Personligt ledningsansvar enligt NIS2 och vad styrelsen måste göra.
En av de största förändringarna med NIS2 är att cybersäkerhetsansvaret flyttas från IT-avdelningen till ledningsgruppen. Det är inte en informell uppmaning utan ett uttryckligt krav i direktivet: ledningen är personligt ansvarig för att de riskhanteringsåtgärder som krävs enligt artikel 21 genomförs och följs upp. Det här är en skarp markering som många styrelser och ledningsgrupper ännu inte tagit in på allvar.
Jag arbetar med NIS2-efterlevnad och ledningsförankring inom cybersäkerhet och compliance. Min erfarenhet är att många ledningsgrupper behandlar cybersäkerhet som en teknisk fråga som delegeras till IT-chefen, men NIS2 gör den till en styrningsfråga som kräver aktiva beslut på högsta nivå. Skillnaden är densamma som när GDPR infördes: ansvaret kan delegeras i det operativa, men det juridiska och personliga ansvaret kan inte delegeras bort.
Vad personligt ansvar innebär enligt NIS2
NIS2 artikel 20 slår fast att ledningsorganen är ansvariga för att godkänna och övervaka riskhanteringsåtgärderna, och att bristande efterlevnad kan leda till personliga sanktioner. Det innebär att en styrelseledamot eller VD personligen kan hållas ansvarig om bolaget inte uppfyller kraven, oavsett om det tekniska arbetet delegerats till en säkerhetschef.
Det personliga ansvaret är ingen teoretisk konstruktion. Flera EU-länder har redan börjat tillämpa motsvarande principer i nationell lagstiftning, och den svenska cybersäkerhetslagen bygger på samma grund. För ledningsgrupper som tidigare kunnat hänvisa till att "IT sköter det" innebär det här ett skifte. Cybersäkerhet måste nu upp på varje ledningsmöte, inte som en punkt bland andra utan som en strategisk fråga med samma tyngd som ekonomi och personal.
Skillnad mot GDPR
Många jämför med GDPR, och likheten finns, men det finns viktiga skillnader. Under GDPR är det den personuppgiftsansvarige organisationen som bär huvudansvaret, och böterna riktas mot företaget. NIS2 går steget längre och gör ledande befattningshavare personligt ansvariga, med möjlighet till sanktioner som träffar individen direkt. Det är en skärpning som speglar att cybersäkerhet nu ses som en samhällskritisk funktion, inte bara en dataskyddsfråga.
En annan skillnad är att NIS2:s sanktioner för väsentliga entiteter kan uppgå till 10 miljoner euro eller 2 procent av den globala årsomsättningen, och för viktiga entiteter 7 miljoner euro eller 1,4 procent. Därtill kommer möjligheten till personliga sanktioner mot ledande befattningshavare, som kan inkludera böter och i allvarliga fall näringsförbud. Det är en avsevärd skärpning jämfört med de flesta tidigare nationella regelverk.
Vilka roller omfattas
Det personliga ansvaret omfattar i första hand verkställande direktör, styrelseledamöter och andra ledande befattningshavare som fattar beslut om riskhantering och resursallokering. Exakt vilka titlar som omfattas avgörs av nationell lagstiftning, men principen är tydlig: den som har mandat att fatta beslut om säkerheten har också ett personligt ansvar för att besluten fattas och att de är tillräckliga.
Här gör jag mid-vägs alltid en genomgång av vem i ledningen som faktiskt fattar besluten om säkerhet idag, och om det finns en tydlig ansvarsfördelning. I många bolag är ansvaret vagt, vilket blir en risk när tillsynsmyndigheten börjar ställa frågor. Vill ni ha den gjord ingår det i cybersäkerhetsuppdraget.
Sanktionsnivåer och exempel
Sanktionerna för ledningspersoner kan variera mellan EU-länderna, men den svenska implementeringen ger möjlighet till betydande personliga böter. I allvarliga fall kan det handla om näringsförbud. Det är viktigt att förstå att sanktioner inte bara utlöses av en allvarlig incident, utan också av systematisk brist på efterlevnad. Om en ledningsgrupp medvetet eller genom oaktsamhet underlåtit att vidta rimliga åtgärder kan ansvar utkrävas även om ingen större incident inträffat.
Det här är en av de punkter där jag ser störst skillnad mellan bolag som är förberedda och de som inte är det. Ett bolag som kan visa dokumenterade, regelbundna ledningsbeslut om cybersäkerhet, riskanalyser, åtgärdsplaner och uppföljning, har ett starkt skydd. Ett bolag som inte har några sådana dokument alls är exponerat. Skillnaden i praktiken är ofta bara några timmars strukturerat arbete per kvartal, och den insatsen är den bästa försäkringen mot personligt ansvar.
