Konsekvensene av å ignorere EU-kravene kan bli større enn mange ledere vet.

NIS2 innfører et nytt nivå av ansvar for ledere og styremedlemmer. Dette er ikke lenger et teknisk regelsett – det er et styringskrav med direkte, personlige konsekvenser. Direktivet er helt tydelig: ledelsen kan holdes ansvarlig for manglende sikkerhetsstyring, manglende risikovurdering og manglende oppfølging av sikkerhetstiltak.

Dette betyr at svikt ikke lenger kun treffer organisasjonen.
Det treffer deg – på tittel, ansvar, omdømme og i verste fall økonomisk.

1. Det personlige ansvaret: “Jeg visste ikke” er ikke lenger en strategi

NIS2 legger eksplisitt ansvar på styret og toppledelsen for:

• å sørge for at riktig sikkerhet er etablert
• å godkjenne og føre tilsyn med risikostyring, sikkerhetstiltak og beredskap
• å gjennomføre opplæring og beholde nødvendig kompetanse
• å kunne dokumentere beslutninger og prioriteringer
• å håndtere hendelser innen regulatoriske tidsfrister

Ved manglende etterlevelse kan ledelsen holdes personlig ansvarlig for:

• alvorlige brudd på styringsplikten
• manglende kontroll og tilsyn
• feilprioriteringer som fører til hendelser
• unnlatelser som øker risikoen

Konsekvensene blir fort

• personlig ansvar
  – ledelsen holdes personlig ansvarlig for feil prioriteringer
• karrieremessige konsekvenser
  – brudd på NIS2 kan føre til utestengelse fra lederroller i EU/EØS.
• erstatningskrav ved uaktsomhet
  – I NIS2-regimet er “jeg visste ikke” en risikofaktor i seg selv – og en potensiell økonomisk belastning direkte på lederens egne skuldre
• tap av tillit og posisjon
  -manglende kontroll på sikkerhet betyr tap av tillit – tillit er selve grunnlaget for enhver lederrolle.
• stans i levering av tjeneste
  -Et NIS2-brudd kan gi umiddelbart pålegg om stans i tjenester – og da stopper virksomheten der og da.

EU gjør det krystallklart: toppledere skal ikke kunne skyve ansvaret nedover i linjen.

2. Konsekvensene for virksomheten

NIS2 begrenser ikke konsekvensene til bøter. Direktivet er designet for å sikre nasjonal stabilitet og europeisk digital motstandskraft. Av den grunn er konsekvensregimet betydelig kraftigere enn mange er forberedt på.

A. Alvorlige økonomiske sanksjoner

Kravene gir medlemsstatene anledning til å innføre høye bøter for avvik, på nivå med GDPR-regimet:

• Opp til 10 millioner euro, eller
• 2 % av global årlig omsetning
  – avhengig av hva som er høyest.

Dette rammer direkte virksomhetens kapital, investeringsmuligheter og finansielle forutsetninger.

B. Tilsyn, revisjoner og pålegg – med kort frist

Ved hendelser eller mistanke om manglende sikkerhet kan tilsynet:

• gjennomføre stedlige kontroller
• kreve øyeblikkelig dokumentasjon
• pålegge korrigerende tiltak
• utstede driftsbegrensninger
• gi ordre om midlertidig stans i tjenester

Det er ikke opp til virksomheten å “finne en løsning senere”. Fristene er korte, og dokumentasjonen må allerede være på plass.

C. Påvirkning på leverandørkjeder og kontrakter

NIS2 gjør virksomheten ansvarlig for egen leverandørkjede.
Dersom man ikke kan dokumentere sikkerhet:

• mister man anbud
• får avslag i kontraktsforhandlinger
• risikerer utestengelse fra kritiske kunder
• kan bli klassifisert som “høy risiko” og miste markedsposisjon

I flere bransjer blir etterlevelse et faktisk konkurransekrav.

D. Omdømmetap og svekket tillit

For styret og ledergruppen kan omdømmetap etter en NIS2-relevant hendelse være mer skadelig enn de økonomiske konsekvensene. Tillit er kapital. Dersom det svikter, påvirker det:

• relasjonen til kunder
• investorers vurderinger
• markedets modenhet
• styringsposisjon
• rekruttering
• ansatterelasjoner

Tillit som først er tapt, kommer sjelden tilbake i samme form.

E. Drift, teknologi og operasjonell stabilitet

NIS2 stiller krav til:

• kontinuerlig risikovurdering
• hendelseshåndtering innen stramme tidsfrister
• dokumentert beredskap
• tekniske og organisatoriske kontroller
• rapportering av alvorlige hendelser
• robust leverandørstyring
• sikkerhetsstyring integrert i virksomhetens strategi

Når dette ikke er på plass, kan konsekvensene være:

• systemnedetid
• tap av data
• tap av tjenester
• store gjenopprettingskostnader
• brudd på kundekrav
• operasjonelle forstyrrelser

Mange virksomheter oppdager først risikoen når den allerede har materialisert seg. Da er det for sent.

3. Dette mener EU du skal ha på plass – som leder og styre

NIS2 krever at ledelsen:

• etablerer styring for informasjonssikkerhet
• godkjenner virksomhetens risikostyringsrammeverk
• sørger for at nødvendige ressurser settes av
• følger opp implementering
• dokumenterer prioriteringer og beslutninger
• kan bevise at opplæring gjennomføres
• tar ansvar for hendelser og rapportering

Alt dette skal dokumenteres, være revisjonsbart og kunne vises til tilsyn.

4. Dette betyr NIS2 for deg som leder – i realiteten

• Du kan ikke delegere bort ansvaret.
• Det er du som må stille krav – ikke vente på at IT gjør det.
• Du må kunne dokumentere beslutningene dine.
• Du må forstå risiko, ikke bare få risiko “presentert”.
• Og du må kunne bevise at virksomheten har kontroll.

5. Når usikkerhet koster mer enn sikkerhet

Å vente gjør risikoen større.
Å ignorere øker ansvarseksponeringen.
Å anta at “vi har nok kontroll” er ikke lenger godt nok.

NIS2 handler om styring.
Styring handler om ledelse.
Og ledelse innebærer ansvar.

Berigo hjelper styret og ledelsen å ta kontroll – før krisen kommer

Vi bistår med:

• NIS2-gap-analyse og konsekvensvurdering
• risikostyringsmodeller som tilfredsstiller direktivet
• styringsstrukturer og governance
• rapportering og dokumentasjon
• implementering av nødvendige kontroller
• leder- og styrebriefs
• beredskap og hendelseshåndtering
• opplæring av toppledelse og styre (obligatorisk etter NIS2)
• leverandørstyring og kontraktsfestede krav
• kontinuerlig oppfølging

Vår jobb er å sørge for at du:

• slipper personlige konsekvenser
• står stødig i revisjon
• møter krav fra EU, kunder og markedet
• har et styringssystem som fungerer i praksis
• reduserer risiko før den blir kritisk