§38 BSIG

Odpowiedzialność kierownictwa w NIS2

§38 BSIG czyni członków zarządu osobiście odpowiedzialnymi za uchybienia w cyberbezpieczeństwie, co jest nowością w prawie niemieckim.

Simon OrzelSimon Orzel·Laufend geprüft

Niemiecka transpozycja NIS2 operacjonalizuje art. 20 NIS-2 z wyraźną odpowiedzialnością osobistą organu zarządzającego w §38 BSIG. Członkowie organu zarządzającego (Geschäftsführung, Vorstand) każdej spółki podlegającej NIS2, niezależnie od tego, czy jest to GmbH, AG czy KG, odpowiadają osobiście za zapewnienie, że środki cyberbezpieczeństwa są wdrożone, nadzorowane i utrzymywane. Tego nie można scedować na dział IT.

To zupełnie nowe. W pierwotnych ramach NIS1 (poprzednia IT-Sicherheitsgesetz) odpowiedzialność spoczywała na spółce jako osobie prawnej. §38 BSIG zmienia reguły gry: poszczególni członkowie zarządu mogą teraz ponosić odpowiedzialność swoim majątkiem osobistym, jeśli nie wypełnią swoich obowiązków w zakresie cyberbezpieczeństwa. Ustawa wprost odnosi się do Geschäftsleiter, osób podpisujących w imieniu spółki.

Ustawa definiuje trzy podstawowe obowiązki kierownictwa: zatwierdzenie (Billigung) środków cyberbezpieczeństwa, nadzór (Überwachung) nad ich wdrożeniem oraz osobiste szkolenie (Schulung) w zakresie cyberbezpieczeństwa. Niewypełnienie któregokolwiek z nich tworzy ekspozycję na odpowiedzialność osobistą, nawet jeśli sama spółka wdrożyła rozsądne środki.

Trzy podstawowe obowiązki
§38 BSIG definiuje trzy obowiązki, które organ zarządzający musi wypełnić osobiście: wdrożenie i nadzór nad środkami zarządzania ryzykiem z §30 (§38(1)) oraz osobiste szkolenie (§38(3)). Żadnego z nich nie można scedować na pracowników, konsultantów ani zewnętrznych usługodawców.
1

Zatwierdzenie (Billigung)

Kierownictwo musi formalnie zatwierdzić środki zarządzania ryzykiem cyberbezpieczeństwa wymagane na podstawie §30 BSIG. Oznacza to przegląd i podpisanie polityk bezpieczeństwa informacji spółki, ocen ryzyka i planów postępowania z ryzykiem. Ustne „zielone światło” nie wystarczy. Potrzebne jest udokumentowane, możliwe do prześledzenia zatwierdzenie z datownikami i podpisami.

2

Nadzór (Überwachung)

Kierownictwo musi aktywnie nadzorować wdrażanie zatwierdzonych środków. Oznacza to regularne przeglądy statusu, śledzenie postępów i obsługę eskalacji. Musisz być w stanie wykazać, że monitorowałeś, czy środki zostały faktycznie wdrożone, a nie tylko że je zatwierdziłeś i odszedłeś. Kwartalne przeglądy kierownictwa to minimalna możliwa do obrony częstotliwość.

3

Szkolenie (Schulung)

Kierownictwo musi osobiście ukończyć szkolenie z cyberbezpieczeństwa, aby zdobyć wiedzę wystarczającą do oceny ryzyk i środków. Nie jest to ogólne szkolenie uświadamiające dla pracowników z §30(2)(7) BSIG. Jest to odrębny obowiązek dotyczący wyłącznie organu zarządzającego (§38(3) BSIG). Szkolenie musi być odpowiednie, aby zrozumieć profil ryzyka spółki, wdrożone środki oraz zaakceptowane ryzyka rezydualne.

Co się dzieje, gdy zawiedziesz
BSIG ustanawia stopniowany reżim egzekwowania. BSI może wydawać nakazy, nakładać kary, a w poważnych przypadkach zakazać kierownictwu wykonywania jego obowiązków. Oto konkretne konsekwencje powszechnych naruszeń.

Brak wdrożonych środków cyberbezpieczeństwa

Kary do 10 milionów EUR lub 2% globalnego rocznego obrotu (w zależności od tego, która kwota jest wyższa) na podstawie §65 BSIG dla podmiotów kluczowych. Dla wichtige Einrichtungen: do 7 milionów EUR lub 1,4% obrotu. Kierownictwo jest narażone na roszczenia odpowiedzialności osobistej ze strony spółki za szkody wynikające z naruszenia.