Checklista för ledningsgruppen
- Genomför en NIS2-gap-analys på ledningsnivå, inte bara teknisk, så att ni förstår era risker.
- Besluta om riskaptit och ambitionsnivå för cybersäkerhetsarbetet och dokumentera beslutet.
- Sätt av resurser för att täppa de identifierade luckorna, både personal och budget.
- Inför återkommande säkerhetsrapportering på ledningsagendan, minst kvartalsvis.
- Dokumentera alla beslut så att ni kan visa ett aktivt ledningsansvar vid tillsyn.
Det här överlappar med den operativa checklistan i NIS2 artikel 21 i praktiken, men med ett tydligare ledningsperspektiv. Poängen är att ledningen måste kunna visa att den aktivt styrt och fattat medvetna beslut.
Hur man skyddar sig som ledningsperson
Det bästa skyddet är att kunna visa ett aktivt, dokumenterat och systematiskt säkerhetsarbete. Det innebär protokollförda beslut om riskaptit, regelbunden uppföljning av åtgärdsplaner och en tydlig ansvarsfördelning. Det innebär också att ni bör ha en extern granskning av ert NIS2-arbete med jämna mellanrum, så att ni inte är beroende av en intern självbild som kanske inte stämmer med verkligheten.
En annan viktig aspekt är försäkring. Många ansvarsförsäkringar för styrelseledamöter och VD har redan börjat ställa frågor om NIS2-efterlevnad vid förnyelse. Om ni inte kan visa ett strukturerat arbete riskerar ni att försäkringsskyddet för personligt ansvar försämras eller uteblir vid en incident. Det är ytterligare en anledning för ledningen att ta frågan på allvar, inte bara för compliance utan för rent personligt riskskydd.
Var jag brukar börja
Börja med en ledningsgenomgång där vi går igenom vad NIS2:s personliga ansvar faktiskt betyder för just er styrelse och ledningsgrupp. Många blir förvånade över bredden i ansvaret, men också över hur hanterbart det är när man väl börjar dokumentera beslut och följa upp systematiskt. Se hur jag lägger upp ledningsgenomgångar i kundcase.
Relaterat
- NIS2 – så påverkas just ditt företag beroende på sektor
- Incidentrapportering enligt NIS2 – steg-för-steg från upptäckt till avslut
- NIS2-compliance – så hjälper jag ert bolag
Vill du ta det vidare?
Jag hjälper svenska ledningsgrupper att förstå och hantera det personliga ansvaret enligt NIS2, med dokumenterade beslut och strukturerad uppföljning. Boka ett samtal så går vi igenom er situation.
“NIS2 gör ledningen personligt ansvarig för cybersäkerheten. Ansvaret kan delegeras operativt, men det juridiska ansvaret kan inte delegeras bort.”
- Simon Axelsson
Vanliga frågor
- Kan jag som styrelseledamot bli personligt ansvarig för en cyberincident?
- Ja, om det kan visas att ledningsorganet inte vidtagit de riskhanteringsåtgärder som krävs enligt NIS2. Ansvaret är personligt och kan leda till sanktioner som böter eller i allvarliga fall näringsförbud. Det bästa skyddet är dokumenterade, aktiva beslut om säkerhetsarbetet.
- Skillnaden mot GDPR?
- GDPR riktar i första hand sanktioner mot organisationen, inte mot individer i ledningen. NIS2 går längre och gör ledande befattningshavare personligt ansvariga, med möjlighet till sanktioner som träffar individen direkt. Det är en betydande skärpning.
- Måste cybersäkerhet upp på varje ledningsmöte?
- Återkommande, dokumenterad uppföljning är rekommenderad för att visa ett aktivt ledningsansvar. Minst kvartalsvis är en bra utgångspunkt, men vid pågående riskarbete kan månatlig avstämning vara motiverad. Det viktiga är att det finns en rytm och att besluten protokollförs.
- Vad bör vi som ledningsgrupp göra först?
- Börja med en ledningsgenomgång av NIS2:s krav och ert nuvarande ansvar. Därefter: gap-analys, beslut om riskaptit och resurser, och inför återkommande säkerhetsrapportering på agendan. Och dokumentera varje steg på vägen, det är ert bevis på aktivt ansvarstagande.
Simon Axelsson är senior IT-konsult och grundare av SIAX Technology AB. Han hjälper nordiska företag med molninfrastruktur, dataplattformar och AI-automation.
Fler artiklar
