§ 38 BSIG: obowiązki kierownictwa
Wdrażać, nadzorować, szkolić się: trzy obowiązki, które pozostają po stronie kierownictwa.
Czego wymaga § 38 BSIG
§ 38 BSIG wdraża artykuł 20 NIS 2 do prawa niemieckiego i odnosi się nie do samego podmiotu, lecz do osób stojących na jego czele. Kierownictwo podmiotów szczególnie ważnych i ważnych musi wdrożyć środki zarządzania ryzykiem wynikające z § 30 BSIG oraz nadzorować ich wdrożenie. Cyberbezpieczeństwo jest tym samym wyraźnie zadaniem kierownictwa, a nie wyłącznie sprawą działu IT.
Artykuł 20 NIS 2 mówi o zatwierdzaniu i nadzorowaniu, a § 38 BSIG formułuje ten obowiązek jako wdrażanie i nadzorowanie. Chodzi o to samo: kierownictwo musi znać środki, brać za nie odpowiedzialność i mieć na uwadze ich skuteczność. Kto ogranicza się do formalnej akceptacji, nie wypełnia obowiązku nadzoru.
Wdrożenie środków wynikających z § 30
Kierownictwo musi zapewnić, aby środki zarządzania ryzykiem wynikające z § 30 ust. 2 BSIG zostały faktycznie wdrożone. Odpowiedzialności za to nie można przekazać działowi IT ani usługodawcy zewnętrznemu.
Nadzór nad wdrożeniem
Samo wdrożenie nie wystarcza. Kierownictwo musi na bieżąco nadzorować, czy środki działają, i móc to udokumentować. Zwykłym dowodem są regularne sprawozdania kierowane do zarządu oraz udokumentowane potwierdzenie zapoznania się z nimi.
Udział w szkoleniach
Zgodnie z § 38 ust. 3 BSIG członkowie kierownictwa powinni regularnie uczestniczyć w szkoleniach, aby samodzielnie rozpoznawać i oceniać ryzyka cyberbezpieczeństwa. Ustawa nie wskazuje żadnej określonej certyfikacji; decydujący jest udokumentowany udział.
§ 38 ust. 2 BSIG reguluje odpowiedzialność wewnętrzną: jeżeli członkowie kierownictwa naruszą swoje obowiązki wynikające z ust. 1, odpowiadają wobec własnego podmiotu za zawinioną szkodę tym spowodowaną. Jest to odpowiedzialność wobec własnego przedsiębiorstwa, a nie wobec organów administracji ani osób trzecich.
Ta odpowiedzialność wewnętrzna występuje obok ogólnej odpowiedzialności organów wynikającej z § 43 GmbHG oraz § 93 AktG. Jest ona powodem, dla którego obowiązek wdrożenia i nadzoru nie jest jedynie formalnością: udokumentowany proces nadzoru stanowi zarazem odciążenie osób działających.
Obowiązek szkoleniowy wynikający z § 38 ust. 3 BSIG spoczywa osobiście na osobach kierujących. Wymagana jest wystarczająca wiedza pozwalająca rozpoznawać ryzyka cyberbezpieczeństwa i oceniać adekwatność środków, a nie specjalistyczna wiedza techniczna.
Ponieważ ustawa nie narzuca żadnego dostawcy ani żadnej certyfikacji, udokumentowanie jest proste: udokumentowany, regularny udział. Zaświadczenie o uczestnictwie oraz cykliczny termin wystarczą jako podstawa.
Kierownictwo to przedstawiciele ustawowi podmiotu, na przykład dyrektorzy zarządzający spółki GmbH lub zarząd spółki AG. Obowiązki wynikające z § 38 BSIG dotyczą tych osób bezpośrednio, niezależnie od wielkości wewnętrznego działu IT.
Delegować można wykonanie operacyjne, ale nie odpowiedzialność. Wdrożenie można powierzyć zespołowi lub usługodawcy, a nadzór powiązać ze ścieżką raportowania; ostateczna odpowiedzialność za wdrożenie i nadzór pozostaje po stronie kierownictwa.
Najczęstsze pytania
Czy § 38 BSIG obowiązuje także małe przedsiębiorstwa?
Tak, o ile podmiot został zaklasyfikowany jako szczególnie ważny lub ważny. Obowiązki kierownictwa zależą od tego, czy podmiot jest objęty przepisami, a nie od jego wielkości w ramach progu.
Czy zarząd może przekazać odpowiedzialność działowi IT lub usługodawcy?
Nie. Wdrożenie operacyjne można delegować, ale odpowiedzialności za wdrożenie i nadzór już nie. Ostateczna odpowiedzialność pozostaje po stronie kierownictwa.
Które szkolenie spełnia wymóg § 38 ust. 3 BSIG?
Ustawa nie przewiduje żadnego określonego szkolenia ani certyfikacji. Wymagana jest wystarczająca wiedza do rozpoznawania i oceny ryzyk; potwierdza się ją regularnym, udokumentowanym udziałem.
Za co dokładnie odpowiada kierownictwo?
Zgodnie z § 38 ust. 2 BSIG członkowie kierownictwa odpowiadają wobec własnego podmiotu za szkodę, którą spowodowali zawinionym naruszeniem obowiązków wdrożenia i nadzoru. Jest to odpowiedzialność wewnętrzna wobec przedsiębiorstwa.
Czym różni się § 38 od § 30 BSIG?
§ 30 BSIG określa, jakie środki musi podjąć podmiot. § 38 BSIG określa, że kierownictwo te środki wdraża, nadzoruje, szkoli się w ich zakresie i za nie odpowiada.