NIS2: Personlig ansvar for ledelsen og ansatte
I denne tredje og siste artikkelen i vår serie om Network and Information System-direktivet («NIS2»), vil vi fokusere på hvilket personlig ansvar ledelsen og ansatte kan pådra seg dersom virksomheten de er involvert i ikke etterlever direktivet. NIS2 er enda ikke implementert i norsk rett, men minimums-direktivet danner likevel et gulv og byr på visse overraskelser.
Den største overraskelsen er kanskje NIS2s klare anvisning på at ansvaret for overtredelse av direktivets sikkerhetskrav skal være personlig. Overraskelse nummer to er retten tilsynsmyndighetene skal gis til å fjerne ledelsen midlertidig om andre av de tallrike sanksjonsmulighetene ikke virker godt nok. Retten til å nekte virksomheten å drive bør også nevnes i denne sammenhengen. I tillegg kommer det nå sedvanlige overtredelsesgebyret, på opptil minst 2 % av årsomsetningen.
Den største overraskelsen er kanskje NIS2s klare anvisning på at ansvaret for overtredelse av direktivets sikkerhetskrav skal være personlig.
Bakgrunnen for denne uvanlige reguleringen er, ikke overraskende, økningen i cybertrusler og sårbarheten i et snart totalt oppkoblet samfunn. Slik verdenssituasjonen har utviklet seg, med fundamental usikkerhet også sikkerhetspolitisk – Russland, Ukraina, USA og Kina er stikkord – blir sikkerhet i digital infrastruktur nesten et eksistensialistisk spørsmål for et moderne samfunn.
Det personlige ansvaret NIS2 introduserer er imidlertid ikke alene om å pålegge enkeltpersoner et mulig økonomisk ansvar. Det vi i norsk rett omtaler som styreansvaret, men som i realiteten omfatter mange flere personer enn dem i styret, virker parallelt og i samvirke med NIS2. De norske ansvarsreglene er derfor nødvendig å behandle når det personlige ansvaret i NIS2 skal forklares.
Vi begynner med å redegjøre for ansvarsreglene og noen utvalgte sanksjoner i NIS2 (pkt. 1), før det såkalte styreansvaret etter aksjeloven (asl.) § 17-1 behandles (pkt. 2). Til slutt sier vi noen ord om årssakssammenheng (pkt. 3) og forholdet mellom NIS2 og styreansvaret i Norge (pkt. 4).
Illustrasjon: Colourbox.com
1. Ansvaret etter NIS2
I dette punktet gir vi en oversikt over hvilke personer som kan bli ansvarlige, hvem som kan kreve erstatning, på hvilket grunnlag og for hvilke tap.
1.1 Hvilken personkrets kan bli personlig ansvarlige?
NIS2 art. 20 (1) leser:
«Member States shall ensure that the management bodies of essential and important entities approve the cybersecurity risk-management measures taken by those entities in order to comply with Article 21, oversee its implementation and can be held liable for infringements by the entities of that Article.
The application of this paragraph shall be without prejudice to national law as regards the liability rules applicable to public institutions, as well as the liability of public servants and elected or appointed officials.» [våre uthevinger]
1.1.1 Ledelsens ansvar – «management bodies»
Norge skal med andre ord sørge for at såkalte «management bodies» kan holdes ansvarlige for overtredelse av artikkel 21. Artikkel 21 gjelder mer eller mindre konkrete krav til sikkerhet, som omtalt i del 2 av vår artikkelserie: NIS2: Hvilke konkrete sikkerhetskrav gjelder?
Begrepet «management bodies» er ikke definert i NIS2. Rent språklig kan begrepet oversettes til «ledelsesorganer», noe som også brukes i den danske versjonen av NIS2. Begrepet gir imidlertid ikke mer veiledning ut over å åpne for at i det minste styrer og kanskje også daglige ledere kan bli holdt ansvarlige.
