NIS2

Ledningens ansvar under NIS2: En guide för styrelsen

NIS2 gör ledningen personligt ansvarig för cybersäkerhet. Här är vad styrelse och VD måste göra för att uppfylla kraven.

Kim Borg
Kim Borg Grundare & VD
5 min läsning
  1. Ledningen
    Ledningen kan hållas personligt ansvarig vid NIS2-överträdelser
    NIS2-direktivet Artikel 20
  2. Obligatorisk
    Obligatorisk cybersäkerhetsutbildning för ledning
    NIS2-direktivet Artikel 20
  3. Böter
    Böter upp till 10 miljoner euro för väsentliga entiteter
    NIS2-direktivet Artikel 34
VD och styrelseledamöter signerar cybersäkerhetsdokument i ett mötesrum

Cybersäkerhet är nu en styrelsefråga

NIS2 markerar ett paradigmskifte: cybersäkerhet är inte längre en fråga som kan lämnas till IT-avdelningen. Med Cybersäkerhetslagen som trädde i kraft 15 januari 2026 har styrelse och ledning ett explicit, personligt ansvar för organisationens cybersäkerhet.

Det handlar inte bara om att undvika böter. Ledningar som tar sitt ansvar på allvar bygger organisationer som är mer motståndskraftiga, och mer trovärdiga för kunder, partners och investerare.

Nyckelfrågan: Kan din styrelse idag beskriva organisationens topp-tre cyberrisker och hur de hanteras? Om inte, finns det arbete att göra.

Vad säger lagen?

NIS2 Artikel 20, Ledningens ansvar:

  1. Ledningen ska godkänna de cybersäkerhetsåtgärder som krävs
  2. Ledningen ska övervaka implementationen av dessa åtgärder
  3. Ledningen kan hållas ansvarig vid överträdelser
  4. Ledningen ska genomgå utbildning för att kunna bedöma risker
  5. Utbildning ska regelbundet erbjudas till personal

Detta ansvar kan inte delegeras.

Styrelsens fem huvuduppgifter

  1. Godkänna cybersäkerhetspolicyn Styrelsen ska formellt godkänna organisationens övergripande cybersäkerhetspolicy. Policyn ska täcka riskhantering, incidenthantering, affärskontinuitet och leverantörssäkerhet. Godkännandet ska dokumenteras i styrelseprotokollet.
  2. Säkerställa riskhantering Styrelsen ansvarar för att en systematisk riskhanteringsprocess finns på plats. Det innebär att risker identifieras, analyseras, behandlas och följs upp regelbundet. Rapporter om toppriskerna ska nå styrelsen.
  3. Genomgå cybersäkerhetsutbildning Varje styrelseledamot och ledningsperson ska genomgå utbildning. Syftet är att kunna identifiera risker och bedöma om säkerhetsåtgärder är adekvata. Utbildningen ska vara relevant för verksamheten.
  4. Övervaka implementation Det räcker inte att godkänna. Styrelsen ska också följa upp att åtgärder faktiskt implementeras. Det kräver regelbunden rapportering och KPI:er som visar utvecklingen.
  5. Hantera incidenter på ledningsnivå Vid betydande incidenter ska ledningen informeras och fatta beslut. Incidentrapportering till myndigheter inom 24 timmar kräver att det finns en fungerande eskaleringskedja.

Vad händer vid bristande efterlevnad?

Administrativa sanktioner

Böter upp till 10 miljoner euro eller 2% av global omsättning för väsentliga entiteter. För viktiga entiteter gäller 7 miljoner euro eller 1,4%.

Offentlig tillrättavisning

Tillsynsmyndigheten kan kräva offentliggörande av överträdelser och utfärda offentliga uttalanden som identifierar ansvariga personer.

Personligt ansvar

Ledningspersoner kan hållas personligt ansvariga. I allvarliga fall kan personer förbjudas att inneha ledningsroller i organisationer som omfattas av NIS2.

Ökad tillsyn

Organisationer med bristande efterlevnad kan bli föremål för intensifierad tillsyn, inklusive regelbundna revisioner och rapporteringskrav.

Praktiska tips för styrelsemöten

Strukturera cybersäkerhet som stående punkt

Cybersäkerhet ska inte vara något som bara diskuteras när något gått fel. Gör det till en stående punkt på dagordningen:

  • Kvartalsvis: Övergripande statusrapport, toppriskerna, pågående initiativ
  • Årligen: Genomgång av cybersäkerhetspolicyn, godkännande av årsplan
  • Vid behov: Incidenter, större förändringar, nya krav

Rapportens struktur

En bra cybersäkerhetsrapport till styrelsen innehåller:

1. Nuläge och mognad

  • Var står vi jämfört med NIS2-kraven?
  • Hur ser vi ut jämfört med bransch?

