Nové sankce v kyberbezpečnosti: Za co hrozí vedení nejpřísnější postihy?

Nové sankce v kyberbezpečnosti
Vrcholné vedení má v rámci kybernetické bezpečnosti klíčovou roli v tom, že společnost přijme a zavede adekvátní opatření k ochraně svých informačních systémů. V přechozím článku (zde) jsme se zaměřili na povinnosti managementu podle nové kybernetické legislativy, která implementuje směrnici NIS2. Nyní se podíváme na to, proč je dobré, aby vedení své nové povinnosti nebralo na lehkou váhu. Za co budou hrozit nejpřísnější sankce v kyberbezpečnosti?
Zákaz výkonu funkce člena statutárního orgánu

Nejvíce diskutovanou a zároveň zřejmě nejvíce nepříjemnou sankcí je pro management ve vyšším režimu dočasný zákaz výkonu funkce člena statutárního orgánu. Tato sankce plyne už ze směrnice NIS2 a nový zákon o kybernetické bezpečnosti ji konkretizuje. Přesněji směrnice NIS2 uvádí, že státy musí zakotvit, aby bylo možné: „uložit dočasný zákaz výkonu řídících funkcí u základního subjektu (pozn. vyšší režim) jakékoliv fyzické osobě, která má odpovědnost za výkon řídících funkcí na úrovni výkonného ředitele nebo zákonného zástupce v tomto subjektu“.

Národní úřad pro kybernetickou bezpečnost (NÚKIB) může členovi statutárního orgánu zakázat vykonávat jeho funkci, pokud tento člen opakovaně nebo závažně porušil své povinnosti při plnění rozhodnutí NÚKIB. Toto rozhodnutí ukládá společnosti povinnost odstranit zjištěné nedostatky. Pokud by porušení povinností člena statutárního orgánu vedlo k tomu, že rozhodnutí nebylo řádně splněno, může být zákaz výkonu funkce uložen až do doby odstranění zjištěných nedostatků, nejméně však na dobu 6 měsíců.

Hlavním cílem zavedení této sankce má být odstrašující účinek. NÚKIB předpokládá, že tak bude posílena odpovědnost vrcholného vedení za kybernetickou bezpečnost. Sankce má zároveň zajistit, že během nápravy problémů, pro které bylo uloženo dané rozhodnutí NÚKIB, nebude ve vedoucí pozici společnosti ten, kdo nápravě svým jednáním bránil. Toto sankce a pozastavení funkce nemá být jen trestem za nesplnění povinností, ale hlavně způsobem, jak donutit společnost plnit své povinnosti. Sám NÚKIB uvádí, že se jedná o krajní sankční prostředek.

Tuto sankci nelze uložit vrcholnému vedení u společnosti v režimu nižších povinností. Nebude se týkat ani veřejných funkcí, které jsou časově nebo funkčně omezené a obsazované přímou, nebo nepřímou volbou či jmenováním podle zvláštních právních předpisů. Jedná se například o ministry, hejtmany, předsedu profesní komory, rektory nebo děkany veřejné či státní vysoké školy.

Pokuty pro společnost

Návrh nového zákona o kybernetické bezpečnosti uvádí i přestupky přímo pro poskytovatele regulované služby, a to pro společnosti ve vyšším i nižším režimu. Neplnění povinností managementu bude mít zpravidla důsledky i v neplnění povinností samotné společnosti. A té může být také udělena pokuta.

Pokuty pro další osoby v kybernetické bezpečnosti (včetně managementu) 

Nová legislativa nezapomíná ani na další osoby, které neplní povinnosti dle této legislativy, a i těm umožňuje udělit za přestupky pokuty (například když osoba neposkytne součinnost na základě žádosti NÚKIB). Těchto přestupků se může dopustit kdokoliv, kdo není regulovaným subjektem (neboli společností poskytující regulovanou službu). Další osobou tak může být například jednatel společnosti, který v rozporu s rozhodnutím o zákazu výkonu funkce tuto funkci dále vykonává.

Kromě zákazu výkonu funkce bude čelit vrcholné vedení i možnosti finanční sankce. Sankce pak lze uložit nejen vrcholnému vedení ve vyšším režimu povinností ale i v nižším. Tyto pokuty se v závislosti na druhu přestupku pohybují od 50 000 Kč do 250 000 000 Kč nebo až do výše 2 % čistého celosvětového ročního obratu dosaženého podnikem, jehož je osoba obviněná z přestupku součástí. Uvedené maximální částky mají být také odrazující.

Při ukládání sankcí má být dodržet princip, že sankce mají být účinné, odrazující, ale zároveň i přiměřené. Pokuty nesmí být likvidační.

A opravdu musí vrcholné vedení řešit kybernetickou bezpečnost?

Ve zkratce – ano. A to bez ohledu na možné finanční sankce nebo zákaz výkonu funkce uvedené v návrhu nové kybernetické legislativy. Management by kybernetickou bezpečnost měl řešit i z mnoha byznysových důvodů:

Zlepšení efektivity řízení

Proškolený management může v případě kybernetického bezpečnostního incidentu dělat rychlejší a efektivnější rozhodnutí, která jsou klíčová pro zajištění a udržení bezpečnosti společnosti.

Finanční ztráty

Nejen sankce, ale i kybernetické útoky mohou vést k významným finančním ztrátám. Bezpečnostní opatření mají zajistit, aby společnosti díky prevenci a rychlé reakci tyto ztráty mohly minimalizovat.

Ochrana reputace

Předcházet nebo omezit následky kyberútoků sníží i možné poškození pověsti a důvěry zákazníků či partnerů ve společnost.

Kontinuita podnikání

Kybernetické útoky mohou způsobit významné ztráty při výpadcích provozu. Připravenost na ně a na zajištění obnovy má také minimalizovat dopady incidentů i byznysové ztráty.

Konkurenční výhoda

Již nyní se zákazníci více zajímají, jak jsou jejich citlivé informace chráněny, a zda nemohou uniknout. I v B2B sektoru, partneři společností budou preferovat spolupráci se těmi, které se kybernetickou bezpečností zabývají, a to i z důvodu, aby sami nebyli svým partnerem bezpečnostně ohroženi.

Buďte připraveni

Pomůžeme Vám s praktickou přípravou Vaší společnosti na novou legislativu o kyberbezpečnosti.

Další články

Do týmu hledáme novou posilu, která bude úzce spolupracovat s vrcholovým vedením společnost, zajišťovat chod kanceláře a pomáhat s HR agendou a financemi.
Předvánoční sezóna přináší skvělé slevy, ale také zvýšené riziko podvodů. Jak se chránit? Přinášíme 8 tipů, jak na bezpečné nakupování online.
Deepfakes se díky rychlému pokroku v umělé inteligenci staly běžným nástrojem v rukou útočníků. Jak se proti nim mohou firmy účinně bránit?

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

Kliknutím na odeslat vyjadřujete souhlas se zpracováním osobních údajů pro marketingové účely.