Ytterligere veiledning kan finnes i forarbeidene til lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA), som trådte i kraft 1. juli i år. Med henvisning til DORA (forordningen), art. 3 (30) med referanser uttaler departementet:
«Departementet viste i høringsnotatet bl.a. til at foretakene etter forordningen artikkel 5 nr. 1 skal ha et overordnet rammeverk for IKT-risikostyring, og at rammeverket etter nr. 2 skal fastsettes, godkjennes og overvåkes av foretakets ledelsesorgan («management body» på engelsk), jf. også omtale i punkt 2.4.2.2. Ledelsesorganet er definert i forordningen artikkel 3 nr. 30 ved henvisninger til annet regelverk, hovedsakelig slik at det vises til organet som har ansvaret for å utarbeide foretakets strategi og overordnede mål og overvåke ledelsens beslutninger. Departementet bemerket at dette organet i norsk kontekst vil være styret.» [våre uthevinger]
(Prop. 54 LS (2024–2025) pkt. 2.5.4.1)
I pkt. 2.4.2.2 uttaler departementet:
«Enkelte plikter som pålegges «ledelsesorganet» etter DORA-forordningen er imidlertid av en slik art at de etter norsk rett vil falle inn under det som vanligvis er daglig leders plikter. Den nærmere grensedragningen mellom styret og daglig leder omtales i punkt 2.5.4.3. Her fremgår det at departementet mener at det ved eventuell uklarhet om hvilket selskapsorgan som skal anses som ansvarlig etter DORA-regelverket, påhviler styret i norske foretak å avklare ansvarsfordelingen mellom styret og daglig leder.» [våre uthevinger]
Teksten i DORA-forordningen art. 3 (30), som proposisjonen viser til, lyder:
«or the equivalent persons who effectively run the entity or have key functions in accordance with relevant Union or national law;» [våre uthevelser]
Det sentrale synes dermed å være hvilke personer som reelt sett utøver kontroll over virksomheten eller funksjonen, selv om det skulle være andre enn styret og daglig leder. Siden formålet med slike regelverk er å ansvarliggjøre de personene som kan besørge etterlevelse, fremstår en slik pragmatisk tilnærming som formålstjenlig.
Det sentrale synes dermed å være hvilke personer som reelt sett utøver kontroll over virksomheten eller funksjonen.
Da de overordnede formålene med DORA og NIS2 i stor grad overlapper, er det gode grunner for å forstå «management bodies» på samme måte også i NIS2. En liten nyanseforskjell er imidlertid at NIS2 benytter «management bodies» i flertall, noe som kan forstås som at kretsen av mulige ansvarlige organer skal utvides i forhold til DORA. Uansett kan andre enn styret og daglig leder blir ansvarlige, noe for eksempel sikkerhets, IT-ansvarlige og andre som har «C» som første bokstav i engelsk stillingstittel (CEO, CFO, CTO, CISO, osv.) bør merke seg.
Som antydet i proposisjonen pkt. 2.4.2.2, sitert over, kan fastsatte ansvarsforhold bli avgjørende. Av den grunn bør styrer og daglige ledere sørge for å formalisere ansvarsfordelingen nedover i organisasjonen, slik at de selv ikke risikerer å bli sittende med et personlig ansvar for en oppgave de i praksis ikke befatter seg med.
1.1.2 Hva betyr spesialreguleringen for «essensielle» enheter?
NIS2 angir også kretsen av mulige ansvarlige ett annet sted, nemlig i art. 32 (6). Bestemmelsen leser:
«Member States shall ensure that any natural person responsible for or acting as a legal representative of an essential entity on the basis of the power to represent it, the authority to take decisions on its behalf or the authority to exercise control of it has the power to ensure its compliance with this Directive. Member States shall ensure that it is possible to hold such natural persons liable for breach of their duties to ensure compliance with this Directive.» [våre uthevinger]
Bestemmelsen gjelder altså bare «essensielle» enheter, men er klar på at fysiske personer skal kunne holdes ansvarlige (se del 1 i artikkelserien NIS2: Hvilke virksomheter og leveranser vil omfattes av fremtidens krav til cybersikkerhet infrastruktur?. Bestemmelsen er todelt: Den første delen pålegger landene å sørge for at personer som:
er juridiske representanter for en essensiell enhet;
har myndighet til å fatte beslutninger på enhetens vegne; eller
kan utøve kontroll over enheten
har myndighet til å etterleve direktivet. Myndighet skal følge ansvar.
Den andre delen av art. 32 (6) sier at slike personer skal kunne holdes personlig ansvarlige for brudd på deres plikter til å sørge for etterlevelse. Ansvar skal følge myndighet. Mekanikken bringer oss tilbake til betydningen av ansvarliggjøring i virksomheten.
