Dyrektywa NIS2 – odpowiedzialność zarządu

W poprzednich wpisach pisaliśmy o obowiązkach dotyczących zgłoszeń, środkach zarzadzania ryzykiem oraz zakresie podmiotowym Dyrektywy 2022/2555 z 14 grudnia 2022 roku w sprawie stosowania środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („NIS2” lub „Dyrektywa”). Dziś przyjrzymy się odpowiedzialności zarządu za kwestie związane z cyberbezpieczeństwem.

Implementacja NIS2

Wyczekiwany przez branżę i przygotowany przez Ministerstwo Cyfryzacji projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw („projekt ustawy”) wciąż znajduje się na etapie opiniowania. Po ilości zgłoszonych uwag widać, że projekt budzi emocje i musi zostać poddany niezbędnemu liftingowi. Kwestią stosunkowo mało kontrowersyjną jest jednak odpowiedzialność zarządów (kierowników jednostek) podmiotów kluczowych lub ważnych, w tym odpowiedzialności karnej i finansowej za zapewnianie nadzoru nad realizacją obowiązków z zakresu cyberbezpieczeństwa.

Termin wdrożenia dyrektywy NIS2 przypada na 17 października 2024 roku, a to oznacza, że Ministerstwo Cyfryzacji będzie musiało znacznie przyspieszyć prace nad projektem ustawy, jeśli ma zamiar zdążyć przed upływem tego terminu.

Odpowiedzialność zarządu (kierownika)

Zgodnie z projektem ustawy, to kierownik podmiotu kluczowego lub podmiotu ważnego ponosi odpowiedzialność za wykonywanie obowiązków w zakresie cyberbezpieczeństwa przez ten podmiot.

Określenie kierownika podmiotu kluczowego lub ważnego powinno być utożsamiane z członkami zarządu, wspólnikami prowadzącymi sprawy spółki lub komplementariuszami prowadzącymi sprawy spółki. Oznacza to, że to te osoby będą ponosić bezpośrednią odpowiedzialność za niewykonanie lub niewłaściwe wykonanie obowiązków w zakresie cyberbezpieczeństwa przez podmiot kluczowy lub podmiot ważny. W projekcie zaznaczono, że w przypadku wieloosobowych organów zarządczych w podmiotach kluczowych lub ważnych, gdy nie została wskazana jedna osoba, ponosząca zakreśloną odpowiedzialność, ponoszą ją wszyscy członkowie organu.

Co więcej, przepisy projektowanej ustawy wprost wykluczają przeniesienie odpowiedzialności za zadania z zakresu cyberbezpieczeństwa na niższe szczeble struktury organizacyjnej, dla przykładu na szefa działu IT. Tym samym niezależnie od podziału obowiązków, odpowiedzialność przed prawem za kwestie związane z cyberbezpieczeństwem zawsze będzie ponoszona na poziomie zarządu (kierownika jednostki). Podmioty ważne i kluczowe mogą jednak zdecydować o powierzeniu tej odpowiedzialności konkretnej osobie (członkowi zarządu), która będzie nadzorować kwestie cyberbezpieczeństwa w organizacji.

Projektowany zakres odpowiedzialności zarządu

Zgodnie z Dyrektywą NIS2 oraz projektem ustawy, na zarządzie, komplementariuszach czy wspólnikach, uprawnionych do prowadzenia spraw spółki, ciążą obowiązki z zakresu wdrożenia środków zarządzania ryzykiem i zarządzania incydentami, w tym m.in.:

