Hvad koster manglende overholdelse af NIS2? | House of Control

NIS2-direktivet (Direktiv (EU) 2022/2555) indfører betydelige økonomiske og faglige konsekvenser for organisationer, der ikke opfylder deres cybersikkerhedsforpligtelser.

For direktioner og bestyrelser er cyberrisiko ikke længere kun et operationelt anliggende. Under NIS2 er det en lovmæssig, økonomisk og ledelsesmæssig eksponering, der kan måles – og sanktioneres.

Indholdsfortegnelse

1. Opsummering

2. Hvilke typer fejl udløser NIS2-bøder?

3. Er risikostyringsforanstaltningerne utilstrækkelige? (Artikel 21) 

4. Er der sket svigt i rapportering af væsentlige hændelser? (Artikel 23) 

5. Mangler ledelsen dokumenteret tilsyn? (Artikel 20) 

6. Er tredjepartsrisiko utilstrækkeligt kontrolleret?

7. Hvad er de personlige konsekvenser for ledelsen?

8. Hvor meget kan en organisation blive pålagt i bøde?

9. Hvordan beregnes omsætningsbaserede bøder?

10. Hvordan fastsætter myndighederne den endelige bøde?

11. Hvordan kan organisationer reducere risikoen for NIS2-sanktioner?

12. FAQ: Ofte stillede spørgsmål om NIS2-bøder

13. Vigtige pointer

Opsummering

Væsentlige entiteter kan blive pålagt bøder på op til €10 million eller 2% af den globale årlige omsætning. Vigtige entiteter kan blive pålagt bøder på op til €7 million eller 1,4%. Udover de økonomiske sanktioner indfører NIS2 ledelsesansvar, mulighed for midlertidig suspendering af ledelsesmedlemmer samt offentliggørelse af overtrædelser. Struktureret governance og sporbar dokumentation reducerer risikoen for håndhævelse betydeligt. 

Hvilke typer fejl udløser NIS2-bøder?

Håndhævelse af NIS2 skyldes sjældent isolerede tekniske svagheder. Det udspringer typisk af strukturelle mangler i governance, hvor cybersikkerhed ikke er indlejret i ledelsessystemerne.

Tilsynsmyndigheder vurderer, om cybersikkerhedsforanstaltninger er systematiske, dokumenterede og integrerede i den daglige drift. Fire kategorier af fejl fører ofte til sanktioner.

Læs mere: Hvorfor kontraktstyring er fundamentet for NIS2-overholdelse.

Er risikostyringsforanstaltningerne utilstrækkelige? (Artikel 21) 

Artikel 21 kræver, at organisationer implementerer "passende og proportionale" tekniske og organisatoriske foranstaltninger.

Almindelige årsager til bøder omfatter:

• Fravær af dokumenterede risikovurderinger.
• Forældede eller ufuldstændige risikoregistre.
• Mangel på strukturerede procedurer for forretningskontinuitet eller krisehåndtering.
• Utilstrækkelige risikovurderinger af forsyningskæden.
• Manglende processer for sårbarhedshåndtering eller adgangskontrol.

Myndigheder vurderer, om risikostyringen er gentagelig, opdateret og forankret i governance-strukturer. Fragmenterede regneark, statiske dokumenter eller udokumenterede beslutninger indikerer ofte svage kontrolmiljøer snarere end effektiv risikostyring.

Er der sket svigt i rapportering af væsentlige hændelser? (Artikel 23) 

Artikel 23 fastlægger strenge rapporteringsforpligtelser:

• Tidlig varsling inden for 24 timer
• Hændelsesmeddelelse inden for 72 timer
• Slutrapport inden for en måned

Risikoen for sanktioner øges, når en organisation ikke kan påvise:

• En defineret eskaleringsproces
• Tildelte ansvarsområder
• Tidsstemplet dokumentation
• Bevis for opfølgning og korrigerende handlinger

Under NIS2 handler hændelsesrapportering ikke kun om hastighed. Det handler om sporbarhed og processuel modenhed.

Mangler ledelsen dokumenteret tilsyn? (Artikel 20) 

Artikel 20 pålægger ledelsesorganer direkte ansvar. Myndigheder kan gribe ind, hvor:

• Sikkerhedsforanstaltninger ikke er formelt godkendt på direktionsniveau.
• Beslutninger om cybersikkerhed ikke er registreret i governance-logge eller bestyrelsesreferater.
• Roller og ansvarsområder er uklare.
• Tilsyn uddelegeres uformelt til IT uden dokumenteret ledelsesgennemgang.

Cybersikkerhed under NIS2 er et ledelsesansvar. Uformel uddelegering uden struktureret rapportering øger eksponeringen for sanktioner.

Er tredjepartsrisiko utilstrækkeligt kontrolleret? 

NIS2 kræver, at organisationer håndterer afhængigheder i hele deres værdikæde. Bøder kan udløses af:

• Kontrakter, der mangler eksplicit formulerede cybersikkerhedsklausuler.
• Manglende struktureret overblik over leverandørers kritikalitet.
• Manglende risikovurderinger af leverandører.
• Manglende overvågning af kontraktlige sikkerhedsforpligtelser.

Myndigheder vurderer, om tredjepartsrisiko er juridisk forankret, operationelt overvåget og løbende evalueret. Uden struktureret indsigt i kontrakter og afhængigheder kan organisationer have svært ved at påvise proportional kontrol.

Hvad er de personlige konsekvenser for ledelsen?

Omkostningerne ved manglende overholdelse rækker ud over virksomhedsbøder.

Personligt ansvar (Artikel 20)

Medlemsstaterne skal sikre, at ledelsesorganer kan holdes ansvarlige for manglende opfyldelse af deres cybersikkerhedsforpligtelser. Dette understreger, at cybersikkerhed ikke kan behandles som et sekundært IT-spørgsmål. Det er et ledelsesansvar.