Dersom en daglig leder (CEO) ikke har sørget for at for eksempel IT-sjefen (CTO) har myndighet til å etterleve NIS2, vil hun selv, som neste, bemyndigede person være den med myndighet til å etterleve. En slik bemyndiget person skal kunne holdes ansvarlig, som angitt i del to, selv om hun ikke i praksis har (direkte) befatning med det aktuelle området. Strukturen innebærer et brutalt incentiv for å formalisere ansvarsforholdene i virksomheten, noe som også er en del av formålet med NIS2.
Hvor langt ned i organisasjonen kan man tenke seg at et slikt ansvar går? La oss tenke oss at IT-sjefen tydelig (og skriftlig) har gitt nettverksansvarlig i oppgave å sørge for at datanettverket etterlever lover og regler. Videre at nettverksansvarlig får myndighet til å fatte beslutninger knyttet til nettverkssikkerhet (se b over), med en viss økonomisk handlefrihet. Så kompromitteres nettverket, og det blir klart at nettverket ikke etterlever kravene NIS2 stiller. Dersom nettverksansvarlig ved å bruke sin myndighet kunne unngått bruddet, vil hun i utgangspunktet kunne bli personlig ansvarlig.
Hvor langt ned i organisasjonen kan man tenke seg at et slikt ansvar går?
1.1.3 Kan offentlige tjenestepersoner blir personlig ansvarlige?
Mye av den infrastrukturen som NIS2 skal bidra til at blir sikker, besørges av det offentlige. Hvilket personlige ansvar offentlige tjenestepersoner har blir dermed av stor interesse.
Den danske versjonen av art. 20 (1) leser:
«Medlemsstaterne sikrer, at de væsentlige og vigtige enheders ledelsesorganer godkender de foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder har truffet med henblik på at overholde artikel 21, fører tilsyn med dens gennemførelse og kan gøres ansvarlige for enhedernes overtrædelser af forpligtelserne i nævnte artikel.
Anvendelsen af dette stykke berører ikke national ret for så vidt angår de ansvarsregler, der gælder for offentlige institutioner, samt ansvaret for embedsmænd og personer valgt eller udnævnt til offentlige hverv.» [våre uthevinger]
Utgangspunktet må være at også offentlige tjenestepersoner kan bli holdt ansvarlig ved brudd på NIS2, da første avsnitt i første ledd ikke gjør unntak for offentlige tjenestepersoner. Men av annet avsnitt følger at særlige ansvarsregler for offentlige tjenestepersoner i nasjonal rett ikke skal berøres. Direktivet fremhever særlig embedsmenn og valgte og utnevnte personer. Hvorvidt dette betyr at alminnelige ansatte er mer eksponert for ansvar, bør klargjøres i den norske implementasjonen.
Av særlig interesse er regler som fritar offentlig tjenestepersoner for personlig ansvar eller letter ansvaret. Den mest nærliggende reglen er arbeidsgiveransvaret, som er knesatt i skadeerstatningsloven (skl.) § 2-1. Bestemmelsen sier i korthet at arbeidsgiver er ansvarlig for skade forvoldt forsettlig eller uaktsomt «under arbeidstakerens utføring av arbeid eller verv for arbeidsgiveren». Går arbeidstakeren utenfor det som «er rimelig å regne med etter arten av virksomhet eller saksområde», bortfaller vernet. Arbeidsgiver kan gå til regress mot arbeidstaker «for så vidt det finnes rimelig» utfra situasjonen (skl. § 2-3).
Arbeidsgiveransvaret betyr dermed ikke et generelt ansvarsfritak for handlingen eller unnlatelsen, men at den skadelidte kan holde seg til arbeidsgiveren. I praksis vil nok det store flertallet av saker medføre at den offentlige ansatte ikke personlig blir ansvarlig, siden tapet eller skaden som søkes erstattet normalt vil være knyttet til utføringen av arbeid.
Samtidig finnes det regler som ansvarliggjør offentlig ansatte, som for eksempel lov om interkommunale foretak, allmennaksjeloven og som vi kommer til, aksjelovene.