  • złożenie wniosku o wpis, zmianę wpisu albo o wykreślenie z wykazu podmiotów kluczowych lub ważnych, w tym wskazanie organu właściwego do spraw cyberbezpieczeństwa, w terminie 2 miesięcy od dnia spełnienia wymogów bądź momentu, w którym przestano spełniać te wymogi;
  • wyznaczenie dwóch osób do kontaktu z organami właściwymi do spraw cyberbezpieczeństwa;
  • przygotowanie, wdrożenie, stosowanie i przegląd systemu zarządzania bezpieczeństwem informacji;
  • opracowanie, stosowanie i aktualizowanie dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego;
  • dbałość o ogólne bezpieczeństwo systemów informatycznych i zapewnienie poufności, integralności, dostępności i autentyczności danych przetwarzanych w tych systemach;
  • zarządzanie procesem zgłaszania incydentów, w tym informowanie o incydencie poważnym,
  • nadzorowanie wykonywania przez personel podmiotu wszelkich zadań z zakresu cyberbezpieczeństwa;
  • zapewnienie środków finansowych na realizację obowiązków z zakresu cyberbezpieczeństwa;
  • zapewnienie zgodności działania tego podmiotu z przepisami prawa oraz z wewnętrznymi regulacjami podmiotu;
  • zapewnienie odpowiednich szkoleń z zakresu cyberbezpieczeństwa dla personelu podmiotu, przy czym sam kierownik podmiotu kluczowego lub ważnego jest zobowiązany do przynajmniej corocznego przechodzenia szkolenia z zakresu wykonywanych przez siebie obowiązków oraz udokumentowaniu odbycia takiego szkolenia;
  • zapewnienie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi.

Kary pieniężne

Kierownik (zarząd) podmiotu ważnego lub podmiotu kluczowego może zostać pociągnięty do odpowiedzialności za niedopełnienie obowiązków wskazanych w projekcie ustawy, w szczególności wskazanych powyżej. Na kierowników (zarządy) podmiotów, które nie spełnią tych obowiązków mogą być nakładane kary pieniężne. Co istotne, kary pieniężne mogą być nałożone również wtedy, gdy podmiot albo kierownik podmiotu kluczowego lub podmiotu ważnego zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeśli przemawia za tym czas trwania, zakres lub skutki naruszenia.

Kary będą nakładane w trybie określonym w Kodeksie postępowania administracyjnego. Sposób ich naliczania będzie zależał od kryteriów, określanych indywidualnie dla danej sytuacji, takich jak waga naruszenia i znaczenie naruszonych przepisów ustawy, czas trwania naruszenia, spowodowane szkody, umyślność czynów, środki zastosowane w celu zapobieżenia skutkom działania, a także wcześniejsze naruszenia oraz wysokość przychodu uzyskanego z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary pieniężnej albo możliwości finansowe kierownika podmiotu kluczowego lub podmiotu ważnego.

Wysokość kary pieniężnej nie będzie mogła przekraczać jednak 600% wynagrodzenia otrzymywanego przez daną osobę, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.

Podsumowanie

W naszej ocenie projekt ustawy może istotnie wpłynąć na strukturę organizacji oraz podział obowiązków. W świetle projektowanych przepisów zasadnym wydaje się wyznaczenie w gronie zarządu osoby, która będzie nadzorować zadania związane z zapewnienie organizacji odpowiedniego poziomu cyberbezpieczeństwa, a także utworzenie wewnętrznej jednostki, która te zadania będzie wykonywać.  Ta zmiana może w istocie ułatwić zaplanowanie w budżecie podmiotu odpowiednich środków przeznaczonych na cyberbezpieczeństwo.

Warto też z wyprzedzeniem zaplanować przeprowadzenie szkoleń z zakresu cyberbezpieczeństwa, aby zapewnić osobom decyzyjnym odpowiedni poziom wiedzy o atakach cybernetycznych oraz sposobach ochrony przed nimi.

O dalszych losach projektu ustawy będziemy Państwa informować w kolejnych wpisach lub naszych alertach prawnych, na które można zapisać się tu: https://pl.andersen.com/aktualnosci/newsletter/ .

Poprzednie wpisy o Dyrektywie NIS-2:

  1. Dyrektywa NIS2 – co trzeba o niej wiedzieć?
  2. Dyrektywa NIS2 – kogo będzie obejmować?
  3. Dyrektywa NIS2 – środki zarządzania ryzykiem
  4. Dyrektywa NIS2 – zgłaszanie incydentów

Współautorką wpisu jest Weronika Głodek, praktykantka w zespole ds. ochrony danych osobowych i cyberbezpieczeństwa.

 

AUTOR WPISU

Kamil Kozioł Senior Manager, Katowice

E: kamil.koziol@pl.Andersen.com
T: +48 668 690 891

ZOSTAW SWÓJ KOMENTARZ

Your email address will not be published. Required fields are marked *

Aktualności