Due diligence:
Ledningens ansvar för cyberrisker

Cyberattacker är en realitet i näringslivet och inte längre något som händer ”där ute”. De flesta blir aldrig kända, men många företag har redan drabbats av produktionsstopp, äventyrat konfidentiella uppgifter, förlorat pengar och råkat ut för utpressning. Vilket är ledningens ansvar för cyberrisker? Vad krävs i  form av Due diligence (företagsbesiktning)? Vilka rättsliga konsekvenser kan bristfälliga förberedelser få? Vad är Best practice?

Vilket är ledningens ansvar för cyberrisker?

Nya risker kräver förberedelser på en högre nivå, närmare bestämt så kallad due diligence (företagsbesiktning). Ledningen bör känna till och förstå cyberrisker och hur de hanteras,  även om de kanske saknar specifikt tekniskt kunnande. Det är lovande att informationssäkerhetsrisker såsom  cyberattacker redan ses som den främsta affärsrisken i många företag.

Räcker ökad medvetenhet?

Företagsbesiktning utförs av företagsledningen som inte bara utvärderar riskerna för en cyberattack, utan också inför lämpliga åtgärder och övervakar dess implementering. Under planeringen är den avgörande frågan hur man mäter åtgärdernas framgång.

”Vi kommer inte att utsättas för attack” är aldrig en klok utgångspunkt eftersom risker och sårbarheter är oförutsägbara. Frågan bör vara om er informationssäkerhet har höjts tillräckligt? Trots alla ansträngningar är det omöjligt att förhindra alla incidenter – det finns helt enkelt inte något som heter absolut säkerhet. Men med noggrant planerade åtgärder är det möjligt att höja informationssäkerheten till en nivå som bör hindra kritiska incidenter och de värsta konsekvenserna.

Jure Planinsek Head of Legal NIL part of Conscia - Ledningens ansvar för cyberrisker Due diligence företagsbesiktningSyftet med riskbedömning och säkerhetspolicys är aldrig att ”skapa dokument” utan praktisk handling genom att  företagets nyckelaktörer (IT, ledning, DPO, HR, PR och andra kritiska intressenter) samordnas och utrustas med adekvata resurser. Samordnade åtgärder och reaktioner är den enda möjligheten att förhindra kritiska incidenter och begränsa negativa konsekvenser. Den svagaste länken är ofta oinformerade användare. Cybersäkerhet är därmed alla anställdas ansvar – inte bara IT-teamets.

 ”Analys av cyberattacker avslöjar ofta otillräckligt identifierade risker, underlåtenhet att implementera lämpliga policyer, knapphändig samordning av nyckelaktörer och brist på kunskap och resurser.

Om ledningen kan visa att de har agerat i enlighet med due diligence kan de vara mindre bekymrade över de juridiska konsekvenserna.”

Jure Planinšek, M.Sc., Head of Compliance and Legal, NIL (del av Conscia Group)

Kan otillräcklig due diligence få rättsliga konsekvenser?

Vilka rättsliga konsekvenser kan otillräcklig företagsbesiktning få?

  • (a) Påverkan på affärs- och avtalsskadeansvar: Skadeståndsansvar och rättsliga konsekvenser vid förseningar anges ofta i kontrakt med kunder. Vid avtalsbrott är företaget därmed skyldiga att betala avtalsavgifter och/eller är skadeståndsskyldigt gentemot partnern. Utöver direkta skador orsakar cyberattacker ofta även indirekta skador, främst i form av förlorat förtroende och anseende hos kunderna. Indirekta skador är svårare att mäta och överstiger i många fall de direkta skadorna.
  • (b) Böter: Allt mer komplex lagstiftning som föreskriver due diligence för att skydda konfidentiella, personliga och andra typer av data betyder att cyberattacken kan inebära mycket höga böter. Till exempel betalade ett välkänt flygbolag böter på 22 miljoner euro när de misslyckades med att skydda kundernas personuppgifter tillräckligt.
  • (c) Förlust av tillstånd: För reglerade verksamheter såsom banker, försäkringsbolag och aktiemäkleri kan cyberattacken betyda att företagets licenser eller tillstånd att bedriva verksamhet återkallas, såväl som andra konsekvenser reglerade av speciallagstiftning.
  • (d) Straffrättsliga följder: Eftersom cyberattacker ofta karaktiseras som ett brott måste  brottsbekämpande myndigheter underrättas. I undantagsfall är ledningens straffansvar inte helt uteslutet om det skett grov vårdlöshet.
  •  (e) Ledningens ansvar för skador: Cyberattack kommer inte att förbises av företagets högsta ledning och ägare, som kan besluta att ledningen bör ersättas. Vid otillräcklig due diligence kan det finns rättslig grund för att ersättningsanspråk riktas direkt mot ledningen.

Vilka begränsningar har ledningens ansvar för cyberrisker?

I alla exempel ovan är den centrala juridiska frågan när det gäller professionalitet och ledningens ansvar om informationssäkerheten uppnådde tillräcklig nivå under cyberattacken. Försvaret att händelsen inte gick att förhindra är bara delvis accepterad. En ledning som har agerat omsorgsfullt och infört förebyggande åtgärder kommer inte att klandras.

När cyberattacken analyseras avslöjas ofta otillräckligt identifierade risker, underlåtenhet att implementera lämpliga åtgärder, bristande samordning av nyckelaktörer och brist på kunskap och resurser. Om ledningen kan visa att de har agerat i enlighet med due diligence kan de vara betydligt mindre bekymrade över juridiska konsekvenser.

Best practice?

Noggrann planering och prioritering gör adekvat cybersäkerhet möjlig. Även om hackare ständigt uppfinner nya attackmetoder kan erfarna experter implementera lösningar som minskar sannolikheten för för framgångsrik attack. Brist på kvalificerad personal och kostnadseffektiva lösningar betyder att de flesta organisationer anlitar partners med certifieringar, referenser och praktisk erfarenhet av säkerhetsincidenter.

Tack vare erfarenhet kan sådana partners också kan hjälpa till när en incident inträffar och det är nödvändigt att mildra negativa konsekvenser och följa komplex lagstiftning. Genomarbetade cybersäkerhetsplaner begränsas inte till IT-avdelning, mjukvarulösningar och/eller försäkringar, som aldrig kan täcka skadeeffekter såsom skadeansvar och försämrat rykte.

Vill du veta hur ni ökar er säkerhetsnivå?

Kontakta oss

Artikeln publicerades ursprungligen i AmCham YearBook – Power of Relationships 2022/2023.

 

Kontakta oss!
Svar inom 24h