Hvor grensen for personlig ansvar for offentlige ansatte skal trekkes bør klargjøres ved implementasjonen av NIS2 i norsk rett. Det ville være uheldig for incentivene til å levere sikre tjenester i henhold til kravene i NIS2 dersom offentlig ansatte i praksis ikke risikerte personlig ansvar. En slik forskjellsbehandling i forhold til privat ansatte vil også fremstå som vilkårlig og urettferdig.
1.2 Forholdet mellom essensielle og viktige enheter
Som det fremgår over finnes det i NIS2 to grunnlag for personlig ansvar. Hva blir da forholdet mellom spesialbestemmelsen i art. 32 (6) for essensielle enheter og den generelle reglen i art. 20 (1)? Omfatter art. 32 (6) flere personer?
Rent umiddelbart fremstår art. 20 (1) å omfatte mer seniorpersoner, jf. «management bodies», altså en noe snever personkrets. En snevrere personkrets rimer godt med at art. 20 (1) også gjelder viktige enheter, og ikke bare essensielle som art. 32 (6). Forståelsen understøttes av DORAs definisjon av «management body», selv om forskjellen da kanskje blir mindre åpenbar. Selv personer som bekler «nøkkelfunksjoner» i henhold til nasjonal (eller EØS-rett) vil være en snevrere krets enn dem omfattet av art. 32 (6).
Et beslektet spørsmål er hva betydningen av at personer i viktige enheter ikke er tillagt et personlig ansvar i art. 33 slik personer i essensielle enheter er det i art. 32. Gitt vår konklusjon over om at «essensielle» enheter har et personlig ansvar som kan gå lenger ned i organisasjonen enn den generelle reglen i art. 20 (1), er en nærliggende slutning at ansvaret for «viktige» enheter bare følger den generelle ansvarsregelen i art. 20 (1).
Vi mener det vil være unaturlig å tolke fraværet av en personlig ansvarsregel i art. 33 slik at brudd på kravene til sikkerhet i viktige virksomheter skulle kunne skje uten personlig ansvar. Også «viktige» enheter kan ha stor betydning for samfunnet. Slike «viktige» enheter kan pålegges overtredelsesgebyr. At gebyret er lavere enn for essensielle enheter, rimer med forskjellen i personkretsen som kan bli holdt personlig ansvarlig.
1.3 Ansvarsgrunnlag
Hverken art. 20 (1) eller 32 (6) angir om ansvar forutsetter uaktsomhet eller om skyld ikke kreves (objektivt ansvar). Fortalen er også taus om ansvarsgrunnlag. Bakgrunnen er trolig at spørsmål om valg av ansvarsgrunnlag anses å være et nasjonalt anliggende. Igjen blir det opp til departementet å foreslå ansvarsgrunnlag. Her vil vi nok se en del ulike regler fra land til land, inkludert å vise til erstatningsansvaret etter aksjelovene som vi kommer til i pkt. 2.
1.4 Hvem kan kreve og hva kan kreves?
NIS2 angir heller ikke hvem som kan kreve erstatning eller hvilke typer tap som kan kreves erstattet. Tredjepersoner som har lidd et tap bør kunne kreve erstatning. Men hva med virksomheten selv, vil den kunne holde sine egne ledere personlig ansvarlig? Og hva med aksjonærer som lider tap pga. manglende etterlevelse? Skal alle typer tap kunne kreves dekket av de ansvarlige? Vil det personlige ansvaret være et erstatningsansvar? Om ja, vil de som har lidd et tap kunne kreve kompensasjon for driftsforstyrrelser, gjenopprettingskostnader, bøter og andre økonomiske tap? Alle disse spørsmålene bør løses ved den nasjonale implementeringen.
1.5 Sanksjoner mot virksomheter som kan få betydning for det personlige ansvaret
For fullstendighetens skyld, og fordi krav mot en virksomhet kan begrunne et krav mot en fysisk person, tar vi med en kort oversikt over de mest sentrale sanksjonene i NIS2.
Overtredelsesgebyret er ett av ganske få reguleringer i NIS2 som skiller mellom essensielle og viktige virksomheter. For essensielle virksomheter skal et gebyr på minst opptil 2 % av årlig omsetning foregående rapporteringsår gjelde eller EUR 10 000 000 (NIS2 art. 34 (4)). Det høyeste beløpet skal legges til grunn. Tilsvarende tall for viktige virksomheter er 1,4 % og EUR 7 000 000 (5).