2. Toppriskerna

  • Vilka är de tre-fem största riskerna?
  • Hur sannolika är de? Vad blir konsekvensen?

3. Vidtagna åtgärder

  • Vad har vi gjort sedan sist?
  • Har vi haft incidenter? Hur hanterades de?

4. Pågående initiativ

  • Vilka projekt pågår?
  • Ligger vi i tid och budget?

5. Resursbehov

  • Behöver vi mer resurser?
  • Finns kompetensglapp?

Frågor styrelsen bör ställa

  • Vilka är våra mest kritiska system och data?
  • Hur snabbt kan vi återhämta oss från en ransomware-attack?
  • Hur hanterar vi säkerheten hos våra leverantörer?
  • Har vi testat vår incidenthantering det senaste året?
  • Uppfyller vi alla NIS2-krav? Om inte, vad saknas?

Dashboard och KPI:er för ledningen

En effektiv ledningsdashboard ger överblick utan att drunkna i detaljer:

KPIBeskrivningMål
Compliance-nivåAndel uppfyllda NIS2-krav100%
Kritiska riskerAntal öppna kritiska risker0
IncidenterAntal betydande incidenterTrend nedåt
PatchnivåAndel system med aktuella patchar>95%
UtbildningAndel personal som genomgått utbildning100%
LeverantörerAndel granskade kritiska leverantörer100%

Vanliga misstag att undvika

"IT-avdelningen sköter det"

NIS2 gör det kristallklart: ansvaret ligger på ledningen. Att delegera det operativa arbetet är okej, men ansvaret kan inte delegeras bort.

Alibi-utbildning

En timmes generisk presentation räcker inte. Utbildningen ska vara substantiell nog att ledningen faktiskt kan bedöma risker och åtgärder.

Reaktivt förhållningssätt

Att bara agera när något går fel är för sent. Proaktiv riskhantering och regelbunden uppföljning är nyckeln.

Bristande dokumentation

Om det inte finns i protokollet hände det inte. Dokumentera styrelsens beslut, godkännanden och den information som presenterades.

Nästa steg: Kontrollera om er organisation omfattas av NIS2 och läs mer om alla NIS2-krav i vår ramverksöversikt.

Så kan Securapilot hjälpa

Securapilot ger ledningen de verktyg som behövs för att uppfylla NIS2-kraven:

  • Ledningsdashboard: Överblick över compliance-status, risker och incidenter
  • Automatiserade rapporter: Styrelserapporter med rätt detaljeringsnivå
  • Riskhantering: Spårbarhet för alla risker och beslut
  • Dokumentation: Bevis på godkännanden och uppföljning
  • Incidenthantering: Eskalering och rapportering inom tidskraven

Boka en demo och se hur vi kan hjälpa er styrelse ta kontroll över cybersäkerheten.

Vanliga frågor

Kan styrelsen delegera cybersäkerhetsansvaret?

Nej, enligt NIS2 kan ledningens ansvar för cybersäkerhet inte delegeras. Styrelsen måste aktivt godkänna åtgärder och övervaka implementationen. Man kan delegera det operativa arbetet, men ansvaret kvarstår hos ledningen.

Vilken utbildning krävs för styrelsen?

NIS2 kräver att ledningen genomgår regelbunden cybersäkerhetsutbildning för att kunna identifiera risker och bedöma säkerhetsåtgärder. Utbildningen ska vara anpassad till organisationens verksamhet och risker.

Kan styrelseledamöter bli personligt ansvariga?

Ja, NIS2 möjliggör personligt ansvar för ledningspersoner vid allvarliga överträdelser. I extrema fall kan personer förbjudas att inneha ledningsroller. Detta är ett betydande avsteg från tidigare praxis.

Hur ofta ska styrelsen behandla cybersäkerhet?

Det finns inget specifikt krav, men god praxis är kvartalsvis rapportering till styrelsen plus extraordinära möten vid incidenter. Cybersäkerhet bör vara en stående punkt på styrelsens agenda.

#NIS2#ledning#styrelse#ansvar#governance#cybersäkerhet

Fler artiklar

Vi använder anonym statistik utan cookies för att förbättra webbplatsen. Läs mer