Zgłoszenia sygnalistów dotyczące uchybień NIS 2
Dyrektywa UE 2019/1937 chroni zgłoszenia naruszeń bezpieczeństwa sieci i systemów informatycznych. Niemiecka Hinweisgeberschutzgesetz (HinSchG) to transpozycja krajowa. Ta strona opisuje ramy, a nie poradę prawną dla konkretnej sprawy.
Czym jest ta strona
Sygnalizowanie to odrębna ścieżka prawna od zgłaszania incydentów w NIS 2. Pracownik, wykonawca lub kandydat do pracy, który zgłasza uchybienie zgodności z NIS 2, jest chroniony przez dyrektywę UE 2019/1937. Dyrektywa wymienia bezpieczeństwo sieci i systemów informatycznych wprost w swoim załączniku część I.B jako chroniony obszar zgłaszania.
W Niemczech Hinweisgeberschutzgesetz (HinSchG, obowiązująca od 2 lipca 2023 r.) transponuje dyrektywę. Bundesamt fuer Justiz prowadzi centralny kanał zewnętrzny. Podmioty zatrudniające 50 lub więcej pracowników są zobowiązane do utrzymywania wewnętrznego kanału zgłaszania na podstawie sekcji 12 HinSchG.
Ujawnienie przez sygnalistę organowi zewnętrznemu nie zastępuje własnego zgłoszenia incydentu przez podmiot na podstawie artykułu 23 NIS 2 (sekcja 32 BSIG w Niemczech). Oba obowiązki mogą zostać uruchomione tym samym zdarzeniem i oba biegną według własnych zegarów.
Dyrektywa UE 2019/1937, załącznik część I.B
Network and information systems security, as defined in Article 4, point (1), of Directive (EU) 2016/1148 of the European Parliament and of the Council.
Załącznik wymienia obszary polityki, w których zgłoszenie jest chronione. Bezpieczeństwo sieci i systemów informatycznych mieści się w części I.B obok bezpieczeństwa transportu i ochrony środowiska. NIS 2 (dyrektywa 2022/2555) zastępuje dyrektywę 2016/1148, więc zgłoszenia o uchybieniach zgodności z NIS 2 mieszczą się w tym zakresie.
Dyrektywa UE 2019/1937, artykuł 4 (zakres podmiotowy)
This Directive shall apply to reporting persons working in the private or public sector who acquired information on breaches in a work-related context.
Zakres podmiotowy obejmuje pracowników, osoby samozatrudnione, wspólników, członków organów administracyjnych, wolontariuszy, płatnych lub niepłatnych stażystów, wykonawców, podwykonawców i dostawców. Kandydaci do pracy i byli pracownicy również są chronieni. Zgłoszenia anonimowe są dopuszczone przez sekcję 16(1) HinSchG, ale działania następcze mogą być ograniczone.
HinSchG sekcja 12 (wewnętrzne kanały zgłaszania)
Beschaeftigungsgeber mit in der Regel mindestens 50 Beschaeftigten sind verpflichtet, eine Stelle einzurichten und zu betreiben, an die sich Beschaeftigte zur Abgabe von Meldungen nach diesem Gesetz wenden koennen.
Próg 50 pracowników to liczba osób co do zasady, a nie precyzyjna wartość dzienna. Podmioty poniżej 50 pracowników mogą utworzyć kanał wewnętrzny dobrowolnie; podmioty z 50 lub więcej muszą. Bundesamt fuer Justiz prowadzi kanał zewnętrzny.
Co można zgłosić
Sekcja 2 HinSchG wymienia chronione przedmioty zgłoszeń. Wśród nich: naruszenia prawa UE, w tym bezpieczeństwo sieci i systemów informatycznych. Zgłoszenie dotyczące obowiązku z NIS 2, na przykład niewdrożenia środków z artykułu 21 lub niezłożenia zgłoszenia incydentu na podstawie artykułu 23, mieści się w zakresie.
