NIS2 bøter og styreansvar: Hva risikerer norsk ledelse?

Med NIS2-direktivet gjør EU noe de fleste styremedlemmer i norske bedrifter ikke er forberedt på: De gjør cybersikkerhet til et personlig lederansvar, med reelle økonomiske konsekvenser. Direktivet innfører bøter på GDPR-nivå og gir tilsynsmyndigheter mulighet til, som et siste eskaleringstiltak, å be domstolene om midlertidig å fjerne ledere som ikke sørger for etterlevelse. For virksomheter som blir omfattet når NIS2 gjennomføres i norsk rett, blir spørsmålet ikke bare om cybersikkerhet er et styreansvar, men hvordan styret dokumenterer oppfølgingen.

Bøtene: to nivåer avhengig av klassifisering

NIS2 skiller mellom vesentlige og viktige virksomheter, og bøtenivåene er ulike for hver kategori.

Vesentlige virksomheter – som typisk omfatter sektorer som energi, transport, helse, bank og digital infrastruktur – risikerer bøter på opptil €10 millioner eller 2 % av global årsomsetning, det høyeste beløpet gjelder.

Viktige virksomheter – som kan omfatte avfallshåndtering, matforsyning, produksjon og digitale tjenester – risikerer bøter på opptil €7 millioner eller 1,4 % av global årsomsetning.

Bøtene kan ilegges for brudd på sikkerhetskravene i Artikkel 21 (risikostyringstiltak) eller rapporteringsplikten i Artikkel 23 (hendelsesrapportering). Kort sagt kan manglende risikoanalyse, utilstrekkelig leverandørkontroll eller forsinket varsling av en sikkerhetshendelse alle kan utløse sanksjoner.

Ved utmåling av bøter skal tilsynsmyndigheten blant annet vurdere overtredelsens alvor og varighet, om det foreligger tidligere brudd, hvorvidt virksomheten har samarbeidet med myndighetene, og hvilke tiltak som ble iverksatt for å begrense skaden.

Styrets nye ansvar under NIS2

Artikkel 20 i NIS2 plasserer ansvaret for cybersikkerhet eksplisitt hos ledelsen. Bestemmelsen pålegger tre konkrete plikter:

• Styret skal godkjenne virksomhetens sikkerhetstiltak etter Artikkel 21. Tiltakene må behandles og vedtas av ledelsen, ikke bare besluttes av IT-avdelingen.
• Styret skal føre tilsyn med gjennomføringen av disse tiltakene. Det holder ikke å vedta en policy; ledelsen må aktivt følge opp at den etterleves.
• Medlemmer av ledelsen er pålagt å gjennomgå opplæring i cybersikkerhet, slik at de har tilstrekkelig kunnskap til å identifisere risikoer og vurdere virksomhetens sikkerhetspraksis. NIS2 oppfordrer også til at tilsvarende opplæring tilbys øvrige ansatte.

Denne kombinasjonen av godkjenning, tilsyn og opplæring gjør det vanskelig for styremedlemmer å hevde at cybersikkerhet var «IT-avdelingens ansvar» dersom det oppstår et brudd.

Personlig ansvar og midlertidig suspensjon

NIS2 går lenger enn de fleste regelverk ved å innføre personlig ansvar for ledelsen. Dersom en virksomhet bryter sikkerhetskravene, kan medlemmer av ledelsen holdes personlig ansvarlig for brudd på sine plikter etter direktivet. Dette gjelder både vesentlige og viktige virksomheter.

For vesentlige virksomheter finnes det i tillegg et særlig sterkt virkemiddel i Artikkel 32: Dersom vanlige håndhevingstiltak – som pålegg, advarsler og bindende instrukser – ikke har ført frem, og en fastsatt frist for å rette opp manglene er oversittet, kan tilsynsmyndigheten be relevante organer eller domstoler om å midlertidig forby personer på daglig leder- eller juridisk representant-nivå å utøve ledelsesfunksjoner i virksomheten. Suspensjonen gjelder kun inntil manglene er rettet, og er underlagt rettssikkerhetsgarantier. Det er altså et siste utvei-tiltak, ikke noe tilsynsmyndigheten kan gripe til som førstevalg.