Midlertidig suspendering af ledere (Artikel 32)

For væsentlige entiteter kan tilsynsmyndigheder midlertidigt forbyde enkeltpersoner at udøve ledelsesfunktioner, indtil overholdelse er genoprettet. Dette kan omfatte administrerende direktører eller andre ledende medarbejdere, afhængigt af den nationale implementering.

Offentliggørelse ("name and shame")

Myndigheder kan offentliggøre:

• Identiteten på den ansvarlige juridiske enhed
• Overtrædelsens art
• De pålagte sanktioner

For organisationer, der opererer på regulerede eller tillidsbaserede markeder, kan de imagemæssige konsekvenser overstige den økonomiske bøde.

Hvor meget kan en organisation blive pålagt i bøde?

Klassificeringen af en enhed afgør den maksimale administrative sanktion.

Det højeste af det faste beløb eller omsætningsprocenten er gældende.

Læs mere: NIS2-direktivets 24-timers-regel: Håndtering af krav til indberetning af hændelser.

Hvordan beregnes omsætningsbaserede bøder? 

Bøder beregnes på grundlag af den samlede globale årlige omsætning fra det foregående regnskabsår.

Eksempel på væsentlig entitet:

• Global omsætning: €1.000.000.000
• 2% beregning: €20.000.000
• Gældende maksimum: €20.000.000

Eksempel på vigtig entitet:

• Global omsætning: €300.000.000
• 1,4% beregning: €4.200.000
• Maksimal eksponering: €7.000.000 (afhængigt af alvoren)

De faktiske bøder fastsættes af de nationale myndigheder baseret på proportionalitet.

Hvordan fastsætter myndighederne den endelige bøde?

Selvom direktivet definerer maksimale tærskler, vurderer myndighederne proportionaliteten baseret på:

• Alvor og samfundsmæssig påvirkning.
• Varigheden af den manglende overholdelse.
• Graden af uagtsomhed eller forsæt.
• Tidligere overtrædelser.
• Afbødende foranstaltninger og samarbejdsvilje.

I praksis afspejler håndhævelsens intensitet ofte modenheden af organisationens governance-struktur. Organisationer med struktureret tilsyn, klar dokumentation og sporbar beslutningstagning står betydeligt stærkere i forhold til at påvise proportional overholdelse.

Hvordan kan organisationer reducere risikoen for NIS2-sanktioner?

Under NIS2 betragtes implicit sikkerhed som ikke-eksisterende sikkerhed. Kontrol skal kunne påvises. Praktiske tiltag omfatter:

• Vedligeholdelse af strukturerede og løbende opdaterede risikoregistre.
• Kobling af risikovurderinger til dokumenterede handlingsplaner.
• Sikring af formel bestyrelsesgodkendelse af cybersikkerhedsstrategier.
• Indlejring af sikkerhedsklausuler i leverandørkontrakter.
• Etablering af sporbare arbejdsgange for hændelsesrapportering.
• At holde governance-dokumentation klar til audit til enhver tid.

Forskellen mellem maksimal eksponering og reducerede sanktioner ligger ofte i påviselig ledelsesmæssig modenhed.

Læs mere: NIS2-dokumentation: Hvad revisorer forventer.

FAQ: Ofte stillede spørgsmål om NIS2-bøder

Hvad er forskellen på en væsentlig og en vigtig entitet?

Væsentlige entiteter opererer i sektorer, der er kritiske for samfundets stabilitet (såsom energi, sundhed og bankvirksomhed) og er underlagt proaktivt tilsyn. Vigtige entiteter opererer i andre sektorer med høj indvirkning og er generelt underlagt reaktivt tilsyn.

Kan en CEO blive suspenderet under NIS2?

Ja. Under Artikel 32 kan myndighederne midlertidigt suspendere enkeltpersoner fra ledelsesfunktioner i væsentlige entiteter, indtil overholdelse er genoprettet, afhængigt af den nationale implementering.

Hvordan beregnes bøder baseret på global omsætning?

De er baseret på den samlede globale årlige omsætning fra det foregående regnskabsår. For eksempel kan en omsætning på €1 milliard resultere i en bøde på €20 millioner for en væsentlig entitet.

Er dokumentation alene nok til at undgå bøder?

Nej. Dokumentation erstatter ikke sikkerhedsforanstaltninger. Men uden struktureret, sporbar dokumentation kan en organisation ikke påvise, at den har implementeret "passende og proportionale" foranstaltninger som krævet i Artikel 21.

Vigtige pointer

• Væsentlige entiteter kan blive pålagt bøder på op til €10 million eller 2% af den globale omsætning.
• Vigtige entiteter kan blive pålagt bøder på op til €7 million eller 1,4% af den globale omsætning.
• Ledelsesorganer bærer et direkte ansvar under Artikel 20.
• Midlertidig suspendering af ledere er muligt under Artikel 32.
• Struktureret governance, sporbar dokumentation og integrerede kontrolsystemer reducerer risikoen for håndhævelse betydeligt.

Vigtig information: House of Control er en softwarevirksomhed. Vi leverer ikke konsulenttjenester i forbindelse med NIS2-overholdelse. At følge denne vejledning garanterer derfor ikke overholdelse af alle juridiske krav i NIS2. Indholdet i denne artikel er baseret på vores egen gennemgang af NIS2-kravene og vores erfaring med overholdelse af lovgivningen samt inspiration fra forskellige organisationer, der tilbyder rådgivningstjenester. Vi påtager os intet ansvar for manglende overholdelse af NIS2-kravene eller for konsekvenser som følge af brugen af denne vejledning.