Vilket ansvar har styrelse och ledning för efterlevnaden av NIS2 i kommunal verksamhet?
Syftet med NIS2 är att samordna och förstärka minimikraven inom cybersäkerhet för samhällsviktiga verksamheter inom EU. Direktivet är en tydlig signal till såväl offentlig som privat verksamhet att cybersäkerhet är en strategisk och viktig fråga för samhällsviktiga verksamheter. Men vad innebär egentligen detta för styrelse och ledning? Det här är andra delen i en bloggserie där vi kommer ta upp ditt ansvar som styrelseledamot, vilken kunskap och verktyg du behöver ha och hur frågan kan hanteras som en del i styrelsens ordinarie arbete. Läs första delen här.
Den 5 mars 2024 redovisade utredningen om genomförande av NIS2- och CER-direktiven ett delbetänkande, SOU 2014:18, med förslag på implementering av NIS2 i svensk rätt genom en ny lag om cybersäkerhet. Inom den offentliga sektorn är regelverket obligatoriskt för statliga och regionala förvaltningsverksamheter med vissa undantag, men NIS2 lämnar också utrymme för medlemsländerna att omfatta även offentlig förvaltningsverksamhet på lokal nivå, dvs kommuner.1 Utredningen konstaterade att majoriteten av alla kommuner omfattas av NIS2-direktivets krav redan genom att en stor andel av samtliga kommuner bedriver hemsjukvård och att samtliga uppfyller storlekskravet. Utredarna drar därför slutsatsen att alla kommuner ska omfattas.2
NIS2 fäster stor vikt vid att det är högsta ledningen för respektive verksamhet som är ansvarig för implementeringen och uppföljningen av NIS2, och här redogör vi för utredningens förslag när det gäller ledningens ansvar för implementering och efterlevnad av NIS2 i kommunal verksamhet, dvs kommunfullmäktige, kommunstyrelsen och ledningen för kommunalt aktiebolag.
Ledningens ansvar enligt NIS2
De centrala bestämmelserna om ledningens ansvar återfinns i artiklarna 20.1, 32.5b och artikel 32.6
Artikel 20.1 anger att:
”Medlemsstaterna ska säkerställa att väsentliga och viktiga entiteters ledningsorgan godkänner de riskhanteringsåtgärder för cybersäkerhet som dessa entiteter vidtar för att följa artikel 21, övervakar genomförandet av dem och kan ställas till svars för entiteternas överträdelser av den artikeln.”
”Tillämpningen av denna punkt påverkar inte nationell rätt när det gäller de ansvarsregler som är tillämpliga på offentliga institutioner, samt ansvaret för statligt anställda och valda eller utnämnda tjänstepersoner.”
Av artikel 32.5b framgår att medlemsstaterna ska säkerställa att behöriga myndigheter har befogenhet att
”begära………… ett tillfälligt förbud för varje fysisk person som på nivån för verkställande direktör eller juridiskt ombud har ledningsansvar i den väsentliga entiteten att utöva ledningsfunktioner i den entiteten………………..”
”De efterlevnadskontrollåtgärder som föreskrivs i denna punkt är inte tillämpliga på sådana offentliga förvaltningsentiteter som omfattas av detta direktiv.”
Med artikel 32.6 införs ett krav på personligt ansvar för ledningen för en väsentlig entitet:3
”Medlemsstaterna ska säkerställa att varje fysisk person som ansvarar för eller agerar som juridiskt ombud för en väsentlig entitet har befogenhet att säkerställa att entiteten efterlever detta direktiv, på grundval av en befogenhet att företräda entiteten, att fatta beslut på dess vägnar eller att utöva kontroll över entiteten. Medlemsstaterna ska säkerställa att dessa fysiska personer kan hållas ansvariga för överträdelser av sitt uppdrag att säkerställa att detta direktiv efterlevs.”
”När det gäller offentliga förvaltningsentiteter påverkar inte denna punkt nationell rätt avseende det ansvar som åligger statligt anställda och valda eller utnämnda tjänstepersoner.”
Texten är svårförståelig, men den personkrets som avses är styrelseledamöter och VD.
Kommunfullmäktige
I NIS2 direktivet är offentlig förvaltning en egen sektor som omfattas av direktivet. I bilaga 1, punkt 10 till direktivet definieras offentlig förvaltning:
”Offentliga förvaltningsentiteter hos nationella regeringar såsom de definieras av en medlemsstat i enlighet med nationell rätt.”
”Offentliga förvaltningsentiteter på regional nivå såsom de definieras av en medlemsstat i enlighet med nationell rätt.”
