NIS2 för ledningen: Ansvar, sanktioner och personligt ansvar

NIS2 för ledningen: Ansvar, sanktioner och personligt ansvar

Lucas Rosvall

Lucas Rosvall

·

Den 15 januari 2026 trädde cybersäkerhetslagen (CSL) i kraft i Sverige - och med den ett tydligt budskap till styrelser och VD: ni äger nu frågan.

NIS2-direktivet är inte ett regelverk som delegeras till IT. Det är ett juridiskt ramverk som lägger direkt ansvar på ledningsnivå - med konkreta sanktioner om ni inte lever upp till kraven.

Det stora skiftet: Från IT-fråga till affärsrisk

I det tidigare NIS-direktivet var kraven ofta otydliga för ledningen. NIS2 ändrar på detta genom Artikel 20 (Styrning). Budskapet är nu glasklart: ledningen kan inte längre lämna över hela ansvaret till IT-chefen. Ni måste aktivt styra, godkänna och följa upp verksamhetens säkerhetsåtgärder.

Att inte känna till riskerna är inte längre en giltig ursäkt. Enligt NIS2 ska ledningen ha tillräcklig kunskap för att kunna bedöma risker. Ni måste kunna fatta beslut om rätt investeringar i säkerhet.

Vad säger Artikel 20? Tre krav på ledningen

NIS2 ställer tre specifika krav på er som leder organisationen (styrelse och VD):

  1. Godkänna: Ledningen måste godkänna de åtgärder som vidtas för att hantera risker.
  2. Övervaka: Ni ska följa upp hur åtgärderna införs och fungerar.
  3. Utbilda: Ledamöter i styrelsen och VD måste gå utbildningar i säkerhet. Ni ska kunna förstå hot och bedöma skyddet.

Dessa krav skapar vad jurister ofta kallar en "aktiv omsorgsplikt". Det räcker inte att bara skriva på ett dokument en gång om året. Myndigheterna ser på tidslinjen. Har ledningen avsatt tillräcklig budget? Har man efterfrågat statusuppdateringar vid styrelsemöten?

Personligt ansvar – vad innebär det i praktiken?

NIS2 inför inte ett nytt straffrättsligt personligt ansvar i sig för VD eller styrelse. Däremot flyttas ribban tydligt för vad som förväntas av ledningen. Det personliga ansvaret uppstår främst genom befintlig bolagsrätt (lojalitetsplikt) och förvaltningsrätt, inte genom ett nytt ”NIS2-brott”.

I den svenska implementeringen innebär detta i praktiken:

  • Förbud mot ledningsuppdrag – en sista utväg: NIS2 öppnar för tillfälliga förbud för personer i ledande ställning om allvarliga brister inte åtgärdas efter föreläggande. Detta är dock ett yttersta verktyg för myndigheterna som kräver grova överträdelser och är inte ett standardutfal.
  • Ansvar för misskötsel och lojalitetsplikt: Enligt aktiebolagslagen har styrelse och VD en vård- och lojalitetsplikt. Om bolaget ignorerar cybersäkerhetsrisker eller inte agerar på förelägganden, kan det ses som oaktsam förvaltning. Detta kan leda till personligt skadeståndsansvar och problem vid försäkringsärenden.

Detta innebär att ”god tro” inte längre är ett tillräckligt skydd. Ledningen kan inte enbart hänvisa till att man har litat på IT eller externa leverantörer.

Precis som en VD förväntas förstå bolagets ekonomi, förväntas man nu ha tillräcklig förståelse för bolagets digitala risker för att kunna fatta informerade beslut. Det handlar inte om att kunna tekniken, utan om att förstå risk, ställa rätt frågor och fatta dokumenterade beslut. Gränsen för vad som anses som oaktsamhet skärps därmed väsentligt.

Sanktioner som känns i plånboken

Sanktionerna i NIS2 ska vara kännbara och avskräckande. De liknar de nivåer vi tidigare sett i GDPR:

  • Väsentliga bolag: Upp till 10 miljoner euro eller 2 % av hela omsättningen
  • Viktiga bolag: Upp till 7 miljoner euro eller 1,4 % av hela omsättningen

Utöver de direkta böterna tillkommer ofta ännu större indirekta kostnader. En sårbarhet som leder till sanktioner skadar bolagets varumärke och drabbar förtroendet hos kunder.

För finansiella företag gäller även DORA-förordningen med liknande krav på ledningens ansvar för digital motståndskraft.

