NIS2-loven: Det digitale ansvar hviler på toppen

Fra maj 2025 er vandselskaber, der er omfattet af NIS2-loven, forpligtet til at tage aktivt ledelsesansvar for cybersikkerhed. Det betyder, at både direktion og bestyrelse skal kunne dokumentere, at de forstår og styrer virksomhedens digitale risici – og at de selv har gennemgået relevant efteruddannelse.

Er dit selskab omfattet?

NIS2-loven gælder for enheder, der leverer kritiske tjenester som drikkevand og spildevand – hvis de samtidig har mindst 50 ansatte eller en omsætning og balance over 10 mio. EUR. Derudover kan mindre enheder være omfattet, hvis deres funktion har særlig samfundsmæssig betydning. Hele selskabet er omfattet – ikke kun it-afdelingen.

Ledelsens ansvar:

• Godkende cybersikkerhedsforanstaltninger

• Føre tilsyn med implementeringen

• Gennemføre kurser i styring af cybersikkerhedsrisici

• Sikre, at relevante medarbejdere også uddannes

• Dokumentere det hele

Kan ansvaret uddelegeres?

Ja – men ikke fraskrives. Man kan nedsætte cybersikkerhedsudvalg eller lignende, men det samlede ledelsesorgan er fortsat ansvarligt over for loven.

Hvad sker der, hvis man ikke lever op?

NIS2-loven åbner for personlige sanktioner mod ledelsesmedlemmer i tilfælde af grov forsømmelse.