NIS2 för ledningen: Ansvar, sanktioner och personligt ansvar

NIS2 för ledningen: Ansvar, sanktioner och personligt ansvar

Lucas Rosvall

Lucas Rosvall

Länge har många sett på cybersäkerhet som en teknisk fråga som IT-avdelningen hanterar i källaren. Med NIS2-direktivet förändras detta helt. Från och med nu den 15 januari 2026 flyttas ansvaret från serverrummet direkt till styrelserummet.

För VD, styrelse och ledningsgrupp innebär den nya Cybersäkerhetslagen (CSL) ett direkt juridiskt och personligt ansvar för företagets säkerhet.

Det stora skiftet: Från IT-fråga till affärsrisk

I det tidigare NIS-direktivet var kraven ofta otydliga för ledningen. NIS2 ändrar på detta genom Artikel 20 (Styrning). Budskapet är nu glasklart: ledningen kan inte längre lämna över hela ansvaret till IT-chefen. Ni måste aktivt styra, godkänna och följa upp verksamhetens säkerhetsåtgärder.

Att inte känna till riskerna är inte längre en giltig ursäkt. Enligt NIS2 ska ledningen ha tillräcklig kunskap för att kunna bedöma risker. Ni måste kunna fatta beslut om rätt investeringar i säkerhet.

Vad säger Artikel 20? Tre krav på ledningen

NIS2 ställer tre specifika krav på er som leder organisationen (styrelse och VD):

  1. Godkänna: Ledningen måste godkänna de åtgärder som vidtas för att hantera risker.
  2. Övervaka: Ni ska följa upp hur åtgärderna införs och fungerar.
  3. Utbilda: Ledamöter i styrelsen och VD måste gå utbildningar i säkerhet. Ni ska kunna förstå hot och bedöma skyddet.

Dessa krav skapar vad jurister ofta kallar en "aktiv omsorgsplikt". Det räcker inte att bara skriva på ett dokument en gång om året. Myndigheterna ser på tidslinjen. Har ledningen avsatt tillräcklig budget? Har man efterfrågat statusuppdateringar vid styrelsemöten?

Personligt ansvar – vad innebär det i praktiken?

NIS2 inför inte ett nytt straffrättsligt personligt ansvar i sig för VD eller styrelse. Däremot flyttas ribban tydligt för vad som förväntas av ledningen. Det personliga ansvaret uppstår främst genom befintlig bolagsrätt (lojalitetsplikt) och förvaltningsrätt, inte genom ett nytt ”NIS2-brott”.

I den svenska implementeringen innebär detta i praktiken:

  • Förbud mot ledningsuppdrag – en sista utväg: NIS2 öppnar för tillfälliga förbud för personer i ledande ställning om allvarliga brister inte åtgärdas efter föreläggande. Detta är dock ett yttersta verktyg för myndigheterna som kräver grova överträdelser och är inte ett standardutfal.
  • Ansvar för misskötsel och lojalitetsplikt: Enligt aktiebolagslagen har styrelse och VD en vård- och lojalitetsplikt. Om bolaget ignorerar cybersäkerhetsrisker eller inte agerar på förelägganden, kan det ses som oaktsam förvaltning. Detta kan leda till personligt skadeståndsansvar och problem vid försäkringsärenden.

Detta innebär att ”god tro” inte längre är ett tillräckligt skydd. Ledningen kan inte enbart hänvisa till att man har litat på IT eller externa leverantörer.

Precis som en VD förväntas förstå bolagets ekonomi, förväntas man nu ha tillräcklig förståelse för bolagets digitala risker för att kunna fatta informerade beslut. Det handlar inte om att kunna tekniken, utan om att förstå risk, ställa rätt frågor och fatta dokumenterade beslut. Gränsen för vad som anses som oaktsamhet skärps därmed väsentligt.

Sanktioner som känns i plånboken

Sanktionerna i NIS2 ska vara kännbara och avskräckande. De liknar de nivåer vi tidigare sett i GDPR:

  • Väsentliga bolag: Upp till 10 miljoner euro eller 2 % av hela omsättningen.
  • Viktiga bolag: Upp till 7 miljoner euro eller 1,4 % av hela omsättningen.

Utöver de direkta böterna tillkommer ofta ännu större indirekta kostnader. En sårbarhet som leder till sanktioner skadar bolagets varumärke och drabbar förtroendet hos kunder.

För stora svenska koncerner kan dessa summor bli enorma. För noterade bolag kan det leda till aktiekursfall. Cyberfrågan är därmed inte bara ett lagkrav. Det är en av de största ekonomiska riskerna för bolagets konkurrenskraft.

Varför ledningen behöver nya verktyg

Eftersom ledningen nu bär det yttersta ansvaret, räcker det inte med en årlig rapport som säger att "allt är lugnt". Ledningen behöver:

  1. Realtidsinsikter: Hur ser läget ut just nu?
  2. Koll på leverantörerna: NIS2 kräver att ni har kontroll på era underleverantörer. Ledningen måste veta att de sköter sig.
  3. Spårbar dokumentation: Om myndigheten gör tillsyn måste ledningen kunna visa sina beslut och hur de följt upp arbetet.

Handlingsplan för styrelse och VD

För att vara redo bör ni göra detta:

  • Boka utbildning: Hela ledningen och styrelsen behöver lära sig grunderna i NIS2 och IT-säkerhet.
  • Ändra i arbetsordningen: Ta upp säkerhet på dagordningen ofta (minst varje kvartal).
  • Gör en GAP-analys: Se hur långt ni har kvar till full efterlevnad.
  • Skaffa GRC-verktyg: Sluta med Excel. Använd en plattform som ger er kontroll och visar att ni följer lagen.

Förenkla er compliance med smartare regelefterlevnad.

Uppfyll NIS2, ISO 27001, GDPR och andra krav med ChainSec. Smarta verktyg för riskbedömning, leverantörsövervakning och dokumentation – allt i en plattform.

App screenshot