Styrets ansvar for cybersikkerhet strammes til
Den sterkt økende risikoen for cyberangrep betyr at dersom selskapet har lav cybersikkerhet, kan det gi ansvar, både personlig og for selskapet. Her forklarer vi to nye forhold som gjør at risikoen for ansvar nå er blitt ekstra stor, og hvordan du bør håndtere dette.
Det første forholdet er nye og strengere krav til cybersikkerhet. EU leder som vanlig an, og introduserer flere nye rettsakter om cybersikkerhet, hvorav de viktigste for selskaper er Cyber Resilience Act, NIS2 og DORA.
Cyber Resilience Act stiller krav til sikkerhet i «dingser» – produkter med digitale elementer – men også programvare. Kravene kan omfatte alt fra tilkoblede kameraer og WiFi-rutere, til biometriske lesere og leker.
NIS 2-direktivet gjelder sikkerhet i nettverks- og informasjonssystemer til private og offentlige aktører i et bredt spekter av sektorer. Dekningsområdet utvides kraftig fra NIS 1, som først nå gjennomføres i norsk rett gjennom digitalsikkerhetsloven. NIS 2 vil nok følge på ganske raskt.
Digital Operational Resilience Act («DORA») etablerer nye krav til cybersikkerhet i finansinstitusjoner. Reglene vil ikke bare omfatte de store bankene vi alle er kunde av, men blant annet også selskaper som tilbyr betalingsløsninger, investeringsselskaper, forsikringsselskaper, folkefinansieringsselskaper, revisjonsfirmaer og leverandører av IT-tjenester.
Felles for alle reglene er at en vesentlig del av virksomheters ansvar for cybersikkerhet tillegges styret.
Høyesterett har blitt klarere
Det andre forholdet er Høyesteretts tilstramning av styreansvaret etter aksjelovene. Utgangspunktet for erstatningsansvar i norsk rett er at den som har forårsaket tap eller skade må ha opptrådt uaktsomt for å bli erstatningsansvarlig - et krav om at det må foreligge skyld.
Høyesterett gjorde det klart i en dom fra 2016 at der «plikter som objektivt sett gjelder for vedkommende» er overtrådt, er det en presumsjon (en antakelse) om at vedkommende har opptrådt uaktsomt.
Dommen innebærer at norske domstoler vil anta at styret i selskaper som reguleres av de nye reglene om cybersikkerhet har opptrådt uaktsomt dersom reglene ikke overholdes, og det oppstår et tap eller en skade.
Hvilke grep bør tas?
For å unngå overtredelse bør man starte med å finne ut om egen virksomhet er omfattet av de nye reglene. Dersom svaret er ja, er neste steg å forstå innholdet i reglene, og så finne ut i hvilken grad reglene allerede etterleves (normalt svært lite).
Til slutt må virksomheten legge en plan for å lukke gapene og så faktisk følge denne. Alle stegene krever sitt, særlig det siste.
Selv med godt arbeid gjort, blir du aldri helt sikker. Restrisikoen anbefaler vi du håndterer ved å tegne en cyber-forsikring.
Når gjelder de nye reglene?
De første reglene har gjennomføringsfrist i EU i oktober i år, og vil tre i kraft umiddelbart. Norske myndigheter har gitt signaler om at reglene skal gjennomføres samtidig i norsk rett.
Artikkelen er også publisert på digi.no: Styrets ansvar for cybersikkerhet strammes til.
Relaterte artikler
Tror du IT-leverandøren din vil redde deg? Tro igjen
Når ansvarsbegrensninger i avtaler står sterkt, kan selv alvorlige datainnbrudd ende med små erstatninger. Dette er l...
Les merKristian Foss bidrar til ny internasjonal rapport om trygg og inkluderende digital identitet
Kristian Foss, partner i Bull, har bidratt til den norske delen av en ny rapport som tar for seg kritiske bruksområde...
Les merEn ny æra av cybersikkerhet i Europa
EU har vedtatt NIS 2-direktivet, som trer i kraft for medlemslandene fra 18. oktober 2024. Formålet er å styrke cyber...
Les mer
Hvordan kan vi hjelpe deg?
Trenger du juridisk hjelp? Ring oss eller send en e-post for en helt uforpliktende prat.