Osobní odpovědnost řídícího orgánu podle NIS 2
Článek 20 směrnice NIS 2 přiřazuje řídícímu orgánu tři povinnosti: schválit opatření řízení rizik kybernetické bezpečnosti, dohlížet na jejich zavádění a absolvovat školení. Národní právo obchodních společností mění porušení těchto povinností v osobní nárok vůči jednotlivci.
Co článek 20 vlastně říká
Článek 20 směrnice (EU) 2022/2555 klade povinnost kybernetické bezpečnosti na řídící orgán každého zásadního a důležitého subjektu. Řídící orgán musí schválit opatření řízení rizik vyžadovaná článkem 21, musí dohlížet na jejich zavádění a může nést odpovědnost za porušení článku 21 ze strany subjektu.
Článek 20(2) doplňuje samostatnou povinnost: členové řídícího orgánu musí absolvovat školení, aby získali dostatečné znalosti k identifikaci rizik a posouzení postupů řízení rizik kybernetické bezpečnosti. Směrnice rovněž vybízí k podobnému školení zaměstnanců.
Jsou to povinnosti fyzické osoby, ne společnosti. NIS 2 sama nevytváří soukromoprávní nárok vůči jednateli, ale zvyšuje standard chování, podle kterého národní právo obchodních společností měří chování jednatele. V Německu je tímto standardem Sorgfaltspflicht v §43 GmbHG a §93 AktG.
Směrnice EU
Členské státy zajistí, aby řídící orgány zásadních a důležitých subjektů schvalovaly opatření řízení rizik kybernetické bezpečnosti přijatá těmito subjekty za účelem souladu s článkem 21, dohlížely na jejich zavádění a mohly nést odpovědnost za porušení tohoto článku ze strany subjektů.
Článek 20(1) NIS 2 (směrnice (EU) 2022/2555). Povinnost je přiřazena přímo řídícímu orgánu, ne společnosti jako samostatné právnické osobě.
Prováděcí nařízení EU
Zásadní a důležité subjekty zavedou, uplatňují a udržují vhodný rámec řízení rizik kybernetické bezpečnosti, který stanoví politiky, procesy, postupy a role relevantní pro řízení rizik kybernetické bezpečnosti.
Prováděcí nařízení Komise (EU) 2024/2690, příloha oddíl 1. Nařízení váže úzkou kategorii poskytovatelů digitální infrastruktury a digitálních služeb uvedených v článku 1; pro všechna ostatní odvětví je měřítkem kvality, ne závazným standardem.
Národní transpozice
Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen die von diesen Einrichtungen zur Einhaltung ihrer Pflichten nach §30 zu ergreifenden Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen.
§38(1) BSIG (ve znění NIS2UmsuCG, německého prováděcího zákona pro NIS 2). §38(3) vyžaduje, aby řídící orgán absolvoval pravidelné školení. Hák osobní odpovědnosti sedí v obecném právu obchodních společností, na které §38 odkazuje, ne v §38 samotném.
Schválit, dohlížet, školit
Článek 20(1) vyžaduje, aby řídící orgán schválil opatření podle článku 21 a dohlížel na jejich zavádění. Článek 20(2) vyžaduje školení. Obě povinnosti se váží k jednotlivému členovi řídícího orgánu.
Německá transpozice
§38 BSIG opakuje povinnost schválení, dohledu a školení v německém právu. §38 sám neuvádí výši náhrady škody; vymezuje standard chování. Finanční sankce sedí v §65 BSIG a míří na subjekt, ne na jednatele.
Sorgfaltspflicht jako most k odpovědnosti
§43 GmbHG vyžaduje, aby Geschäftsführer uplatňoval péči řádného hospodáře, a §43(2) jej činí společně a nerozdílně odpovědným vůči společnosti za škodu způsobenou porušením povinnosti. §93 AktG stanoví rovnocenný standard pro Vorstand akciové společnosti (Aktiengesellschaft). Nesplnění povinnosti podle článku 20 se stává důkazem, že byla porušena Sorgfaltspflicht.
Osobní odpovědnost běží vůči společnosti, ne vůči třetím stranám
Nároky podle §43 GmbHG a §93 AktG jsou nároky společnosti vůči jejímu vlastnímu jednateli. Stávají se účinnými, když se dozorčí orgán, společníci, insolvenční správce nebo nástupnické vedení rozhodnou je uplatnit. NIS 2 nevytváří přímý nárok regulátorů nebo dotčených třetích stran vůči jednotlivci; vytváří základní porušení.
Sorgfaltspflicht se měří podle praxe v oboru
Německé soudy posuzují Sorgfaltspflicht podle toho, co by ve stejné roli a odvětví udělal řádný hospodář. NIS 2 plus prováděcí nařízení nyní vymezují část tohoto měřítka pro kybernetickou bezpečnost. Řídící orgán, který ignoruje opatření podle článku 21, se dostává do rozporu se standardem, který je nyní zapsán v zákoně.
