- Kateřina Kubíková
Vrcholné vedení má v rámci kybernetické bezpečnosti klíčovou roli v tom, že společnost přijme a zavede adekvátní opatření k ochraně svých informačních systémů. V přechozím článku (zde) jsme se zaměřili na povinnosti managementu podle nové kybernetické legislativy, která implementuje směrnici NIS2. Nyní se podíváme na to, proč je dobré, aby vedení své nové povinnosti nebralo na lehkou váhu. Za co budou hrozit nejpřísnější sankce v kyberbezpečnosti?
Zákaz výkonu funkce člena statutárního orgánu
Nejvíce diskutovanou a zároveň zřejmě nejvíce nepříjemnou sankcí je pro management ve vyšším režimu dočasný zákaz výkonu funkce člena statutárního orgánu. Tato sankce plyne už ze směrnice NIS2 a nový zákon o kybernetické bezpečnosti ji konkretizuje. Přesněji směrnice NIS2 uvádí, že státy musí zakotvit, aby bylo možné: „uložit dočasný zákaz výkonu řídících funkcí u základního subjektu (pozn. vyšší režim) jakékoliv fyzické osobě, která má odpovědnost za výkon řídících funkcí na úrovni výkonného ředitele nebo zákonného zástupce v tomto subjektu“.
- Kdy může být udělen tento zákaz?
Národní úřad pro kybernetickou bezpečnost (NÚKIB) může členovi statutárního orgánu zakázat vykonávat jeho funkci, pokud tento člen opakovaně nebo závažně porušil své povinnosti při plnění rozhodnutí NÚKIB. Toto rozhodnutí ukládá společnosti povinnost odstranit zjištěné nedostatky. Pokud by porušení povinností člena statutárního orgánu vedlo k tomu, že rozhodnutí nebylo řádně splněno, může být zákaz výkonu funkce uložen až do doby odstranění zjištěných nedostatků, nejméně však na dobu 6 měsíců.
- Co má být cílem?
Hlavním cílem zavedení této sankce má být odstrašující účinek. NÚKIB předpokládá, že tak bude posílena odpovědnost vrcholného vedení za kybernetickou bezpečnost. Sankce má zároveň zajistit, že během nápravy problémů, pro které bylo uloženo dané rozhodnutí NÚKIB, nebude ve vedoucí pozici společnosti ten, kdo nápravě svým jednáním bránil. Toto sankce a pozastavení funkce nemá být jen trestem za nesplnění povinností, ale hlavně způsobem, jak donutit společnost plnit své povinnosti. Sám NÚKIB uvádí, že se jedná o krajní sankční prostředek.
- Na koho se nebude vztahovat?
Tuto sankci nelze uložit vrcholnému vedení u společnosti v režimu nižších povinností. Nebude se týkat ani veřejných funkcí, které jsou časově nebo funkčně omezené a obsazované přímou, nebo nepřímou volbou či jmenováním podle zvláštních právních předpisů. Jedná se například o ministry, hejtmany, předsedu profesní komory, rektory nebo děkany veřejné či státní vysoké školy.
Pokuty pro společnost
Návrh nového zákona o kybernetické bezpečnosti uvádí i přestupky přímo pro poskytovatele regulované služby, a to pro společnosti ve vyšším i nižším režimu. Neplnění povinností managementu bude mít zpravidla důsledky i v neplnění povinností samotné společnosti. A té může být také udělena pokuta.
Pokuty pro další osoby v kybernetické bezpečnosti (včetně managementu)
Nová legislativa nezapomíná ani na další osoby, které neplní povinnosti dle této legislativy, a i těm umožňuje udělit za přestupky pokuty (například když osoba neposkytne součinnost na základě žádosti NÚKIB). Těchto přestupků se může dopustit kdokoliv, kdo není regulovaným subjektem (neboli společností poskytující regulovanou službu). Další osobou tak může být například jednatel společnosti, který v rozporu s rozhodnutím o zákazu výkonu funkce tuto funkci dále vykonává.
Kromě zákazu výkonu funkce bude čelit vrcholné vedení i možnosti finanční sankce. Sankce pak lze uložit nejen vrcholnému vedení ve vyšším režimu povinností ale i v nižším. Tyto pokuty se v závislosti na druhu přestupku pohybují od 50 000 Kč do 250 000 000 Kč nebo až do výše 2 % čistého celosvětového ročního obratu dosaženého podnikem, jehož je osoba obviněná z přestupku součástí. Uvedené maximální částky mají být také odrazující.
Při ukládání sankcí má být dodržet princip, že sankce mají být účinné, odrazující, ale zároveň i přiměřené. Pokuty nesmí být likvidační.
A opravdu musí vrcholné vedení řešit kybernetickou bezpečnost?
Ve zkratce – ano. A to bez ohledu na možné finanční sankce nebo zákaz výkonu funkce uvedené v návrhu nové kybernetické legislativy. Management by kybernetickou bezpečnost měl řešit i z mnoha byznysových důvodů:
Zlepšení efektivity řízení
Proškolený management může v případě kybernetického bezpečnostního incidentu dělat rychlejší a efektivnější rozhodnutí, která jsou klíčová pro zajištění a udržení bezpečnosti společnosti.
Finanční ztráty
Nejen sankce, ale i kybernetické útoky mohou vést k významným finančním ztrátám. Bezpečnostní opatření mají zajistit, aby společnosti díky prevenci a rychlé reakci tyto ztráty mohly minimalizovat.
Ochrana reputace
Předcházet nebo omezit následky kyberútoků sníží i možné poškození pověsti a důvěry zákazníků či partnerů ve společnost.
Kontinuita podnikání
Kybernetické útoky mohou způsobit významné ztráty při výpadcích provozu. Připravenost na ně a na zajištění obnovy má také minimalizovat dopady incidentů i byznysové ztráty.
Konkurenční výhoda
Již nyní se zákazníci více zajímají, jak jsou jejich citlivé informace chráněny, a zda nemohou uniknout. I v B2B sektoru, partneři společností budou preferovat spolupráci se těmi, které se kybernetickou bezpečností zabývají, a to i z důvodu, aby sami nebyli svým partnerem bezpečnostně ohroženi.