Ledelsen kan fjernes midlertidig etter NIS2 art. 32 (5) b dersom ikke varsel, instruks, pålegg eller anbefalinger som beskrevet i art. 32 (4) har gitt tilstrekkelig virkning.
Virksomheten kan stanses midlertidig etter art. 32 (5) a på samme vilkår som ledelsen kan fjernes.
Oppnevnelse av en overvåkingsansvarlig i en periode etter art. 32 (4) g.
Særlig de første tre sanksjonene nevnt over vil kunne medføre betydelige økonomiske belastninger for en virksomhet, og utgjør dermed de mest aktuelle grunnlagene for et krav mot de ansvarlige personene. De øvrige syv sanksjonene eller tiltakene listet i art. 32 (4); varsel, instruks, pålegg (opphør ulovlig adferd og etterlevelse), rapportering, anbefalinger og offentliggjøring, vil vanskeligere kunne tenkes å danne grunnlag for et krav.
Katalogen over sanksjoner er noe kortere for viktige virksomheter, regulert i art. 33. Disse slipper unna uten overvåkingsansvarlig, suspensjon av ledelse eller virksomhet og spesialregulering av personlig ansvar, som beskrevet over.
Som neste punkt vil vise, kan disse sanksjonene også få betydning etter det norske erstatningsansvaret nedfelt i aksjelovgivingen.
2 Det personlige Ansvaret etter norsk aksjelovgivning
For ikke å sprenge rammene for denne artikkelen begrenser vi oss til å behandle ansvaret etter den norske aksjeloven. Vi nevner likevel at annen lovgiving, for eksempel allmennaksjeloven og lov om interkommunale foretak, i stor utstrekning har likelydende regulering. Straffansvar kan også tenkes, enten gjennom bestemmelser i aksjeloven eller i straffeloven, men heller ikke dette vil behandles.
Det personlige ansvaret i norsk rett er ofte omtalt som styreansvaret. Begrepet styreansvar indikerer at det kun er personer med styreverv som vil kunne holdes personlig ansvarlig for tap. Slik vi vil vise under, er dette misvisende. «Styreansvaret» er i realiteten et regulært erstatningsansvar som kan strekke seg langt ned i organisasjonen.
2.1 Krav til styret og ledelsen
Før vi dykker dypere inn i det personlige ansvaret for styret og ledelsen er det hensiktsmessig å kort si noe om hvilke krav bakgrunnsretten stiller til de nevnte ved deres utøvelse av de aktuelle rollene og vervene.
Aksjeloven (asl.) inneholder ingen uttømmende krav til hvordan styret og ledelsen skal utføre sine oppgaver og hva oppgavene er. En grunnleggende forutsetning er imidlertid at styret og ledelsen plikter å utøve sine oppgaver i henhold til lov og vedtekter på en forsvarlig måte.
Styret og ledelsen har i henhold til aksjeloven et overordnet forvaltnings- og tilsynsansvar, jf. asl. §§ 6-12 - 6-14. Styret og ledelsen skal videre ivareta aksjeeiernes vinningsformål, jf. asl. §§ 2-2 (2), jf. 8-4 a, i tillegg til at styret har et særskilt ansvar for å sikre forsvarlig egenkapital og likviditet i selskapet, jf. asl. §§ 3-4 og 3-5.
I tillegg til dette må styremedlemmer ivareta interessene til kreditorer, kunder, ansatte, markedet og samfunnet som helhet. Denne balansegangen påvirker også forventningene som kan stilles til styret . Dette er understreket i rettspraksis, blant annet i Rt. 1993 s. 1399, og i lovforarbeidene, som Prop. 135L (2018-2019) s. 94-95. Styremedlemmer har også taushetsplikt og må avstå fra å utnytte forretningsmuligheter som kan komme i konflikt med selskapets interesser.
Ut over kravene som følger av dette må styret og ledelsens plikter normalt utledes av oppdraget (oppdragsavtalen) eller den underliggende ansettelsesavtalen. Kravene vil måtte avpasses ut fra størrelsen på virksomheten og risikoen i markedet virksomheten driver.
