W IV kw. bieżącego roku wejdą w życie przepisy znowelizowanej Ustawy o krajowym systemie cyberbezpieczeństwa (u.k.s.c.), w ramach których zaimplementowano regulacje unijnej dyrektywy NIS2.
Dyrektywa NIS2 nakłada wiele obowiązków i procedur związanych z zapewnieniem bezpieczeństwa informatycznego w podmiotach należących do kluczowych sektorów gospodarki narodowej:
- administracji publicznej,
- usług pocztowych,
- energetycznego,
- transportowego,
- ochrony zdrowia, w tym podmiotów leczniczych i aptek,
- produkcyjnego,
- bankowego wraz z infrastrukturą rynków finansowych,
- gospodarowania odpadami,
- zaopatrzenia i dystrybucji w wodę pitną oraz odprowadzenia ścieków,
- infrastruktury cyfrowej, w tym usług hostingowych, dostawców usług chmurowych czy centrów przetwarzania danych,
- dostawców usług cyfrowych, m.in. dostawców internetowych platform handlowych czy sieci usług społecznościowych,
- badań naukowych, czyli organizacji prowadzących działalność badawczą.
Odpowiedzialność podmiotu i członków zarządu podmiotu kluczowego za NIS2
Przepisy u.k.s.c. wprowadzają odpowiedzialność kierownika podmiotu kluczowego za wdrożenie, nadzór i przestrzeganie procedur i zasad bezpieczeństwa wynikających z nowych regulacji. Jeśli kierownictwo podmiotu kluczowego sprawuje organ wieloosobowy, to odpowiedzialność ponoszą wszyscy członkowie tego organu, np. zarząd i rada nadzorcza. Do zadań kierownika należy m.in.:
- podejmowanie decyzji w zakresie przygotowania, wdrażania, stosowania i przeglądu systemu zarządzania bezpieczeństwem informacji w podmiocie;
- planowanie adekwatnych środków finansowych na realizację obowiązków z zakresu cyberbezpieczeństwa;
- przydzielanie zadań z zakresu cyberbezpieczeństwa w tym podmiocie i nadzorowanie ich wykonania;
- zapewnienie, że personel podmiotu jest świadomy obowiązków z zakresu cyberbezpieczeństwa i zna przepisy prawa oraz wewnętrzne regulacje podmiotu w tym zakresie;
- zapewnienie zgodności działania tego podmiotu z przepisami prawa oraz z wewnętrznymi regulacjami podmiotu.
Organ właściwy ds. cyberbezpieczeństwa za naruszenie regulacji NIS2, w tym brak realizowania obowiązków i zadań wynikających z u.k.s.c., może nałożyć administracyjną karę pieniężną:
- na podmiot kluczowy – do 10 mln euro lub do 2% przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie ma kwota wyższa. Kara ta nie może być jednak niższa niż 20 tys. zł. Jeżeli podmiot kluczowy narusza przepisy ustawy, powodując bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi lub zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług, kara może wynieść do 100 mln zł;
- na kierownictwo podmiotu kluczowego – do 600% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.
To tylko jedna z możliwych sankcji do zastosowania przez organ, a pełna lista naruszeń wymieniona jest w art. 73 i 73a znowelizowanej ustawy.
Odpowiedzialność członków zarządu podmiotu kluczowego a ubezpieczenia
Ubezpieczenie OC działalności gospodarczej (GL) oraz w dużej mierze, poza kilkoma wyjątkami, OC zawodowej (PI) nie obejmuje swoim zakresem uchybień i naruszeń przepisów w obszarze cyberbezpieczeństwa, w tym kar administracyjnych, a także majątkowej odpowiedzialności osobistej członków zarządu i rady nadzorczej (dotyczy podmiotów prowadzonych w formie: sp. z o.o., S.A., stowarzyszeń i fundacji, instytutów badawczych czy SPZOZ) z tytułu sprawowania funkcji zarządczych i nadzorczych w takim podmiocie. W tym celu należy rozważyć zawarcie specjalnych umów ubezpieczenia dostępnych na rynku:
- ubezpieczenie D&O – obejmujące ochroną kluczowych członków kierownictwa (m.in. zarząd i radę nadzorczą) za błędy w zarządzaniu i brak właściwego nadzoru w związku z wykonywaniem swoich funkcji. Co ważne, polisa działa nie tylko w zakresie bezpośrednich kar administracyjnych nakładanych na członków kierownictwa, ale także innych roszczeń wynikających z przepisów prawa (k.s.h., k.c. czy ustaw szczególnych), np. w sytuacji niewypłacalności samego podmiotu lub roszczeń od podmiotu do członków zarządu za niewłaściwe zarządzanie podmiotem, w tym narażenie na straty majątkowe;
- ubezpieczenie cyber – obejmujące ochroną sam podmiot w obszarze odpowiedzialności cywilnej (postępowania sądowe) i regulacyjnej (postępowania przed PUODO) w zakresie naruszeń danych osobowych, w tym ich utraty, kradzieży, wycieku itp. oraz koszty reakcji na cyberincydenty (informatyka śledcza, doradztwo prawne, usługi PR, koszty notyfikacji w sytuacji stwierdzenia naruszeń), włącznie z kosztami przestoju i utraty przychodów w wyniku incydentu.
Co to oznacza w praktyce?
Implementacja NIS2 dla tysięcy firm w Polsce to przede wszystkim nowe obowiązki w zakresie odporności cybernetycznej. Z jednej strony mają one na celu praktyczne zwiększenie bezpieczeństwa prowadzenia działalności przez audyt systemów IT i procedur oraz dostosowanie ich do aktualnych wyzwań, z drugiej strony wpływają na wyższą świadomość ryzyka i odpowiedzialności w tym obszarze w obrocie gospodarczym poprzez m.in. obowiązkowe szkolenia pracowników, inwestycje w infrastrukturę informatyczną, a na karach pieniężnych dla kadry kierowniczej kończąc.
Wszystko to powinno przełożyć się również na szerszy dostęp do oferty cyberubezpieczeń, gdzie do tej pory większość firm miało problemy ze spełnieniem podstawowych warunków zabezpieczeń wymaganych przez ubezpieczycieli, a wprowadzenie kar pieniężnych może „zmusić” top management do szukania dodatkowej ochrony w formule stosowanej w polisach D&O.
Tomasz Domalewski
prezes zarządu
Ecofinance Group sp. z o.o.
