Har ni sett rubrikerna om NIS2? Kanske har ni hört viskningar om "högre böter". Men om du sitter i en styrelse eller ledningsgrupp för ett medelstort bolag är det inte bötesbeloppen du ska ligga sömnlös över. Det är ditt personliga ansvar.

För första gången flyttar lagstiftaren siktet från företagets plånbok till styrelseledamotens karriär. NIS2-direktivet gör det tydligt: ledningen kan hållas personligt ansvarig för brister i cybersäkerheten. I extrema fall kan det innebära att du stängs av från att verka i en ledande befattning.

Detta är inte skrämselpropaganda. Det är en signal om att cybersäkerhet inte längre är en IT-fråga – det är en existentiell affärsfråga.

Så, hur navigerar vi detta utan att drabbas av panik? Här är tre insikter som förvandlar NIS2 från ett hot till en strategisk fördel.

1. Från "Skydd" till "Resiliens" (Varför ni inte kan delegera detta)

Många styrelser tror att jobbet är klart när de godkänt budgeten för en ny brandvägg. Det är fel. NIS2 kräver inte att ni är ogenomträngliga (det är omöjligt). Det kräver resiliens.

Skillnaden är avgörande:

• Skydd: "Vi ska stoppa alla attacker."
• Resiliens: "Vi ska kunna fortsätta leverera våra produkter och tjänster även när vi är under attack."

Detta är kärnan i direktivet. Ert ansvar är att säkerställa att affären överlever stöten. Det är ett strategiskt beslut, inte en teknisk konfiguration, och därför kan det inte delegeras till IT-avdelningen.

2. Kompetenskravet: Nej, du behöver inte bli kodare

Enligt NIS2 måste ledningsorganet genomgå utbildning för att kunna riskbedöma verksamheten. Många styrelseproffs ryggar tillbaka här. "Ska jag behöva lära mig nätverksprotokoll?"

Självklart inte. Kompetenskravet handlar om affärsrisk. Ta ett företagsförvärv som exempel. Tidigare gjorde ni en finansiell och juridisk due diligence. Nu måste ni ha kompetensen att ställa krav på en cyber security due diligence. Köper ni ett bolag med dolda säkerhetshål köper ni en enorm risk. Att förstå detta, och att veta vilka frågor ni ska ställa till VD och IT-chef, är den kompetens lagen kräver. Ni kan inte längre gömma er bakom okunskap.

3. 24-timmarsregeln: Er roll när krisen slår till

Ett av de tuffaste kraven i NIS2 är rapporteringsplikten. Vid en betydande incident måste en "tidig varning" skickas till myndigheten inom 24 timmar, följt av en utförlig rapport inom 72 timmar.

Om ransomware-attacken sker en lördag kväll, vad är styrelsens roll?

• Fel reaktion: Panikringa VD:n, kräva detaljerade tekniska uppdateringar varje timme och försöka "hjälpa till".
• Rätt reaktion (Governance): Att långt innan krisen ha säkerställt att processen finns.

Er uppgift är att verifiera:

1. Vet vi vilken myndighet vi ska kontakta?
2. Finns det en tydlig ansvarsfördelning för vem som trycker på knappen?
3. Loggas allt arbete noggrant under krisen? (Detta är ert bevisunderlag när granskningen kommer).

Styrelsens jobb är att se till att resurserna och mandaten finns på plats innan klockan börjar ticka. VD:ns jobb är att exekvera.

Är er styrelse redo för ansvaret? NIS2 handlar i slutändan om ordning och reda. Det är governance applicerat på vår tids största affärsrisk. Vi hjälper er att etablera de processer och den utbildning som krävs för att ni ska kunna möta kraven – och sova gott om natten.

Vill du veta var ditt företag står inför NIS2? Få en gratis nulägesrapport.