Gjennom disse pliktene er tanken at aksjeloven sikrer at styret opptrer med forsvarlighet og integritet, og at det balanserer ulike hensyn i tråd med selskapets formål og samfunnets forventninger.
2.2 Hvem kan bli ansvarlig?
Det såkalte styreansvaret er regulert av asl. § 17-1, som fastsetter at daglig leder, styremedlemmer, medlemmer av bedriftsforsamlingen, aksjeeiere og andre («den som») kan holdes erstatningsansvarlige for skade de har forårsaket forsettlig eller uaktsomt. Ansvaret er individuelt. Dermed kan ett styremedlem bli ansvarlig, mens andre går fri.
Personkretsen som kan gjøre krav om erstatning gjeldende er vid; både selskapet, en aksjeeier og «andre» kan kreve sitt tap erstattet. Selve erstatningsansvaret er slik ordlyden viser, heller ikke begrenset til styret alene, men kan pålegges «den som», altså medvirkeren. Medvirkeransvaret kan omfatte enhver som har bidratt til skaden, for eksempel regulære ansatte, samfunnsorganisasjoner eller interessegrupper, mv., jf. Aarbakke m.fl., Aksjeloven kommentarutgave, § 7-1 note 2.5. Dette gjør ansvar etter aksjeloven § 17-1 aktuelt for roller som for eksempel CFO, COO, CISO og CTO samt mer ordinære ansatte.
I LB-2023-22165 ble en prosjektleder holdt ansvarlig etter asl. § 17-1. Retten konkluderte med at han hadde hatt en så sentral rolle i et havarert oppussingsprosjekt at han sammen med daglig leder og styreleder ble ilagt erstatningsansvar overfor byggherren, med hjemmel i bestemmelsens medvirkeransvar. I THOS-2023-16539 (Nordlo), som riktignok ikke gjaldt styreansvaret, finner man uttalelser som går i retning av at det oppstilles et ansvar for ledelsen der underleverandører ikke oppfyller de forpliktelser som er pålagt dem i henhold til kontrakt, mv.
2.3 Ansvarsgrunnlag og andre vilkår for erstatningsansvar
Erstatningsansvar etter asl. § 17-1 forutsetter at de alminnelige vilkårene for erstatning er oppfylt. Herunder må det foreligge en skade eller et tap, ansvarsgrunnlag og årsakssammenheng. Kravet om årsakssammenheng viser til betingelseslæren. Altså må skaden eller tapet ha blitt påført i egenskap av utøvelse av vervet som styremedlem, daglig leder, osv. Se også pkt. 3.
Medvirkeransvaret er spesielt i den forstand at det forutsetter at det foreligger ansvarsgrunnlag for «hovedmannen» etter første ledd, men likevel slik at medvirkeransvaret ikke er betinget av at hovedmannen har opptrådt forsettlig eller uaktsomt – det er tilstrekkelig at hovedmannen har opptrådt rettsstridig, jf. Ot.prp. nr. 55 (2005-2006) s. 1686. Medvirker må kunne bebreides for å ha medvirket til hovedmannens rettsstridige handling, uten at medvirker selv må ha brutt en norm.
2.4 Når aktualiseres typisk styreansvaret?
Det følger av norsk rettspraksis at det er en presumsjon (antagelse) for uaktsomhet ved pliktbrudd, jf- HR-2016-1440-A (Håheller-dommen). Slike pliktbrudd kan oppstå ved brudd på lovpålagte forpliktelser, plikter fastsatt i vedtekter, etablerte prinsipper og avtaler. Ved introduksjon av NIS2, DORA og andre sikkerhetsregler vil volumet av slike forpliktelser øke voldsomt. Presumsjonsmekanismen og det økte regelomfanget understreker viktigheten av å utvise aktsomhet på alle områder, men særlig hva angår cybersikkerhet. Utviklingen gjør at forventningene til personer i de ulike stillingene blir svært viktig å avklare i forkant av at oppdraget påtas eller stillingen besettes.
Det følger av norsk rettspraksis at det er en presumsjon (antagelse) for uaktsomhet ved pliktbrudd.
Det er viktig å merke seg at manglende kvalifikasjoner ikke medfører ansvarsfrihet. Dette betyr at hvis man først har akseptert et styreverv eller en stilling, så har man samtidig bekreftet at man er kvalifisert til det aktuelle vervet eller stillingen.
