NIS 2-loven § 7

Der er i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS 1-direktivet) ikke nærmere regulering af ledelsens ansvar og opgaver. Der er på denne baggrund i dag ikke fastsat regler herom.

Det foreslås i stk. 1, at de foranstaltninger, som en væsentlig eller vigtig enhed træffer på baggrund af forpligtelserne i § 6, stk. 1 og 2, samt regler fastsat i medfør af § 6, stk. 3, skal være godkendt af enhedens ledelsesorgan. Ledelsesorganet fører tilsyn med foranstaltningernes gennemførelse.

Den foreslåede bestemmelse i stk. 1 vil delvist gennemføre NIS 2-direktivets artikel 20, stk. 1.

Det følger af NIS 2-direktivets artikel 20, stk. 1, at medlemsstaterne skal sikre, at de væsentlige og vigtige enheders ledelsesorganer godkender de foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder har truffet med henblik på at overholde artikel 21, fører tilsyn med deres gennemførelse og kan gøres ansvarlige for enhedernes overtrædelser af forpligtelserne i den nævnte artikel. Dette berører dog ikke national ret for så vidt angår de ansvarsregler, der gælder for offentlige institutioner, samt ansvaret for embedsmænd og personer valgt eller udnævnt til offentlige hverv.

Den foreslåede bestemmelse i stk. 1 vil fastslå, at overholdelsen af forpligtelserne i den foreslåede § 6, stk. 1-3, er et ledelsesmæssigt ansvar. For så vidt angår den del af direktivets artikel 20, stk. 1, der foreskriver, at ledelsesorganer skal kunne gøres ansvarlige for overtrædelser af enhedernes forpligtelser, henvises til den foreslåede § 23, stk. 1, nr. 2.

Den foreslåede bestemmelse vil medføre, at en enheds ledelse vil være forpligtet til at godkende de foranstaltninger, som enheden træffer på baggrund af den foreslåede § 6, stk. 1 og 2, samt regler fastsat i medfør af § 6, stk. 3. Derudover vil ledelsen være forpligtet til at føre tilsyn med foranstaltningernes gennemførelse.

Det bemærkes, at der i dansk ret ikke findes en definition af et ’ledelsesorgan’. Lov om aktie- og anpartsselskaber, jf. lovbekendtgørelse nr. 1168 af 1. september 2023 (selskabsloven) definerer dog i § 5, nr. 4 ’det centrale ledelsesorgan’ som a) bestyrelsen i selskaber, der har en direktion og en bestyrelse, b) direktionen i selskaber, der alene har en direktion og c) direktionen i selskaber, der både har en direktion og et tilsynsråd. Selskabsloven finder dog alene anvendelse for aktie- og anpartsselskaber, jf. lovens § 1, stk. 1.

Lov om visse erhvervsdrivende virksomheder, jf. lovbekendtgørelse nr. 249 af 1. februar 2021 (LEV-loven), definerer i lovens § 4 a, nr. 2 en ledelse, som ’medlemmer af bestyrelse, direktion eller et tilsvarende ledelsesorgan’.

LEV-loven finder anvendelse for enkeltmandsvirksomheder, interessentskaber, kommanditselskaber, andelsselskaber (andelsforeninger) samt andre selskaber og foreninger med begrænset ansvar, som ikke er omfattet af selskabsloven, lov om erhvervsdrivende fonde eller §§ 133-154 i lov om forvaltere af alternative investeringsfonde m.v., jf. LEV-lovens § 1, stk. 2.

Det er på denne baggrund Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at begrebet ’ledelsesorgan’ i NIS 2-direktivet skal forstås i overensstemmelse med definitionerne af henholdsvis det centrale ledelsesorgan i selskabslovens § 5, nr. 4, og ledelsen i LEV-lovens § 4 a, nr. 2.

Det følger af det foreslåede stk. 2, at medlemmerne af en væsentlig eller vigtig enheds ledelsesorgan skal deltage i relevante kurser om styring af cybersikkerhedsrisici og tilskynde til at tilsvarende kurser tilbydes til enheden øvrige ansatte.

Den foreslåede bestemmelse i stk. 2 vil gennemføre NIS 2-direktivets artikel 20, stk. 2.

Det fremgår af NIS 2-direktivets artikel 20, stk. 2, at medlemsstaterne skal sikre, at medlemmerne af væsentlige og vigtige enheders ledelsesorganer er forpligtet til at følge kurser, og skal tilskynde væsentlige og vigtige enheder til løbende at tilbyde tilsvarende kurser til deres ansatte, således at de opnår tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici og deres indvirkning på de tjenester, der leveres af enheden.

Den foreslåede bestemmelse svarer med sproglige tilpasninger uden indholdsmæssig betydning til NIS 2-direktivets artikel 20, stk. 2, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger.

Den foreslåede bestemmelse vil indebære, at medlemmerne af en væsentlig eller vigtig enheds ledelsesorgan vil skulle deltage i relevante kurser om styring af cybersikkerhedsrisici, og tilskynde til at tilsvarende kurser tilbydes enhedens øvrige ansatte.

Der henvises i øvrigt til afsnit 3.2 i lovforslagets almindelige bemærkninger.