Odpovědnost vedení podle NIS2
§38 BSIG činí jednatele osobně odpovědnými za selhání kybernetické bezpečnosti, což je v německém právu poprvé.
Německá transpozice NIS2 operacionalizuje čl. 20 NIS-2 výslovnou osobní odpovědností řídícího orgánu v §38 BSIG. Členové řídícího orgánu (Geschäftsführung, Vorstand) každé společnosti spadající pod NIS2, ať jde o GmbH, AG nebo KG, osobně odpovídají za to, že jsou opatření kybernetické bezpečnosti zavedena, dozorována a udržována. Tuto povinnost nelze přenést na IT oddělení.
Jde o zcela novou věc. Podle původního rámce NIS1 (předchozí IT-Sicherheitsgesetz) nesla odpovědnost společnost jako právnická osoba. §38 BSIG mění pravidla hry: jednotliví jednatelé nyní mohou nést odpovědnost svým osobním majetkem, pokud nesplní své povinnosti v oblasti kybernetické bezpečnosti. Zákon výslovně odkazuje na Geschäftsleiter, tedy osoby, které podepisují za společnost.
Zákon definuje tři základní povinnosti vedení: schválení (Billigung) opatření kybernetické bezpečnosti, dozor (Überwachung) nad jejich zavedením a osobní školení (Schulung) v oblasti kybernetické bezpečnosti. Nesplnění byť jen jedné z nich zakládá vystavení osobní odpovědnosti, i když společnost sama zavedla přiměřená opatření.
Schválení (Billigung)
Vedení musí formálně schválit opatření řízení rizik kybernetické bezpečnosti požadovaná podle §30 BSIG. To znamená přezkoumání a odsouhlasení bezpečnostních politik společnosti, posouzení rizik a plánů opatření. Ústní „pokyn k akci“ nestačí. Potřebujete doložené, dohledatelné schválení s časovými razítky a podpisy.
Dozor (Überwachung)
Vedení musí aktivně dozorovat zavádění schválených opatření. To znamená pravidelné přezkumy stavu, sledování postupu a zpracování eskalací. Musíte být schopni doložit, že jste sledovali, zda byla opatření skutečně zavedena, nejen že jste je schválili a odešli. Čtvrtletní přezkumy vedení jsou minimální obhajitelnou frekvencí.
Školení (Schulung)
Vedení musí osobně absolvovat školení v oblasti kybernetické bezpečnosti, aby získalo dostatečné znalosti k posouzení rizik a opatření. Nejedná se o obecné školení k povědomí zaměstnanců podle §30(2)(7) BSIG. Je to samostatná povinnost konkrétně pro řídící orgán (§38(3) BSIG). Školení musí být dostatečné k pochopení rizikového profilu společnosti, zavedených opatření a přijatých zbytkových rizik.
Nezavedena žádná opatření kybernetické bezpečnosti
Pokuty až 10 milionů EUR nebo 2 % celosvětového ročního obratu (podle toho, co je vyšší) podle §65 BSIG pro nezbytné subjekty. Pro wichtige Einrichtungen: až 7 milionů EUR nebo 1,4 % obratu. Vedení čelí nárokům na osobní odpovědnost ze strany společnosti za škody plynoucí z porušení.
Incident nenahlášen BSI
§32 BSIG vyžaduje úvodní oznámení do 24 hodin, navazující do 72 hodin a závěrečnou zprávu do jednoho měsíce. Zmeškání těchto lhůt spouští vymáhací opatření. Pokud si vedení bylo incidentu vědomo a nezajistilo jeho nahlášení, uplatní se osobní odpovědnost podle §38 za selhání dozoru.
Vedení neabsolvovalo školení
Přímé porušení §38(3) BSIG. To je pro BSI nejsnáze prokazatelné porušení: buď máte záznamy o školení, nebo nemáte. Podkopává to také vaši obhajobu ve všech ostatních bodech. Jak můžete tvrdit přiměřený dozor, pokud vám chybí školení k posouzení toho, co dozorujete?
Žádný aktivní dozor nad zaváděním
Pokud byla opatření schválena, ale vedení nedokáže doložit průběžný dozor (kontrolní schůzky, zprávy o stavu, záznamy o eskalacích), samotné schválení nestačí. Zákon vyžaduje všechny tři povinnosti. Schválit bez dozoru je jako podepsat smlouvu bez přečtení. Stále nesete odpovědnost.
Mohu to přenést na IT oddělení
Můžete přenést provedení, ne však odpovědnost. §38 BSIG výslovně jmenuje Geschäftsleitung (všechny členy řídícího orgánu). Ne IT manažery, ne CISO, ne externí poradce. Musíte osobně schvalovat, dozorovat a být proškoleni. Váš IT tým provádí; vy schvalujete a dohlížíte. U soudu na tom rozdílu záleží.
