I syfte att kunna framtvinga en implementering av reglerna i NIS2 innehåller direktivet en möjlighet att som en sista utväg tillfälligt förbjuda personer att utöva ledningsfunktion. Hur detta kommer att implementeras i svensk rätt återstår att se, men i det här inlägget ska vi resonera lite kring hur den möjligheten i praktiken kan komma att förhålla sig till Aktiebolagslagen.
Syftet med NIS2 är att samordna och förstärka minimikraven inom cybersäkerhet för samhällsviktiga verksamheter inom EU. Direktivet är en tydlig signal till såväl offentlig som privat verksamhet att cybersäkerhet är en strategisk och viktig fråga för samhällsviktiga verksamheter som ledningen för verksamheterna ska ta på stort allvar.
Enligt svenska förhållanden är det i och för sig ingen nyhet att ledningen för ett bolag eller offentlig verksamhet också är ansvarig för densamma. NIS2 är emellertid mycket tydlig på den punkten, med uttryckliga krav på att ledningen ska genomgå relevanta utbildningar, godkänna riskhanteringsåtgärder och sedan fortlöpande kontrollera att regelverket efterlevs. Myndigheter ges också kraftigt utökade tillsyns- och sanktionsmöjligheter jämfört med nu gällande NIS-direktiv, och kan till och med som en absolut sista åtgärd tillfälligt förbjuda personer i ledningen att utöva ledningsfunktioner. Motsvarighet till en sådan bestämmelse finns inte i svensk rätt i dag och när NIS2 implementeras i svensk rätt måste lagstiftaren överväga hur en sådan bestämmelse ska förhålla sig till associationsrätten.
Möjligheten att tillfälligt förbjuda personer att utöva ledningsfunktion gäller endast för väsentliga entiteter i privat sektor. Väsentliga entiteter är som huvudregel definierade som verksamheter med minst 250 anställda och en omsättning om minst 50 MEUR, förutsatt givetvis att verksamheten är samhällsviktig och omfattas av NIS2. Med tanke på nivån på tröskelvärdena torde den absoluta majoriteten av väsentliga entiteter inom privat sektor vara organiserade som aktiebolag. Det finns därför anledning att titta närmre på hur regeln i NIS2 om att tillfälligt förbjuda personer i ledningen att utöva ledningsfunktioner förhåller sig till aktiebolagslagen (ABL).
Enligt ABL består aktiebolagets ledning av styrelsen och VD, om sådan utsetts. Styrelsen svarar ytterst för bolagets organisation och förvaltningen av bolagets angelägenheter. VD:s ansvar är definierat som att sköta den löpande förvaltningen enligt styrelsens anvisningar. Styrelsen utses som huvudregel av bolagets bolagsstämma och styrelsen utser sedan bolagets VD. Några ytterligare ledningsfunktioner finns inte i ett aktiebolag enligt ABL. Ledningsgrupper i aktiebolag har ingen formell, författningsreglerad, roll utan får ses som ett rådgivande organ till VD.
Ansvarsfördelningen mellan styrelse och VD är ganska övergripande beskriven i ABL och det är därför alltid viktigt att tydliggöra ansvarsfördelningen ytterligare och definiera ramar och mandat för VD för att skapa bättre tydlighet. Det sker normalt sett genom att styrelsen utfärdar en VD-instruktion som tydliggör VD:s mandat och hur rapportering till styrelsen ska gå till. I publika aktiebolag är en skriftlig ansvarsfördelning mellan styrelsen och VD dessutom ett krav enligt ABL. Normalt sett är det inom VD:s ansvarsområde att säkerställa att bolaget följer gällande lagar och regler samt se till att bolagets riskexponering är under kontroll, och det åligger styrelsen att hålla sig informerad och följa upp att så är fallet. Såväl styrelsen som VD har alltid möjlighet – och förväntas också – delegera arbetsuppgifter, men ansvaret ligger alltid slutligt på VD och styrelsen. Mot bakgrund av NIS2:s tydliga inriktning mot att ”ledningen” måste ta ansvar samt ABL:s uppbyggnad, ligger det nära till hands att VD är den befattningshavare som primärt skulle kunna bli föremål för förbud att utöva ledningsfunktioner.
Om vi bortser från rent kriminella handlingar är det svårt att se en situation som föranleder ett temporärt förbud att utöva ledningsfunktioner inträffa i praktiken. Det har i så fall förmodligen föregåtts av ett haveri i verksamheten där bolaget har mycket allvarliga och/eller upprepade brister som inte åtgärdas och har totalt ignorerat att lyssna på tillsynsmyndigheten trots vitesförelägganden med mera. Tanken med bestämmelsen är naturligtvis i första hand att verka avskräckande, men om situationen skulle inträffa inställer sig frågan vilken nytta ett tillfälligt avsättande av VD skulle ha i en verksamhet med allvarliga problem där styrelsen inte heller agerat och avsatt en VD som inte klarat av sin uppgift.