I förslaget till implementering av NIS2 i svensk rätt har utredarna tagit fasta på begreppet ”förvaltningsentitet” i definitionen. Utredarna konstaterar att riksdagen, regionfullmäktige och kommunfullmäktige inte ryms under definitionen ”förvaltningsentitet” då de är beslutande församlingar. Kommunfullmäktige faller därför helt utanför och omfattas inte av lagförslaget.4
Kommunstyrelsen
Av samtliga artiklar som citerats ovan framgår uttryckligen att bestämmelserna inte är tillämpliga på ”offentliga förvaltningsentiteter”, vilket en kommunstyrelse är. I förslaget till den nya lagen om cybersäkerhet görs inga ändringar på den punkten. Det sagda innebär att implementeringen av NIS2 i svensk rätt enligt lagförslaget inte innebär några nya regler avseende kommunstyrelsens ansvar. Ansvaret följer fortsatt av allmänna förvaltningsrättsliga regler, framför allt kommunallagen (2017:725).
Kommunala aktiebolag
Kommunala aktiebolag betraktas inte som offentlig verksamhet i NIS2, utan faller under kategorin privat verksamhet. Det är således inte verksamheten utan organisationsformen som är styrande.
Enligt svenska förhållanden är det i och för sig ingen nyhet att ledningen för ett bolag också är ansvarig för densamma, vilket också utredarna tagit fasta på i SOU 2024:18. Utredningens uppfattning är att ledningens ansvar inte behöver regleras särskilt. Det följer redan av aktiebolagslagens (2005:551) 8 kap. 4 § att styrelsen svarar för bolagets organisation och förvaltningen av bolagets angelägenheter. I handelsbolag är det bolagsmännen själva som är ansvariga.5 Med ett undantag, som redogörs för nedan, införs det således inte heller i privat verksamhet några särskilda regler för ledningens ansvar, utan ansvaret regleras fortsatt enligt gällande lagar.
Möjligheten att tillfälligt förbjuda personer att utöva ledningsfunktion enligt artikel 32.6 i NIS2 direktivet införs dock i svensk rätt enligt utredningens förslag. Möjligheten omfattar bara verksamheter i privat sektor som överstiger tröskelvärdet för att betraktas som s.k. väsentliga entiteter och skulle således kunna bli tillämpbart för kommunala bolag med minst 250 anställda och en omsättning om minst 50 MEUR, förutsatt givetvis att verksamheten är samhällsviktig och omfattas av NIS2 och det svenska lagförslaget.
Utredningen om implementeringen av NIS2 i svensk rätt konstaterar att åtgärden, som ska beslutas av domstol, är en absolut sista utväg som kan bli aktuell endast i undantagsfall där styrelseledamot eller VD i bolaget agerat med uppsåt eller grov oaktsamhet.6
Sanktioner
I det svenska lagförslaget föreslås sanktionsavgifterna för offentlig sektor vara maximalt 10 000 000 kronor. I privat sektor, som även omfattar kommunala bolag, är den maximala sanktionsavgiften väsentligt högre.
För väsentliga verksamhetsutövarens är maxbeloppet den totala globala årsomsättningen närmast föregående räkenskapsår eller 10 000 000 euro. För viktiga verksamheter, dvs verksamheter som omfattas av NIS2 men som inte når tröskelvärdet för att betraktas som väsentliga, är det maximala beloppet 1,4 procent av verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår, eller 7 000 000 euro.
Slutsats
För kommunstyrelsen innebär lagförslaget ingen förändring när det gäller ledningens personliga ansvar som även fortsättningsvis kommer att regleras genom gällande lagstiftning.
Kommunala bolag betraktas inte som offentlig verksamhet utan faller under kategorin privat verksamhet. Enda skillnaden när det gäller ansvaret för kommunala bolag är att det införs en möjlighet att som en absolut sista åtgärd, tillfälligt förbjuda VD eller styrelseledamot att utöva ledningsfunktion i bolaget i fråga. I övrigt regleras ansvaret även fortsättningsvis genom gällande rätt.
Däremot är kraven på cybersäkerhet högre i den operativa verksamheten samtidigt som sanktionerna för organisationen är kännbara vilket indirekt ställer högre krav på styrelse och ledning.
Fotnoter
1: NIS2 direktivitet Artikel 2.5a
2: SOU 2024:18 sid 134 ff.
3: Väsentliga entiteter är som huvudregel definierade som verksamheter med minst 250 anställda och en omsättning om minst 50 MEUR.
4: SOU 2014: 18 sid 127 ff
5: SOU 2024: 18 sid 197
6: SOU 2024: 18 sid 272 ff.