Hvem er ledelsen og hvilke opgaver har ledelsen?

Ledelsen i NIS2-sammenhæng er de personer i virksomheden, der har det overordnede ansvar for at træffe vigtige beslutninger og sikre, at virksomheden fungerer, som den skal. Det kan være en bestyrelse, en direktør eller en gruppe ledere – det afhænger af, hvordan virksomheden er organiseret.

Private sektor

For private selskaber og organisationer er ledelsen defineret således:

1. Bestyrelse i selskaber, der har en direktion og en bestyrelse
2. Direktionen i selskaber, der alene har en direktion
3. Direktionen i aktie- og anpartsselskaber (A/S og ApS), der både har en direktion og et tilsynsråd
4. For de selskaber, der hverken har en bestyrelse eller en direktion, det ledelsesorgan, der har en kompetence, der svarer til den almindelige opfattelse af den kompetence, der tilkommer en bestyrelse eller en direktion (gælder kun virksomheder, der ikke er omfattet af selskabsloven f.eks. enkeltmandsvirksomheder, interessentskaber, kommanditselskaber, andelsselskaber og fonde eller foreninger med erhvervsmæssig aktivitet).

Offentlige myndigheder

For offentlige myndigheder gælder, at det er den øverste administrative ledelse i myndigheden. Dette vil være direktionen for myndigheden eller andet ledelsesorgan på tilsvarende niveau.

I statslige myndigheder vil ledelsesorganet f.eks. være en direktion, hvis myndigheden har en direktion. I et departement, som ikke har en direktion, vil ledelsesorganet være departementschefen og vicedirektører/afdelingschefer. I en styrelse vil ledelsesorganet være direktionen. I regioner vil ledelsesorganet være koncerndirektionen eller tilsvarende. I kommuner vil ledelsesorganet være direktionen eller tilsvarende.

Ledelsens opgaver og sanktioner

Ledelsen skal:

1. Godkende foranstaltninger til styring af cybersikkerhedsrisici
2. Føre tilsyn med implementering af foranstaltninger i virksomheden
3. Gennemføre kurser med henblik på at have tilstrækkelige viden og kompetencer til at styre virksomhedens cybersikkerhedsrisici
4. Tilbyde kurser/læring til sine ansatte
5. Tage ansvar for virksomhedens overholdelse af NIS 2-loven

For at opfylde kravene kan ledelsen som eksempel ved regelmæssige ledelsesmøder have et punkt om cybersikkerhedsrisici og implementeringen af NIS2. Dette sikrer, at ledelsen får godkendt foranstaltningerne og har styr på implementering. På denne måde dokumenterer man også, at ledelsen tager ansvar for overholdelse af NIS2

Ledelsen kan godt uddelegere konkrete opgaver til eksempeltvis en IT-chef, et cybersikkerhedsudvalg eller eksterne rådgivere – men ansvaret bliver hos ledelsen. Det betyder, at man ikke kan "fraskrive sig" ansvaret, bare fordi andre udfører arbejdet.

Hvis ledelsen ikke tager sit ansvar alvorligt, og det får alvorlige konsekvenser, kan der i særlige tilfælde blive tale om personlige sanktioner – som for eksempel at en person midlertidigt kan blive forbudt at have ledelsesansvar i virksomheden.

Uddannelse af ledelsen

NIS2 stiller krav om, at ledelsen har de nødvendige kompetencer til at varetage ansvaret for cybersikkerhed. Det betyder, at medlemmer af ledelsen skal:

• Deltage i relevante kurser eller træningsaktiviteter, der giver viden om risikostyring, trusselsbilleder og strategisk sikkerhedsledelse.
• Kunne forstå og vurdere anbefalinger fra specialister og eksterne rådgivere – også selvom de ikke selv er tekniske eksperter.
• Sikre, at ledelsen som kollektiv besidder de nødvendige kompetencer.

Kravet er fleksibelt og kan opfyldes på flere måder:

• Kurser i anerkendte sikkerhedsstandarder (fx ISO 27001, NIST CSF).
• Workshops med fokus på ledelsesansvar og cybergovernance.
• Interne seminarer målrettet organisationens kontekst og trusselsbillede.

Uddannelsen skal kunne dokumenteres, f.eks. gennem kursusbeviser eller deltagelseserklæringer.

Uddannelse af medarbejdere

Ledelsen har ansvar for, at virksomhedens medarbejdere har de nødvendige kompetencer til at håndtere cybersikkerhed i praksis. Det betyder, at der skal være en politik og praksis for løbende uddannelse af medarbejdere med fokus på:

• Grundlæggende awareness: Phishing, adgangskoder, datadeling mv.
• Rollebaseret træning: Særskilt uddannelse til systemadministratorer, udviklere eller kundeservicemedarbejdere, mv.
• Hændelseshåndtering: Hvordan medarbejdere skal reagere, hvis de oplever en sikkerhedshændelse.

Alle medarbejdere behøver ikke lige stor viden og færdighed inden for cyber- og informationssikkerhed. Uddannelsen af medarbejderne bør tilpasses medarbejdernes rolle og ansvar. Uddannelse kan gennemføres som e-læring, workshops, scenariebaserede øvelser eller som en del af onboarding.