Styrets ansvar for cybersikkerhet strammes til

Styret har etter aksjelovene ansvar for forsvarlig organisering av selskapet, noe som også innebærer at både daglig leder og styremedlemmer kan bli erstatningsansvarlig for tap og skade. Særlig to forhold skjerper ansvaret.

For å unngå overtredelse bør man starte med å finne ut om egen virksomhet er omfattet av nye lover som Cyber Resilience Act, NIS2 og DORA, skriver advokatene Henrik Monrad Stranheim Krokå og Kristian Foss og advokatfullmektig Tara Årøe i Bull & Co Advokatfirma.
For å unngå overtredelse bør man starte med å finne ut om egen virksomhet er omfattet av nye lover som Cyber Resilience Act, NIS2 og DORA, skriver advokatene Henrik Monrad Stranheim Krokå og Kristian Foss og advokatfullmektig Tara Årøe i Bull & Co Advokatfirma. Foto: Bull & Co Advokatfirma AS
Henrik Monrad Stranheim Krokå, Kristian Foss og Tara Årøe i Bull & Co Advokatfirma AS
2. mai 2024 - 13:00

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Den sterkt økende risikoen for cyberangrep betyr at dersom selskapet har lav cybersikkerhet, kan det gi ansvar, både personlig og for selskapet. Her forklarer vi to nye forhold som gjør at risikoen for ansvar nå er blitt ekstra stor – og hvordan du bør håndtere dette.

Det første forholdet er nye og strengere krav til cybersikkerhet. EU leder som vanlig an og introduserer flere nye rettssaker om cybersikkerhet, hvorav de viktigste for selskaper er Cyber Resilience Act, NIS2 og DORA.

Cyber Resilience Act stiller krav til sikkerhet i «dingser» – produkter med digitale elementer – men også programvare. Kravene kan omfatte alt fra tilkoblede kameraer og wifi-rutere til biometriske lesere og leker.

NIS 2-direktivet gjelder sikkerhet i nettverks- og informasjonssystemer til private og offentlige aktører i et bredt spekter av sektorer. Dekningsområdet utvides kraftig fra NIS 1, som først nå gjennomføres i norsk rett gjennom digitalsikkerhetsloven. NIS 2 vil nok følge på ganske raskt.  

Digital Operational Resilience Act («DORA») etablerer nye krav til cybersikkerhet i finansinstitusjoner. Reglene vil ikke bare omfatte de store bankene vi alle er kunde av, men blant annet også selskaper som tilbyr betalingsløsninger, investeringsselskaper, forsikringsselskaper, folkefinansieringsselskaper, revisjonsfirmaer og leverandører av IT-tjenester.

Felles for alle reglene er at en vesentlig del av virksomheters ansvar for cybersikkerhet tillegges styret.  

Høyesterett har blitt klarere

Det andre forholdet er Høyesteretts tilstramning av styreansvaret etter aksjelovene. Utgangspunktet for erstatningsansvar i norsk rett er at den som har forårsaket tap eller skade, må ha opptrådt uaktsomt for å bli erstatningsansvarlig – et krav om at det må foreligge skyld.

Høyesterett gjorde det klart i en dom fra 2016 at der «plikter som objektivt sett gjelder for vedkommende» er overtrådt, er det en presumsjon (en antakelse) om at vedkommende har opptrådt uaktsomt.

Dommen innebærer at norske domstoler vil anta at styret i selskaper som reguleres av de nye reglene om cybersikkerhet, har opptrådt uaktsomt dersom reglene ikke overholdes – og det oppstår et tap eller en skade.

Mannen hadde fått et konsulentoppdrag som krevde laveste sikkerhetsklarering hos Telenor. Da klareringen tok uforholdsmessig lang tid, mistet mannen oppdraget og store inntekter, hevdet han i Oslo tingrett denne uka.
Les også

Skal ha lidd massivt tap: Konsulent mener oppdrag etter oppdrag forsvinner

Hvilke grep bør tas?

For å unngå overtredelse bør man starte med å finne ut om egen virksomhet er omfattet av de nye reglene. Dersom svaret er ja, er neste steg å forstå innholdet i reglene og så finne ut i hvilken grad reglene allerede etterleves (normalt svært lite).  

Til slutt må virksomheten legge en plan for å lukke gapene og så faktisk følge denne. Alle stegene krever sitt, særlig det siste.

Selv med godt arbeid gjort, blir du aldri helt sikker. Restrisikoen anbefaler vi du håndterer ved å tegne en cyberforsikring.

Når gjelder de nye reglene?

De første reglene har gjennomføringsfrist i EU i oktober i år og vil tre i kraft umiddelbart. Norske myndigheter har gitt signaler om at reglene skal gjennomføres samtidig i norsk rett.

Situasjonen innen cybersikkerhet er i en noe begredelig tilstand, indikerer en ny rapport.
Les også

Stor rapport: Farligere cybertrusler gir kraftig økning i stressnivå

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.