Pokyny BSI
Bundesamt für Sicherheit in der Informationstechnik (BSI) vykládá §38 BSIG jako nepřenositelnou povinnost vedení. Handreichung zur Geschäftsleitungs-Schulung (duben 2026, v1.0) je výzkumný vstup, ne závazné osnovy; popisuje však věcný obsah, který BSI od řídícího orgánu očekává znát.
Judikatura německého práva obchodních společností
Bundesgerichtshof dlouhodobě podle §43 GmbHG zastává názor, že Geschäftsführer musí společnost organizovat tak, aby byly zákonné povinnosti skutečně plněny, včetně zavedení reportovacích linií a dohledu. NIS 2 jednu z těchto zákonných povinností podrobně upřesňuje.
Technical Implementation Guidance ENISA
European Union Agency for Cybersecurity (ENISA) zveřejňuje Technical Implementation Guidance pro opatření podle článku 21 NIS 2 a mapuje je na ISO 27001, NIST CSF 2.0, ETSI 319 401 a CEN/TS 18026. Pokyny jsou nezávazné, ale jsou referenčním textem, který auditoři a soudy považují za stav techniky.
Kybernetickou bezpečnost jsme delegovali na CISO, takže řídící orgán je z obliga.
Článek 20(1) klade povinnost schválení a dohledu na řídící orgán samotný. Operativní provedení lze delegovat, ale povinnost schválit opatření a dohlížet na zavádění nelze. Judikatura k §43 GmbHG považuje organizační selhání za primární porušení ze strany Geschäftsführer, bez ohledu na to, kdo byl pověřen operativně.
Pokud Geschäftsführer není technik, povinnost se na něj osobně nemůže vztahovat.
Článek 20(2) vyžaduje, aby členové řídícího orgánu absolvovali školení, které jim dá dostatečné znalosti k posouzení postupů řízení rizik kybernetické bezpečnosti. Nedostatek odbornosti je přesně to, co článek 20(2) řeší; není to obrana proti §43 GmbHG.
Pojištění D&O kryje jakoukoli odpovědnost podle NIS 2.
Pojistky D&O obvykle reagují na nároky společnosti vůči jednateli podle §43 GmbHG nebo §93 AktG, což je místo, kam porušení článku 20 dopadá. Pojistky pravidelně vylučují regulatorní pokuty (např. pokuty na úrovni subjektu podle §65 BSIG), úmyslné jednání a vědomá porušení. Výluky, spoluúčast a spouštěče krytí jsou specifické pro každou pojistku a jsou zde popsány, ne předjímány.
V praxi povinnost podle článku 20 produkuje tři artefakty. Písemné schválení opatření řízení rizik podle článku 21 řídícím orgánem. Záznam o dohledu, který ukazuje, že řídící orgán dostával aktualizace stavu a reagoval. Záznam o školení pro každého člena řídícího orgánu.
Auditoři, pojistitelé a v nepříznivém scénáři nástupnické vedení nebo insolvenční správce budou tyto tři artefakty hledat. Jejich absence je to, co mění povinnost podle článku 20 v nárok podle §43 GmbHG.
Platforma modeluje povinnost podle článku 20 jako kategorii GOV v registru povinností NIS 2. Schválení opatření řízení rizik sedí na požadavku na schválení přiděleném řídícímu orgánu. Dohled je auditní stopa napříč požadavky podle článku 21. Školení se sleduje pro každého člena s důkazem o absolvování.
Věcná otázka, zda by soud v daném případě shledal porušení Sorgfaltspflicht, je otázkou pro právního zástupce. Platforma produkuje dokumentační záznam, podle kterého se právní otázka rozhoduje.
- Směrnice (EU) 2022/2555 (NIS 2), článek 20 a článek 21. Zdroj: EUR-Lex.
- Prováděcí nařízení Komise (EU) 2024/2690, příloha oddíl 1. Zdroj: EUR-Lex.
- BSI-Gesetz, §38 (povinnost správy a řízení řídících orgánů) a §65 (sankce). Zdroj: gesetze-im-internet.de.
- §43 GmbHG (Sorgfaltspflicht Geschäftsführer). Zdroj: gesetze-im-internet.de.
- §93 AktG (Sorgfaltspflicht Vorstand). Zdroj: gesetze-im-internet.de.
- BSI Handreichung zur Geschäftsleitungs-Schulung nach §38(3) BSIG, v1.0 (duben 2026). Nezávazný výzkumný vstup. Zdroj: bsi.bund.de.
- Technical Implementation Guidance ENISA pro opatření řízení rizik NIS 2. Zdroj: enisa.europa.eu.