Umfangsmiklar breytingar verða gerðar á net- og upplýsingaöryggislöggjöf Evrópusambandsins á næstu misserum með innleiðingu DORA-reglugerðarinnar og NIS2-tilskipunarinnar en farið var yfir efni regluverksins á sameiginlegum fundi LOGOS og Sensa á dögunum.
DORA-reglugerðin (e. Digital Operational Resilience Act) snýr að rekstraröryggi fjármálafyrirtækja, með tilliti til net- og upplýsingaöryggis. Hér á landi er fyrirhuguð gildistaka í byrjun júlí 2025.
NIS2-tilskipunin snýr að öryggi net- og upplýsingakerfa rekstraraðila mikilvægra innviða en um er að ræða útvíkkun á gildissviði gildandi tilskipunar um netöryggismál, NIS1. Tilskipunin er til skoðunar hjá sameiginlegu EES nefndinni en reiknað er með innleiðingu hér á landi árið 2026.
Bæði DORA-reglugerðin og NIS2-tilskipunin kveða á um ríka ábyrgð stjórnenda og stjórnar. Samkvæmt DORA geta stjórnendur persónulega sætt sektum allt frá 100 þúsundum króna til 700 milljóna króna, eftir alvarleika og umfangi brotsins. NIS2 kveður einnig á um að ríki þurfi að tryggja persónulega ábyrgð stjórnenda.
Áslaug Björgvinsdóttir lögmaður og meðeigandi LOGOS, segir áhugavert að fylgjast með því hvernig þessi ákvæði NIS2 verða innleidd.
„Það má ganga út frá því að það verði hægt að leysa stjórnarmenn og stjórnendur frá störfum, að hægt verði að sekta þá persónulega og að alvarleg brot geti jafnvel varðað fangelsisvist.“
Áslaug segir að með þessu sé verið að færa ábyrgðina á net- og öryggismálum inn í stjórnarherbergin sem sé mikilvægt enda geta atvik haft gríðarlegar afleiðingar, á orðspor sem og fjárhag þess fyrirtækis sem verður fyrir atvikinu, en afleiðingarnar geta einnig haft keðjuverkandi áhrif á fleiri fyrirtæki og stofnanir og jafnvel á samfélagið.
Nánar er fjallað um málið í Viðskiptablaðinu. Áskrifendur geta lesið fréttina í heild hér.