Incydent niezgłoszony do BSI

§32 BSIG wymaga wczesnego ostrzeżenia w ciągu 24 godzin, zgłoszenia uzupełniającego w ciągu 72 godzin oraz raportu końcowego w ciągu jednego miesiąca. Niedotrzymanie tych terminów uruchamia działania egzekucyjne. Jeśli kierownictwo było świadome incydentu i nie zapewniło zgłoszenia, na podstawie §38 ma zastosowanie odpowiedzialność osobista za uchybienie w nadzorze.

Kierownictwo nie ukończyło szkolenia

Bezpośrednie naruszenie §38(3) BSIG. To najłatwiejsze naruszenie do udowodnienia przez BSI: albo masz dokumentację szkolenia, albo jej nie masz. Podważa to także twoją obronę we wszystkich pozostałych punktach. Jak możesz twierdzić, że sprawowałeś odpowiedni nadzór, skoro brakuje ci szkolenia do oceny tego, co nadzorujesz?

Brak aktywnego nadzoru nad wdrożeniem

Jeśli środki zostały zatwierdzone, ale kierownictwo nie potrafi wykazać bieżącego nadzoru (spotkania przeglądowe, raporty statusu, zapisy eskalacji), samo zatwierdzenie jest niewystarczające. Ustawa wymaga wszystkich trzech obowiązków. Zatwierdzanie bez nadzorowania jest jak podpisanie umowy bez jej przeczytania. Nadal odpowiadasz.

Powszechne błędne przekonania
W rozmowach z niemieckimi firmami z sektora Mittelstand wielokrotnie napotykamy te same nieporozumienia. Wszystkie tworzą fałszywe poczucie bezpieczeństwa.

  • Mogę to scedować na dział IT

    Możesz scedować wykonanie, ale nie odpowiedzialność. §38 BSIG wprost wymienia Geschäftsleitung (wszystkich członków organu zarządzającego). Nie kierowników IT, nie CISO, nie zewnętrznych konsultantów. Musisz osobiście zatwierdzać, nadzorować i być przeszkolony. Twój zespół IT wdraża; ty zatwierdzasz i monitorujesz. To rozróżnienie ma znaczenie w sądzie.

  • Ubezpieczenie D&O pokrywa odpowiedzialność z NIS2

    Większość polis D&O wyłącza kary i grzywny administracyjne. Nawet tam, gdzie roszczenia z tytułu odpowiedzialności cywilnej są objęte, ubezpieczyciele mogą odmówić wypłaty, jeśli kierownictwo świadomie nie dopełniło obowiązków ustawowych. Sprawdź klauzule wyłączeń w swojej polisie: „niedopełnienie obowiązkowych przepisów” jest standardowym wyłączeniem w niemieckich polisach D&O.

  • Nie jestem techniczny, nie mogę ponosić odpowiedzialności

    §38(3) BSIG nakłada obowiązek szkolenia właśnie po to, by wyeliminować tę linię obrony. Ustawa zakłada, że po ukończeniu odpowiedniego szkolenia z cyberbezpieczeństwa kierownictwo ma wiedzę wystarczającą do wypełnienia swoich obowiązków. „Nie rozumiem technologii” nie jest linią obrony. To dowód naruszenia obowiązku szkolenia.

  • Wspólnicy mogą zwolnić mnie z odpowiedzialności

    §38(2) BSIG ustanawia osobistą odpowiedzialność członków organu zarządzającego za szkody spowodowane w sposób zawiniony. Ograniczenia dotyczące zrzeczenia się i ugody w odniesieniu do takich roszczeń wynikają z prawa spółek (§93(4) AktG, §43(3) GmbHG): zrzeczenie się jest możliwe wyłącznie w wąskich warunkach (zwykle dopiero trzy lata po powstaniu roszczenia, na mocy uchwały większości wspólników i tylko wtedy, gdy żaden wierzyciel nie poniesie szkody). Zgromadzenie wspólników nie może zwolnić cię ryczałtowo z odpowiedzialności z NIS2.