I saker om erstatningsansvar etter asl. § 17-1 er det ofte brudd på handleplikten som anføres som ansvarsgrunnlag. Handleplikten innebærer at styret må ta nødvendige grep for å unngå eller begrense tap når for eksempel selskapets egenkapital eller likviditet er uforsvarlig (dårlig).
Cyberangrep kan tilsvarende få alvorlige økonomiske konsekvenser for en virksomhet, og kan i sin ytterste konsekvens lede til at handleplikten i asl. § 3-4 og § 3-5 utløses. Nedetid i systemene kan påvirke inntjeningen og omsetningen betydelig, mens betaling av løsepenger kan føre til umiddelbare belastninger på selskapets kontantbeholdning. Selv mindre angrep kan få så store økonomiske følger at de påvirker selskapets egenkapital og likviditet i en grad som utløser styrets handleplikt. Overtredelsesgebyr etter NIS2, kan gi tilsvarende virkning.
Når handleplikten inntrer, må styret vurdere handlingsrommet, identifisere mulige alternativer og iverksette tiltak for å rette på situasjonen. Dette kan inkludere å forhandle med trusselaktørene, betale løsepenger eller leie inn bistand til total nyetablering av IT-systemene. I ytterste konsekvens kan et tiltak være å foreslå selskapet oppløst (avviklet) eller melde oppbud. Se mer om styrets handlingsrom under i pkt. 2.5.
Dersom styret og ledelsen forholder seg passiv eller handler uforsvarlig, og derigjennom påfører for eksempel en aksjonær et tap, kan veien til erstatningsansvar være kort. Dette understreker viktigheten av at styret har en klar strategi og kompetanse til å håndtere krisesituasjoner som cyberangrep, samtidig som det oppfyller sine lovpålagte plikter.
2.5 Hvilket handlingsrom foreligger?
Som nevnt over i pkt. 2.4 er det en presumsjon for uaktsomhet ved pliktbrudd, jf. HR-2016-1440-A (Håheller).
Organiseringen av en virksomhet i et aksjeselskap innebærer imidlertid en ansvarsbegrensning. Begrensningen gjør at det kreves noe spesielt for at styret skal kunne holdes personlig ansvarlig for egne feildisposisjoner, jf. Rt. 1991 s. 119 (Normount). Herunder ligger det innenfor styrets å pådra selskapet rimelig risiko, jf. HR-2022-2484-A (Spiro). I samme avgjørelse viser Høyesterett til at det er rom for å ta feil; terskelen for å i ettertid holde styret ansvarlig for forretningsmessige feilvurderinger er høy.
Det sies gjerne at styret har et visst handlingsrom selv om handleplikten er utløst. Prinsippet har blitt bekreftet i en rekke rettsavgjørelser, for eksempel HR-2017-2375-A (Ulvesund) og LB-2023-130472-2 (Norske Skog). I denne rettspraksisen heter det at ledelsen har et visst strategisk handlingsrom, og det avgjørende for om man kan drive videre er om det er et realistisk håp om å redde selskapet, at ledelsen arbeidet aktivt og lojalt med dette for øyet, og eventuelt kastet kortene innen rimelig tid dersom man ser at redningsforsøket mislykkes.
Selv om den aktuelle rettspraksisen som her er gjengitt gjelder spesifikt for styret er det grunn til å tro at ledelsen generelt vil underlegges samme vurdering.
Vi står derfor overfor en situasjon hvor styret og ledelse har et ikke ubetydelig handlingsrom hva angår forretningsmessige beslutninger, samtidig som Høyesterett har strammet inn kravet til å etterleve konkrete plikter som følger av lov og andre normer. Dette legger press på styret og ledelsen, og bekrefter viktigheten av å ha klare ansvarsinndelinger og rutiner på plass.
2.6 Ansvarsfrihet
Ledelsen har slik vi har vist over et omfattende ansvar for å sikre at selskapet drives i tråd med lov, vedtekter og forsvarlige forretningspraksis. Selv om ansvaret er strengt, er det flere situasjoner hvor ansvarsfrihet kan tenkes. Aksjeloven § 17-2 gir anvisning på lemping, altså reduksjon, av erstatningsansvaret etter asl. § 17-1. Bestemmelsen i § 17-2 henviser til skadeserstatningsloven § 5-2 hvor det heter at erstatningsansvaret kan lempes når retten «under hensyn til skadens størrelse, den ansvarliges økonomiske bæreevne, foreliggende forsikringer og forsikringsmuligheter, skyldforhold og forholdene ellers» finner at ansvaret virker «urimelig tyngende» for den ansvarlige.
