag, blir det indirekt nästan lika långtgående konsekvenser som näringsförbud.
Cegals konsulter inom informations- och cybersäkerhet kan stötta er i arbetet med att etablera LIS, antingen genom att ta ett helhetsansvar och driva arbetet med er, eller som stöd i specifika delar av etableringen av LIS. Cegals experter kan även stödja företagsledning i de utbildningsinsatser som krävs för ledningen inom ramen för NIS2.
Cegals hälsocheck av redan etablerat LIS ger er en extern bild av hur ert LIS mår, där kontroll görs av både LIS samt även organisationens efterlevnad för utvalda delar av LIS.