För stora svenska koncerner kan dessa summor bli enorma. För noterade bolag riskerar en sanktion - eller den incident som föranledde den - att påverka aktiekursen och kundförtroende på sätt som vida överstiger själva bötesbeloppet.

Vad "aktivt ansvar" faktiskt innebär i praktiken

Det räcker inte att ha rätt policies på papper. Det som avgör om ledningen uppfyllt sin omsorgsplikt är om ni kan visa en löpande, dokumenterad process - inte ett enstaka beslut.

En tillsynsmyndighet som granskar er kommer att titta på:

  • Styrelsemötesprotokoll: Tas säkerhet upp regelbundet? Finns det beslutspunkter dokumenterade, eller bara en notering om att "IT presenterade"?
  • Budgetbeslut: Har ledningen avsatt resurser för säkerhetsarbetet, och är det motiverat mot identifierade risker?
  • Uppföljning av åtgärder: När en brist identifierades - vad beslutades, av vem, och när åtgärdades den?
  • Leverantörskontroll: Kan ni visa att ni ställt säkerhetskrav på era underleverantörer och följt upp dem?

Det här är information som sällan finns samlad i ett Excel-ark eller en IT-avdelnings interna system. Ledningen behöver ha tillgång till ett underlag som är begripligt, aktuellt och som visar beslutskedjan - inte en teknisk statusrapport som kräver en CISO för att tolka.

Utan det underlaget är det svårt att både styra rätt och försvara sig om något går fel.

Tio frågor styrelsen bör ställa på nästa möte

Artikel 20 kräver att ledningen aktivt styr och följer upp säkerhetsarbetet. Det börjar med att ställa rätt frågor - och kräva svar som ni faktiskt förstår, inte tekniska presentationer som är omöjliga att utvärdera.

Ställ dessa frågor till er CISO, IT-chef eller ansvarig för informationssäkerhet:

  1. Vilka är våra tre största cyberrisker just nu - och vad gör vi konkret åt dem?
  2. Är vi en väsentlig eller viktig entitet enligt NIS2, och vet tillsynsmyndigheten om oss?
  3. Har vi en testad incidentplan - och vet ansvariga vad de ska göra de första 24 timmarna?
  4. Hur bedömer vi våra leverantörers säkerhet - har vi ställt krav i avtal och följer vi upp?
  5. Vilket är det svagaste länken i vår IT-miljö just nu, och varför är den inte åtgärdad?
  6. Hur lång tid tar det att återställa kritiska system efter ett angrepp - har vi testat det?
  7. Vad händer om vår CISO/IT-ansvarig slutar imorgon - är säkerhetsarbetet dokumenterat och överleverbart?
  8. Vilka system och data är mest kritiska - och hur skyddar vi dem specifikt?
  9. Har vi genomfört en GAP-analys mot NIS2 - och vad visade den?
  10. Vad behöver vi investera för att nå och hålla NIS2-efterlevnad det kommande året?

Om ni inte får tydliga svar på dessa frågor är det i sig ett svar - och ett tecken på att arbetet behöver prioriteras.

Handlingsplan för styrelse och VD

Lagen gäller redan. Här är vad som faktiskt behöver hända - i prioritetsordning:

  1. Formalisera säkerhet på styrelseagendan - Sätt upp en fast punkt varje kvartal med ett standardiserat underlag: status per säkerhetsåtgärd, öppna risker och beslutspunkter som kräver styrelsens godkännande. Protokollför det explicit.

  2. Genomför en GAP-analys inom 30 dagar - Ni behöver veta var ni faktiskt står. Utan en nulägesanalys kan ni varken prioritera rätt eller visa tillsynsmyndigheten att ni tagit ansvar. Det är också grunden för att bedöma om er cyberförsäkring ger reellt skydd.

  3. Dokumentera beslut och godkännanden löpande - Om tillsynsmyndigheten granskar er är det styrelsens protokoll, godkända policies och budgetbeslut som avgör om ni kan visa aktiv omsorgsplikt. En retroaktivt skapad dokumentation räcker inte.

  4. Utbilda styrelsen - inte bara IT - NIS2 kräver att styrelseledamöter och VD genomgår utbildning. Det handlar inte om tekniska detaljer utan om riskförståelse: vad är en väsentlig incident, vilka beslut faller på ledningen, och hur bedömer man om IT-investeringarna är tillräckliga?

Förenkla er compliance med smartare regelefterlevnad.

Uppfyll NIS2, ISO 27001, GDPR och andra krav med ChainSec. Smarta verktyg för riskbedömning, leverantörsövervakning och dokumentation – allt i en plattform.

App screenshot