Hlášení oznamovatelů o selháních NIS 2
Směrnice EU 2019/1937 chrání hlášení o narušeních bezpečnosti sítí a informací. Německý Hinweisgeberschutzgesetz (HinSchG) je národní transpozicí. Tato stránka popisuje rámec, není to právní poradenství pro konkrétní případ.
Čím tato stránka je
Whistleblowing je samostatná právní kolej oddělená od hlášení incidentů podle NIS 2. Zaměstnanec, smluvní partner nebo uchazeč o práci, který nahlásí selhání shody s NIS 2, je chráněn směrnicí EU 2019/1937. Směrnice uvádí bezpečnost sítí a informací výslovně ve své příloze části I.B jako chráněnou oblast hlášení.
V Německu transponuje směrnici Hinweisgeberschutzgesetz (HinSchG, v účinnosti od 2. července 2023). Bundesamt fuer Justiz hostí centrální vnější kanál. Subjekty s 50 a více zaměstnanci jsou povinny udržovat vnitřní kanál pro hlášení podle § 12 HinSchG.
Sdělení oznamovatele vnějšímu orgánu nenahrazuje vlastní oznámení incidentu subjektu podle článku 23 NIS 2 (§ 32 BSIG v Německu). Obě povinnosti může spustit tatáž událost a každá běží na vlastních hodinách.
Směrnice EU 2019/1937, příloha část I.B
Bezpečnost sítí a informačních systémů ve smyslu čl. 4 bodu 1 směrnice Evropského parlamentu a Rady (EU) 2016/1148.
Příloha vyjmenovává oblasti politiky, v nichž je hlášení chráněno. Bezpečnost sítí a informací leží v části I.B vedle bezpečnosti dopravy a ochrany životního prostředí. NIS 2 (směrnice 2022/2555) nahrazuje směrnici 2016/1148, takže hlášení o selháních shody s NIS 2 spadají do tohoto rozsahu.
Směrnice EU 2019/1937, článek 4 (osobní působnost)
Tato směrnice se vztahuje na oznamující osoby pracující v soukromém nebo veřejném sektoru, které získaly informace o porušení v pracovním kontextu.
Osobní působnost pokrývá zaměstnance, osoby samostatně výdělečně činné, akcionáře, členy správních orgánů, dobrovolníky, placené i neplacené stážisty, smluvní partnery, subdodavatele a dodavatele. Chráněni jsou také uchazeči o práci a bývalí pracovníci. Anonymní hlášení jsou povolena § 16 odst. 1 HinSchG, ale následná opatření mohou být omezena.
§ 12 HinSchG (vnitřní kanály pro hlášení)
Beschaeftigungsgeber mit in der Regel mindestens 50 Beschaeftigten sind verpflichtet, eine Stelle einzurichten und zu betreiben, an die sich Beschaeftigte zur Abgabe von Meldungen nach diesem Gesetz wenden koennen.
Prahová hodnota 50 zaměstnanců je počet zpravidla, ne přesný denní údaj. Subjekty pod 50 zaměstnanci mohou vnitřní kanál zřídit dobrovolně; subjekty na 50 nebo nad tuto hranici musí. Bundesamt fuer Justiz provozuje vnější kanál.
Co lze nahlásit
§ 2 HinSchG vyjmenovává chráněné předměty hlášení. Mezi nimi: porušení práva EU, včetně bezpečnosti sítí a informací. Hlášení o povinnosti podle NIS 2, například nezavedení opatření článku 21 nebo nepodání oznámení incidentu podle článku 23, je v rozsahu.
Nejprve vnitřní, vnější souběžně
Vnitřní kanál podle § 12 HinSchG (50+ zaměstnanců). Vnější kanály podle § 19 HinSchG: Bundesamt fuer Justiz jako centrální vnější úřad, plus odvětvové orgány. Oznamující osoba si může vybrat kterýkoli; bod odůvodnění 33 směrnice vyjadřuje preferenci nejprve vnitřního, ale nečiní jej podmínkou.
Povinnost dokumentace
§ 11 HinSchG: hlášení se dokumentují v trvalé, vyhledatelné podobě. Dokumentace se vymaže tři roky po uzavření řízení; delší uchovávání je povoleno, pokud je nezbytné pro právní řízení. Osobní údaje se řídí zásadami GDPR.
Důvěrnost totožnosti
§ 8 HinSchG: totožnost oznamující osoby, osob jmenovaných v hlášení a třetích osob v něm zmíněných se uchovává v důvěrnosti. Zveřejnění je povoleno pouze v úzkých výjimkách, například na písemnou žádost orgánu činného v trestním řízení. Osoby vyřizující případy musí být nezávislé a bez střetu zájmů.
Zákaz odvetných opatření
§ 36 HinSchG zakazuje odvetná opatření vůči oznamující osobě. To pokrývá propuštění, degradaci, odepření školení, negativní hodnocení výkonu a podobná opatření. § 36 odst. 2 obrací důkazní břemeno: pokud osoba zažije znevýhodnění po hlášení, předpokládá se, že znevýhodnění je odvetným opatřením, dokud zaměstnavatel neprokáže opak.