Manglende innsikt og/eller faktisk involvering i selskapets virksomhet og beslutninger, eller manglende tilstedeværelse i styremøter eller beslutningsprosesser kan også lede til ansvarsfrihet. Ren passivitet eller ubegrunnet fravær kan derimot være uaktsomt i seg selv og derfor ikke nødvendigvis ansvarsbefriende.
Det kanskje viktigste «forsvaret» mot ansvar for styremedlemmer eller personer i ledergrupper er å sørge for at vurderinger og eventuelle dissenser dokumenteres. Dokumentasjon av dissenser kan være en effektiv måte for enkeltpersoner å beskytte seg mot ansvar dersom for eksempel styret tar beslutninger som et medlem mener er uforsvarlige. Dissensen kan bidra til å tydeliggjøre at medlemmet har utvist aktsomhet, selv om flertallet har valgt en annen retning. Det samme gjelder dersom man som ordinær ansatt har gjort ledelsen oppmerksom på et kritikkverdig forhold, men opplever at anbefalingen om å bøte på situasjonen ikke blir tatt til etterretning. I et slikt tilfelle er det avgjørende å etablere skriftlige spor som viser at man faktisk har varslet om det kritiske forholdet, slik at ansvaret havner hos personen som reelt sett tok beslutningen.
2.7 Forsikring
Forsikringer spiller en viktig rolle i å redusere personlig risiko. Styreansvarsforsikring gir styret beskyttelse mot økonomiske krav som følge av erstatningskrav. Her bør selskapet være observant på at styreforsikringer ikke nødvendigvis beskytter andre personer enn styremedlemmene og daglig leder. I tillegg kan en god cyberforsikring være avgjørende for å dekke de betydelige kostnadene av cyberangrep. En kriminalitetsforsikring kan avlaste risiko utro tjenere representerer. Ansatte i selskapet vil være dekket av selskapets ordinære ansvarsforsikring. Bruk en anerkjent forsikringsmegler for konkrete råd.
3. Årsakssammenheng
Ansvar etter både NIS2 og asl. § 17-1 forutsetter at handlingen eller unnlatelsen har ledet til konsekvensen, et tap eller en skade. Jo mer sammensatte årsaksrekker, jo mer krevende vil det være å fastslå tilstrekkelig sammenheng. Ville en for eksempel en investering i et sikkerhetssystem til 150 000 kroner medført at et datainnbrudd ville blitt avverget? Om ja, var det uaktsomt å la være å bruke pengene, da man uansett ikke er garantert full sikkerhet og virksomheten hadde behov for pengene til andre viktige formål?
I prinsippet vil ikke en slik vurdering under NIS2 være vesentlig annerledes vurderingen av årsakssammenheng i andre komplekse saksforhold, inkludert ved vurderingen etter asl. § 17-1.
4. Skjerper NIS2 ansvaret i forhold til ASl. § 17-1?
Siden vi enda ikke vet hva som blir ansvarsgrunnlaget i NIS2, hvem som kan kreve hvem for hva, er det for tidlig å si om NIS2 isolert sett skjerper ansvaret. Innføringen av nye plikter, må vi imidlertid kunne anta at vil medføre at en person lettere kan bli kjent ansvarlig under det tradisjonelle styreansvaret i norsk rett.
5. Avslutning
Styrets, ledelsens og ansattes ansvar er en kompleks og dynamisk del av norsk selskapsrett. Med skjerpede krav til aktsomhet og økt fokus på risikostyring fra domstolenes side, men også som følge av nye plikter og økt angrepsrisiko, må styremedlemmer og ledelse være godt informert om sine plikter og ansvar. Rettspraksis viser at domstolene i stor grad respekterer styrets vurderinger, men at klare feilvurderinger kan føre til ansvar. Derfor er det avgjørende å ha en proaktiv tilnærming til styring og risikohåndtering.
