STORE BØDER I VENTE MED NIS2

Med det kommende NIS2-direktiv forventes store bøder, hvis ikke kravene efterleves. Du kan her læse lidt om de forventede bøder og baggrunden herfor.

I NIS2-direktivet skelnes der mellem essentielle og vigtige organisationer. For Essentielle organisationer forventes bøder på op til 10 mio. Euro eller 2% af den årlige globale omsætning (det beløb der er højest) ved brud på NIS2-kravene. For de vigtige organisationer forventes bøder på op til 7 mio. Euro eller 1,4% af den årlige globale omsætning.

Til sammenligning er de maksimale bødestørrelser for brud på GDPR hhv. 20mio. EUR / 4% og 10 mio. EUR / 2% og altså ca. dobbelt så meget i fh.t. NIS2.

De 3 største bøder der er blevet givet under GDPR siden 2018:

Amazon, juli 2021 746 mio. Euro (USD 847mio.)
WhatsApp, september 2021, 225 mio. Euro
Google, januar 2019 50 mio. Euro

Amazon omsatte i det seneste afsluttede regnskab i 2020 for ca. 386 Mia USD. En bøde på 847 mio. USD er numerisk stor, men udgør ca. 0,2% af Amazons omsætning i 2020, så stadig et stykke vej fra maksimum.

Unikt for Danmark og Estland kan administrative enheder ikke uddele bøder. Det kan kun domstolene. Det er pålagt staterne at tilsikre, at domstolene følger niveauet for EU og bøder er signifikante og effektfulde, men der er et vist rum til national fortolkning, så længe bøden i hver enkelt sag skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning, jf. databeskyttelsesforordningens artikel 83, stk. 1. I Danmark er den største bøde under GDPR 10 mio. til Danske Bank april 2022.

Både GDPR og NIS2 lovgivning er risikobaseret og deler nogle af de samme elementer og principper. For eksempel vil virksomhedernes mitigerende indsatser, godkendte adfærdskodekser og certificeringsmekanismer komme i betragtning ved beslutning af bødestørrelse.

For GDPR har datatilsynet i januar 2021 udarbejdet en bødevejledning, der anvendes ved overtrædelser. Datatilsynet har med databeskyttelseslovens § 42 fået hjemmel til at udstede administrative bødeforlæg, hvis modtageren erkender overtrædelsen, og der foreligger et klart bødeniveau. Over tid forventes domstols og administrative niveau at harmoniseres, og der vil kunne fastsættes standardiserede bøder.

Efterfølgende har det Europæiske Databeskyttelsesråd (EDPB) EU 12. maj 2022 vedtaget en ny fælleseuropæisk bødevejledning, der læner sig op af Datatilsynets model fra 2021.

Datatilsynet inddrager, evt. formildende eller skærpende omstændigheder i vurderingen. Her kan Datatilsynet fx skele til, om virksomheden har afdækket sine aktiviteter og foretaget en risikovurdering, de faktiske forhold og hvad virksomheden gjorde efter, overtrædelsen blev opdaget.

Er overtrædelsen en førstegangsovertrædelse i den milde kategori, virksomheden samarbejdsvillig, har ageret agtpågivende, har foretaget en solid risikovurdering og taget foranstaltninger til at bringe forholdet til ophør, er det på trods af større bøderammer på GDPR har datatilsynet undladt bøder og i stedet nøjes med at udtale og offentliggøre kritik.

Den kompetente myndighed i Danmark for NIS2 er ikke fastlagt. Statslige myndigheders underretningspligt ved cyberangreb, skal anmeldes til Center for cybersikkerhed (CFCS). IT- kriminalitet meldes til Rigspolitiets Nationale Cyber Crime Center (NC3).

Rigsadvokaten spiller en central rolle for Bødevejledningen på GDPR, og da det er hensynet til grundloven, der regulerer muligheden for administrative bøder, er der formentlig en tilsvarende proces i vente med NIS2.

2024 NIS2 Direktiv implementeret i national lovgivning
Dansk (domstolspraksis) og EU-praksis etableres
Dansk lovgivning tilpasses så kompetent myndighed tildeles autoritet til at udstede administrative bøder
EU bødevejledning med beregningsmetode samt indikationer på et bødeudgangspunkt for overtrædelser af forskellig grovhed

Med historikken på GDPR er det svært pege på dansk GDPR initiativ med en positiv business case, hvis det alene blev målt på bødestørrelsen.

Motivationen til et NIS2 program bør ikke alene være drevet af truslerne om høje bøder om end et potentielt personligt ledelsesansvar kan være en ubehagelig faktor. Risikoen fra Cybercrime er mere sandsynlig og med større negativ effekt på forretningen og tilmed kan et sådant angreb være en udløsende faktor for et potentielt bødekrav.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

STORE BØDER I VENTE MED NIS2

Leave a Reply Cancel reply