  • Jesteśmy za mali, żeby ktokolwiek się tym przejmował

    Próg zakresu NIS2 zaczyna się od 50 i więcej pracowników LUB (>10 mln EUR obrotu ORAZ >10 mln EUR sumy bilansowej), zgodnie z unijną definicją MŚP z zalecenia Komisji 2003/361/WE. Jeśli spełniasz ten próg w objętym sektorze, podlegasz pełnemu reżimowi, w tym odpowiedzialności kierownictwa z §38. BSI już zaczęło żądać rejestracji od firm z tego przedziału wielkości. Wielkość nie jest linią obrony; jest kryterium zakresu, a ty jesteś w zakresie.

Ryzyko osobiste
Zrozumienie wyjątkowej natury odpowiedzialności kierownictwa z NIS2 w prawie niemieckim.

Oto co zaskakuje większość członków zarządu: na podstawie §38 BSIG odpowiadasz wobec własnej spółki. Jeśli spółka poniesie szkodę, ponieważ nie wdrożyłeś, nie nadzorowałeś lub nie przeszedłeś szkolenia w zakresie środków cyberbezpieczeństwa, spółka (lub jej syndyk, lub jej wspólnicy) może dochodzić odszkodowania bezpośrednio od ciebie. Jest to odpowiedzialność wewnętrzna: twoja własna organizacja może cię pozwać.

§38(2) BSIG ustanawia osobistą odpowiedzialność organu zarządzającego za szkody spowodowane w sposób zawiniony. Równolegle stosuje się ograniczenia prawa spółek dotyczące zrzeczenia się i ugody (§93(4) AktG, §43(3) GmbHG). W praktyce, jeśli spółka zbankrutuje wskutek cyberincydentu, syndyk może dochodzić roszczeń wobec twojego majątku osobistego, a ryczałtowe uprzednie zrzeczenie się ze strony wspólników byłoby co do zasady bezskuteczne.

Obowiązek szkolenia z §38(3) BSIG nie jest opcjonalnym rozwojem zawodowym. Jest prawnym warunkiem wstępnym, który usuwa niewiedzę jako linię obrony. Skoro prawo wymaga, byś był przeszkolony, samo niezdobycie tego szkolenia stanowi naruszenie. Nie możesz twierdzić, że nie rozumiałeś ryzyk, skoro prawo wymagało, byś się o nich dowiedział.

Trzy kroki, by się zabezpieczyć
Dobra wiadomość: wypełnienie twoich obowiązków z §38 BSIG jest proste, jeśli podejdziesz do tego systematycznie. Te trzy kroki tworzą udokumentowany ślad, który cię chroni.
1

Formalnie zatwierdź środki cyberbezpieczeństwa

Przejrzyj ocenę ryzyka, polityki bezpieczeństwa i plany postępowania z ryzykiem przygotowane na podstawie §30 BSIG. Podpisz swoim nazwiskiem, datą i funkcją. Przechowuj zatwierdzenie w systemie umożliwiającym audyt, a nie w skrzynce e-mail. Tworzy to udokumentowany dowód, że wypełniłeś swój obowiązek Billigung. Powtórz, ilekroć środki ulegają istotnej zmianie.

2

Ustanów procesy nadzoru

Zaplanuj kwartalne przeglądy kierownictwa dotyczące statusu cyberbezpieczeństwa. Przeanalizuj postęp wdrożenia, otwarte ryzyka, raporty z incydentów i wskaźniki skuteczności. Udokumentuj obecność, decyzje i punkty działania. Tworzy to ciągły ślad dowodzący wypełnienia twojego obowiązku Überwachung: nie jednorazowe zatwierdzenie, lecz bieżące zaangażowanie.

3

Ukończ szkolenie z cyberbezpieczeństwa

Ukończ program szkoleniowy obejmujący krajobraz zagrożeń twojej spółki, środki z §30 BSIG, obowiązki zgłaszania incydentów oraz twoje obowiązki osobiste z §38. Udokumentuj szkolenie: dostawcę, datę, objęte treści, certyfikat, jeśli jest dostępny. Odświeżaj co roku. Eliminuje to lukę obrony przez niewiedzę i wypełnia twój obowiązek Schulung.

Wykaż swoją zgodność
Platforma zgodności z NIS2 śledzi zatwierdzenia kierownictwa, czynności nadzorcze i ukończenie szkoleń, tworząc możliwy do audytu ślad dowodowy, który chroni cię osobiście na podstawie §38 BSIG.
Rozpocznij swój proces zgodności z NIS2