Center for Cybersikkerhed, der er en del af Forsvarets Efterretningstjeneste, har den 17. december 2019 offentliggjort en vejledning til bestyrelser om cybersikkerhed.
Vejledningen er et brugbart værktøj for bestyrelser til håndteringen af virksomheders cybersikkerhed, der er den første danske offentlige af sin art. Vejledningen kan findes her:
Som det fremgår af vejledningen, stiller denne fokus på blandt andet:
• Cyberkompetencer i bestyrelsen
• Udvalgte typer af cyberangreb
• Temaer i en cyberstrategi
• Anbefalinger til bestyrelsen
• En konkret værktøjskasse (centrale overvejelser i et bestyrelseslokale)
Vejledningen har Center for Cybersikkerhed bl.a. udarbejdet i samarbejde med Bestyrelsesforeningen, Kromann Reumert og Industriens Fond.
ARK’s kommentar
I et erstatningsretligt perspektiv er vejledningen interessant for bestyrelsesansvaret, idet et bestyrelsesmedlem kan ifalde et erstatningsansvar for det tilfælde, at denne ikke lever op til sine forpligtelser som bestyrelsesmedlem.
En af forpligtelserne for bestyrelsesmedlemmer i kapitalselskaber følger bl.a. af selskabslovens § 115, stk. 1, nr. 2, hvoraf fremgår, at bestyrelsen har en pligt til at påse, at der er etableret de fornødne procedurer for risikostyring og interne kontroller.
For det tilfælde, at et bestyrelsesmedlem har undladt at etablere de fornødne procedurer for risikostyring af cybersikkerhed, er der således en risiko for, at bestyrelsesmedlemmet ifalder et culpaansvar.
Det bemærkes, at vejledningen alene er ”soft law” og dermed ikke bindende for domstolene. Det er således op til domstolene at vurdere, hvornår et bestyrelsesmedlem i tilstrækkelig grad har undladt at risikostyre cybersikkerheden for selskabet, således at dette medfører et culpaansvar. I denne sammenhæng, kan vejledningen være med til at bidrage til, hvilke forhold, som bestyrelsesmedlemmet kunne have taget stilling til i risikohåndteringen af selskabets cybersikkerhed.
Det skal i øvrigt bemærkes, at bestyrelsen kan vælge af afdække dele af sine cyberrisici gennem en cyberforsikring.
ARK rådgiver både om bestyrelsesansvar og cyberforsikringer. I den forbindelse kan advokat Nicholas Farsø og partner Jesper Ravn kontaktes.
