NIS2 bøter og styreansvar: Hva risikerer norsk ledelse?

Med NIS2-direktivet gjør EU noe de fleste styremedlemmer i norske bedrifter ikke er forberedt på: De gjør cybersikkerhet til et personlig lederansvar — med reelle økonomiske konsekvenser. Direktivet innfører bøter på GDPR-nivå og gir tilsynsmyndigheter mulighet til, som et siste eskaleringstiltak, å be domstolene om midlertidig å fjerne ledere som ikke sørger for etterlevelse. For norske virksomheter som omfattes av NIS2, er spørsmålet ikke lenger om cybersikkerhet er et styreansvar, men hvordan styret dokumenterer at de faktisk tar det ansvaret.

Bøtene: to nivåer avhengig av klassifisering

NIS2 skiller mellom vesentlige og viktige virksomheter, og bøtenivåene er ulike for hver kategori.

Vesentlige virksomheter — som typisk omfatter sektorer som energi, transport, helse, bank og digital infrastruktur — risikerer bøter på opptil €10 millioner eller 2 % av global årsomsetning, det høyeste beløpet gjelder.

Viktige virksomheter — som kan omfatte avfallshåndtering, matforsyning, produksjon og digitale tjenester — risikerer bøter på opptil €7 millioner eller 1,4 % av global årsomsetning.

Bøtene kan ilegges for brudd på sikkerhetskravene i Artikkel 21 (risikostyringstiltak) eller rapporteringsplikten i Artikkel 23 (hendelsesrapportering). I praksis betyr det at manglende risikoanalyse, utilstrekkelig leverandørkontroll eller forsinket varsling av en sikkerhetshendelse alle kan utløse sanksjoner.

Ved utmåling av bøter skal tilsynsmyndigheten blant annet vurdere overtredelsens alvor og varighet, om det foreligger tidligere brudd, hvorvidt virksomheten har samarbeidet med myndighetene, og hvilke tiltak som ble iverksatt for å begrense skaden.

Styrets nye ansvar under NIS2

Artikkel 20 i NIS2 plasserer ansvaret for cybersikkerhet eksplisitt hos ledelsen. Bestemmelsen pålegger tre konkrete plikter.

For det første: Styret skal godkjenne virksomhetens sikkerhetstiltak etter Artikkel 21. Det betyr at tiltakene må behandles og vedtas av ledelsen — ikke bare besluttes av IT-avdelingen.

For det andre: Styret skal føre tilsyn med gjennomføringen av disse tiltakene. Det holder ikke å vedta en policy; ledelsen må aktivt følge opp at den etterleves.

For det tredje: Medlemmer av ledelsen er pålagt å gjennomgå opplæring i cybersikkerhet, slik at de har tilstrekkelig kunnskap til å identifisere risikoer og vurdere virksomhetens sikkerhetspraksis. NIS2 oppfordrer også til at tilsvarende opplæring tilbys øvrige ansatte.

Denne kombinasjonen av godkjenning, tilsyn og opplæring gjør det vanskelig for styremedlemmer å hevde at cybersikkerhet var «IT-avdelingens ansvar» dersom det oppstår et brudd.

Personlig ansvar og midlertidig suspensjon

NIS2 går lenger enn de fleste regelverk ved å innføre personlig ansvar for ledelsen. Dersom en virksomhet bryter sikkerhetskravene, kan medlemmer av ledelsen holdes personlig ansvarlig for brudd på sine plikter etter direktivet. Dette gjelder både vesentlige og viktige virksomheter.

For vesentlige virksomheter finnes det i tillegg et særlig sterkt virkemiddel i Artikkel 32: Dersom vanlige håndhevingstiltak — som pålegg, advarsler og bindende instrukser — ikke har ført frem, og en fastsatt frist for å rette opp manglene er oversittet, kan tilsynsmyndigheten be relevante organer eller domstoler om å midlertidig forby personer på daglig leder- eller juridisk representant-nivå å utøve ledelsesfunksjoner i virksomheten. Suspensjonen gjelder kun inntil manglene er rettet, og er underlagt rettssikkerhetsgarantier. Det er altså et eskalert siste utvei-tiltak — ikke noe tilsynsmyndigheten kan gripe til som førstevalg.

