Ledningens personliga ansvar under NIS2
Den nya cybersäkerhetslagen skärper kraven på styrelse och ledning. Här förklarar vi vad det innebär i praktiken och hur ni förbereder er.
En ny verklighet för ledningsgrupper
NIS2-direktivet, som implementeras i svensk rätt genom Cybersäkerhetslagen, innebär en fundamental förändring av hur cybersäkerhet hanteras i organisationer. Det som tidigare kunde delegeras till IT-avdelningen är nu en explicit ledningsfråga.
Vad säger lagen?
Enligt direktivet ska ledningsorgan:
- Godkänna riskhanteringsåtgärder för cybersäkerhet
- Övervaka genomförandet av dessa åtgärder
- Genomgå utbildning för att förstå och bedöma cyberrisker
- Kunna hållas ansvariga vid överträdelser
Personligt ansvar – inte bara bolagsansvar
Det som skiljer NIS2 från tidigare regelverk är att ansvaret är personligt. En styrelseledamot kan inte längre hänvisa till bristande teknisk kompetens eller att frågan delegerats.
"Ledamöter i ledningsorgan ska kunna ställas till svars för åsidosättande av skyldigheterna"
— NIS2-direktivet, artikel 20
Tre steg för att förbereda er
1. Kartlägg nuläget
Börja med att förstå vilka verksamheter som omfattas av lagen och vilka krav som gäller specifikt för er.
2. Utbilda ledningen
Se till att styrelse och ledningsgrupp har tillräcklig förståelse för cyberrisker och säkerhetsarbete.
3. Implementera styrning
Upprätta processer för löpande rapportering och uppföljning av cybersäkerhetsarbetet på ledningsnivå.
Slutsats
NIS2 är inte bara ett tekniskt regelverk – det är en governance-fråga. Organisationer som tidigt etablerar rätt strukturer kommer att stå bättre rustade, både regulatoriskt och operativt.