BSI jako odvětvový orgán
Bundesamt fuer Sicherheit in der Informationstechnik (BSI) je příslušným orgánem pro dozor nad NIS 2 podle § 61 BSIG. Hlášení oznamovatele tvrdící, že subjekt nesplňuje opatření článku 21 nebo se nezaregistroval podle článku 27, zpravidla skončí u BSI prostřednictvím směrování vnějšího kanálu, i když je nejprve podáno u Bundesamt fuer Justiz.
Bundesbeauftragte fuer den Datenschutz und die Informationsfreiheit
BfDI je odvětvově specifický vnější kanál pro federální porušení ochrany osobních údajů. NIS 2 a GDPR se překrývají, když incident zahrnuje osobní údaje. Hlášení oznamovatele může jmenovat oba právní základy; přijímající orgán nasměruje příslušné části kompetentnímu subjektu.
Bundesamt fuer Justiz jako centrální vnější kanál
Bundesamt fuer Justiz provozuje centrální vnější úřad pro hlášení podle § 19 HinSchG. Je výchozí vnější adresou, pokud se neuplatní odvětvově specifický kanál, a směruje hlášení příslušnému dozorovému orgánu (BSI, BNetzA, BAFin, BfDI), pokud tam předmět spadá.
Hlášení oznamovatele u BSI nahrazuje naše oznámení incidentu podle článku 23.
Nenahrazuje. Článek 23 NIS 2 a § 32 BSIG kladou povinnost oznámení na subjekt. Hlášení třetí strany otevírá samostatný dozorový spis. Vlastní včasné varování subjektu a oznámení do 24 a 72 hodin běží nezávisle.
Máme 60 zaměstnanců, ale nikdo nikdy nic nenahlásil, takže kanál nepotřebujeme.
§ 12 HinSchG váže povinnost na počet zaměstnanců, ne na to, zda byla podána hlášení. § 40 HinSchG připojuje správní pokutu až 20.000 EUR za neprovozování vnitřního kanálu. Pokuta začíná 1. prosince 2023 pro subjekty s 50 až 249 zaměstnanci.
Můžeme propustit osobu, která podala hlášení, protože výkon klesl.
§ 36 HinSchG předpokládá, že opatření je odvetným opatřením, jakmile bylo podáno hlášení. Důkazní břemeno je na zaměstnavateli, aby prokázal nesouvisející, doložený důvod. Rozhodnutí o oznamující osobě učiněná po hlášení podléhají zvýšenému dohledu.
Po hlášení o selhání NIS 2 běží souběžně dvoje hodiny. Hodiny jedna jsou časová osa reakce podle HinSchG: potvrzení do sedmi dnů podle § 17 odst. 1 bodu 1, zpětná vazba oznamující osobě do tří měsíců podle § 17 odst. 1 bodu 4. Hodiny dva jsou jakákoli povinnost incidentu NIS 2, kterou spustí podstata hlášení, což je vlastní povinnost subjektu podle článku 23, ne oznamovatele.
Nejčistší vzorec u středně velkých subjektů: jeden jmenovaný vyřizovatel případů v compliance nebo HR, druhý jmenovaný zástupce, písemný formulář pro příjem, který zachytí podstatu bez nucení k odhalení totožnosti, a písemný log, který zaznamenává každý krok s časovým razítkem. Log je jediným důkazem, který později existuje, pokud se soud zeptá, jak bylo hlášení vyřízeno.
Hlášení oznamovatelů nejsou součástí samotného registru povinností NIS 2. Jsou paralelní povinností správy podle HinSchG, s vlastním kanálem, vlastním uchováváním a vlastním pravidlem zákazu odvetných opatření.
Registr povinností odpovídá na otázku, která opatření NIS 2 subjekt zavedl a jak je to doloženo. Kanál pro oznamovatele odpovídá na otázku, jak subjekt přijímá a zpracovává hlášení o mezerách v těchto opatřeních. Oba jsou nezávislé záznamy a oba si může dozorový orgán vyžádat.
- Směrnice (EU) 2019/1937 ze dne 23. října 2019 o ochraně osob, které oznamují porušení práva Unie (Úř. věst. L 305, 26.11.2019, s. 17). Příloha část I.B a článek 4.
- Hinweisgeberschutzgesetz (HinSchG) ze dne 31. května 2023, BGBl. 2023 I Nr. 140. § 2, 8, 11, 12, 16, 17, 19, 36, 40.
- Směrnice (EU) 2022/2555 (NIS 2) ze dne 14. prosince 2022, články 21, 23, 27.
- Zákon o BSI (BSIG), § 32, 33, 61, 65.
- Bundesamt fuer Justiz, vnější úřad pro hlášení podle § 19 HinSchG.