For viktige virksomheter gjelder ikke denne suspensjonsmuligheten, men personlig ansvar er fortsatt aktuelt.

Hva gjelder i Norge i dag?

Digitalsikkerhetsloven og digitalsikkerhetsforskriften trådte i kraft 1. oktober 2025 og gjennomfører det opprinnelige NIS-direktivet (NIS1) i norsk rett. Enkelte løsninger i forskriften er likevel utformet med blikk på NIS2, særlig innen varsling, tilsyn og sanksjoner.

Sanksjonsrammene er allerede betydelige: Overtredelsesgebyr kan utgjøre opptil 25 ganger grunnbeløpet i folketrygden (ca. 3,25 millioner kroner per 2025/2026) eller 4 % av virksomhetens årsomsetning, avhengig av hvilket beløp som er høyest. Det er satt et øvre tak på 50 millioner kroner.

Et viktig poeng: Digitalsikkerhetsloven § 17 åpner for at overtredelsesgebyr kan ilegges ikke bare virksomheten selv, men også fysiske personer som handler på vegne av tilbyderen. Forarbeider og høringsmaterialet bekrefter at dette er tilsiktet, men presiserer at det skal brukes når det er nødvendig i det enkelte tilfellet. Beløpstaket for fysiske personer er 25G, mens taket på 4 % av omsetning og 50 millioner kroner gjelder for foretak. Beløpsrammene er fastsatt i forskriften § 24.

NIS2-direktivet er EØS-relevant, men er ennå ikke innlemmet i EØS-avtalen. Regjeringen har varslet at NIS2 og CER-direktivet (om motstandsdyktighet i kritiske virksomheter) skal følges opp i en ny sektorovergripende lov. Den endelige lovtekniske løsningen og tidslinjen er ikke avklart, men flere kilder anslår implementering i løpet av 2026. NSM er det primære tilsynsorganet, med sektorspesifikke tilsynsmyndigheter for blant annet energi (NVE) og finans (Finanstilsynet).

Bøtene under NIS2 vil sannsynligvis bli vesentlig høyere enn dagens rammer. For en norsk virksomhet med 100 millioner kroner i omsetning er forskjellen konkret: Under dagens lov er maksimumsgebyret 4 millioner kroner (4 % av omsetning). Under NIS2, dersom virksomheten klassifiseres som viktig, setter direktivet en minimumsramme på opptil €7 millioner (ca. 80 millioner kroner). De endelige norske bøtesatsene under NIS2 er ikke fastsatt ennå og kan avvike fra direktivets minimumsrammer.

Hva bør din virksomhet gjøre nå?

Du trenger ikke vente på at NIS2 trer i kraft i Norge for å begynne å forberede deg. Kravene i Artikkel 20 og 21 bygger på gode sikkerhetsprinsipper som allerede følger av digitalsikkerhetsloven og anerkjente rammeverk som NSMs grunnprinsipper og ISO 27001.

Sørg for at cybersikkerhet er et fast punkt på styrets agenda, med dokumenterte vedtak. Gjennomfør en kartlegging av virksomhetens modenhet på tvers av NIS2s ti sikkerhetskategorier. Sørg for at styremedlemmer og ledelse har gjennomgått opplæring i cybersikkerhet — og dokumenter det. Etabler klare rutiner for hendelseshåndtering og varsling som kan oppfylle NIS2s tidsfrister. Og vurder virksomhetens styreansvarsforsikring (D&O) — mange standardpoliser dekker ikke cybersikkerhetshendelser.

Det ansvaret som følger av NIS2 må også sees i sammenheng med det overordnede ansvaret som allerede følger av aksjeloven, hvor styret har det generelle ansvaret for forvaltningen av selskapet. NIS2 legger til en eksplisitt cybersikkerhetsdimensjon til dette eksisterende ansvaret.