For viktige virksomheter gjelder ikke denne suspensjonsmuligheten, men personlig ansvar er fortsatt aktuelt.

Hva gjelder i Norge i dag?

Digitalsikkerhetsloven og digitalsikkerhetsforskriften trådte i kraft 1. oktober 2025 og gjennomfører det opprinnelige NIS-direktivet (NIS1) i norsk rett. Enkelte løsninger i forskriften er likevel utformet med blikk på NIS2, særlig innen varsling, tilsyn og sanksjoner.

Sanksjonsrammene er allerede betydelige: Overtredelsesgebyr for foretak kan utgjøre opptil 25 ganger grunnbeløpet i folketrygden (ca. 3,25 millioner kroner per 2025/2026) eller 4 % av foretakets årsomsetning, det høyeste beløpet gjelder. For fysiske personer og offentlige organer er taket 25G. Uansett kan gebyret ikke overstige 50 millioner kroner for foretak.

Digitalsikkerhetsloven § 17 åpner også for at overtredelsesgebyr kan ilegges ikke bare virksomheten selv, men også fysiske personer som handler på vegne av tilbyderen. Forarbeider og høringsmaterialet bekrefter at dette er tilsiktet, men presiserer at det skal brukes når det er nødvendig i det enkelte tilfellet. Beløpstaket for fysiske personer er 25G, mens taket på 4 % av omsetning og 50 millioner kroner gjelder for foretak. Beløpsrammene er fastsatt i forskriften § 24.

NIS2-direktivet er EØS-relevant, men er ennå ikke gjennomført i norsk rett. Regjeringen forbereder en ny sektorovergripende lov som skal gjennomføre både NIS2 og CER-direktivet (om motstandsdyktighet i kritiske virksomheter), men ingen tidslinje er bekreftet. Tilsyn føres i stor grad av sektormyndigheter, med NSM i en sentral nasjonal rolle, samt sektorspesifikke tilsynsmyndigheter for blant annet energi (NVE) og finans (Finanstilsynet).

NIS2-direktivets bøterammer er vesentlig høyere enn dagens norske rammer. For en norsk virksomhet med 100 millioner kroner i omsetning er forskjellen konkret: Under dagens lov er maksimumsgebyret 4 millioner kroner (4 % av omsetning). Under NIS2, dersom virksomheten klassifiseres som viktig, setter direktivet en minimumsramme på opptil €7 millioner (ca. 80 millioner kroner). De endelige norske bøtesatsene fastsettes når NIS2 gjennomføres i norsk rett, og kan avvike fra direktivets minimumsrammer.

Hva bør din virksomhet gjøre nå?

Du trenger ikke vente på at NIS2 gjennomføres i norsk rett for å begynne å forberede deg. Kravene i Artikkel 20 og 21 bygger på gode sikkerhetsprinsipper som allerede følger av digitalsikkerhetsloven og anerkjente rammeverk som NSMs grunnprinsipper og ISO 27001.

Sørg for at cybersikkerhet er et fast punkt på styrets agenda, med dokumenterte vedtak. Gjennomfør en kartlegging av virksomhetens modenhet på tvers av NIS2s ti sikkerhetskategorier. Sørg for at styremedlemmer og ledelse har gjennomgått opplæring i cybersikkerhet, og dokumenter det. Etabler klare rutiner for hendelseshåndtering og varsling som kan oppfylle NIS2s tidsfrister. Og vurder virksomhetens styreansvarsforsikring (D&O), mange standardpoliser dekker ikke cybersikkerhetshendelser.

Det ansvaret som følger av NIS2 må også sees i sammenheng med det overordnede ansvaret som allerede følger av aksjeloven, hvor styret har det generelle ansvaret for forvaltningen av selskapet. NIS2 legger til en eksplisitt cybersikkerhetsdimensjon til dette eksisterende ansvaret.

Relaterte guider:

• NIS2 Artikkel 21: De 10 sikkerhetskravene forklart på norsk
• NIS2 hendelsesrapportering: 24 timer, 72 timer, sluttrapport
• Slik forbereder du bedriften på NIS2