Pojištění D&O kryje odpovědnost podle NIS2
Většina pojistek D&O vylučuje regulatorní pokuty a sankce. I tam, kde jsou kryty nároky z občanskoprávní odpovědnosti, mohou pojišťovny nárok zamítnout, pokud vedení vědomě nesplnilo zákonné povinnosti. Zkontrolujte výlukové doložky své pojistky: „nesplnění závazných předpisů“ je standardní výluka v německých pojistkách D&O.
Nejsem technik, nemohu nést odpovědnost
§38(3) BSIG ukládá povinnost školení právě proto, aby tuto obhajobu vyloučil. Zákon předpokládá, že po absolvování přiměřeného školení kybernetické bezpečnosti má vedení dostatečné znalosti ke splnění svých povinností. „Nerozumím technologiím“ není obhajoba. Je to důkaz porušení povinnosti školení.
Společníci mohou mou odpovědnost prominout
§38(2) BSIG zakládá osobní odpovědnost členů řídícího orgánu za nedbalostně způsobené škody. Omezení prominutí a narovnání takových nároků vyplývají z práva obchodních společností (§93(4) AktG, §43(3) GmbHG): prominutí jsou možná pouze za úzkých podmínek (zpravidla až tři roky po vzniku nároku, usnesením většinového společníka a pouze pokud není poškozen žádný věřitel). Valná hromada vás nemůže plošně zprostit odpovědnosti podle NIS2.
Jsme příliš malí, aby se o nás někdo staral
Prahová hodnota rozsahu NIS2 začíná na 50+ zaměstnancích NEBO (>10 mil. EUR obratu A >10 mil. EUR bilanční suma), což je definice malých a středních podniků EU podle doporučení Komise 2003/361/ES. Pokud tuto hranici splňujete v dotčeném odvětví, podléháte celému režimu včetně odpovědnosti vedení podle §38. BSI již začalo vyžadovat registraci od společností v tomto velikostním rozmezí. Velikost není obhajoba; je to kritérium rozsahu, a vy do rozsahu spadáte.
Zde je to, co většinu jednatelů zaskočí: podle §38 BSIG odpovídáte vlastní společnosti. Pokud společnost utrpí škodu, protože jste nezavedli, nedozorovali nebo nebyli proškoleni v opatřeních kybernetické bezpečnosti, může společnost (nebo její insolvenční správce či její společníci) uplatnit náhradu škody vůči vám osobně. Jde o vnitřní odpovědnost: vaše vlastní organizace vás může žalovat.
§38(2) BSIG zakládá osobní odpovědnost řídícího orgánu za nedbalostně způsobené škody. Souběžně se uplatní obchodněprávní meze prominutí a narovnání (§93(4) AktG, §43(3) GmbHG). V praxi platí, že pokud společnost zkrachuje kvůli kybernetickému incidentu, může insolvenční správce uplatnit nároky vůči vašemu osobnímu majetku a plošné předem dané prominutí ze strany společníků by zpravidla bylo neúčinné.
Povinnost školení v §38(3) BSIG není nepovinné profesní vzdělávání. Je to zákonný předpoklad, který odstraňuje nevědomost jako obhajobu. Jakmile zákon vyžaduje, abyste byli proškoleni, je samotné nezískání tohoto školení porušením. Nemůžete tvrdit, že jste rizikům nerozuměli, když vám zákon ukládal se o nich poučit.
Formálně schvalte opatření kybernetické bezpečnosti
Přezkoumejte posouzení rizik, bezpečnostní politiky a plány opatření připravené podle §30 BSIG. Odsouhlaste je svým jménem, datem a funkcí. Uložte schválení do auditovatelného systému, ne do e-mailové schránky. Tím vznikne doložený důkaz, že jste splnili svou povinnost Billigung. Opakujte vždy, když dojde k podstatné změně opatření.
Zaveďte procesy dozoru
Naplánujte čtvrtletní přezkumy stavu kybernetické bezpečnosti vedením. Přezkoumejte postup zavádění, otevřená rizika, zprávy o incidentech a metriky účinnosti. Zdokumentujte účast, rozhodnutí a úkoly. Tím vznikne průběžná stopa prokazující vaši povinnost Überwachung: nejen jednorázové schválení, ale trvalé zapojení.
Absolvujte školení kybernetické bezpečnosti
Absolvujte školicí program, který pokrývá hrozby vaší společnosti, opatření podle §30 BSIG, povinnosti při hlášení incidentů a vaše osobní povinnosti podle §38. Zdokumentujte školení: poskytovatel, datum, probraný obsah, případně certifikát. Obnovujte každoročně. Tím se odstraní mezera s obhajobou nevědomostí a splní se vaše povinnost Schulung.