Najpierw wewnętrzny, równolegle zewnętrzny
Kanał wewnętrzny na podstawie sekcji 12 HinSchG (50 i więcej pracowników). Kanały zewnętrzne na podstawie sekcji 19 HinSchG: Bundesamt fuer Justiz jako centralny urząd zewnętrzny, plus organy sektorowe. Osoba zgłaszająca może wybrać dowolny; motyw 33 dyrektywy wyraża preferencję dla najpierw wewnętrznego, ale nie czyni z tego warunku wstępnego.
Obowiązek dokumentowania
Sekcja 11 HinSchG: zgłoszenia są dokumentowane w trwałej, możliwej do odtworzenia formie. Dokumentacja jest usuwana trzy lata po zamknięciu procedury; dłuższe przechowywanie jest dopuszczalne, gdy jest to konieczne dla postępowań prawnych. Dane osobowe podlegają zasadom GDPR.
Poufność tożsamości
Sekcja 8 HinSchG: tożsamość osoby zgłaszającej, osób wymienionych w zgłoszeniu oraz wskazanych osób trzecich jest utrzymywana w poufności. Ujawnienie jest dozwolone wyłącznie w wąskich wyjątkach, na przykład na pisemny wniosek organu ścigania karnego. Osoby obsługujące sprawę muszą być niezależne i wolne od konfliktów interesów.
Zakaz działań odwetowych
Sekcja 36 HinSchG zakazuje działań odwetowych wobec osoby zgłaszającej. Obejmuje to zwolnienie, degradację, wstrzymanie szkolenia, negatywną ocenę wyników i podobne środki. Sekcja 36(2) odwraca ciężar dowodu: jeśli osoba doświadcza niekorzystnego traktowania po zgłoszeniu, domniemywa się, że niekorzystne traktowanie jest działaniem odwetowym, chyba że pracodawca udowodni inaczej.
BSI jako organ sektorowy
Bundesamt fuer Sicherheit in der Informationstechnik (BSI) jest właściwym organem nadzoru NIS 2 na podstawie sekcji 61 BSIG. Zgłoszenie sygnalisty zarzucające, że podmiot nie spełnia środków z artykułu 21 lub nie zarejestrował się na podstawie artykułu 27, zwykle trafi do BSI poprzez routing kanału zewnętrznego, nawet jeśli najpierw zostanie złożone w Bundesamt fuer Justiz.
Bundesbeauftragte fuer den Datenschutz und die Informationsfreiheit
BfDI jest sektorowym kanałem zewnętrznym dla naruszeń ochrony danych na szczeblu federalnym. NIS 2 i GDPR nakładają się, gdy incydent obejmuje dane osobowe. Zgłoszenie sygnalisty może wskazywać obie podstawy prawne; przyjmujący organ kieruje poszczególne części do właściwego organu.
Bundesamt fuer Justiz jako centralny kanał zewnętrzny
Bundesamt fuer Justiz prowadzi centralny zewnętrzny urząd zgłoszeniowy na podstawie sekcji 19 HinSchG. Jest domyślnym adresem zewnętrznym, jeśli nie ma zastosowania kanał sektorowy, i kieruje zgłoszenia do właściwego organu nadzoru (BSI, BNetzA, BAFin, BfDI), gdy przedmiot tam się mieści.
Zgłoszenie sygnalisty do BSI zastępuje nasze zgłoszenie incydentu z artykułu 23.
Nie zastępuje. Artykuł 23 NIS 2 i sekcja 32 BSIG nakładają obowiązek zgłoszenia na podmiot. Zgłoszenie osoby trzeciej otwiera odrębne akta nadzorcze. Własne wczesne ostrzeżenie podmiotu oraz zgłoszenia 24-godzinne i 72-godzinne biegną niezależnie.
Mamy 60 pracowników, ale nikt nigdy niczego nie zgłosił, więc nie potrzebujemy kanału.
Sekcja 12 HinSchG wiąże obowiązek z liczbą osób, a nie z tym, czy zgłoszenia zostały złożone. Sekcja 40 HinSchG przewiduje karę administracyjną do 20.000 EUR za nieutrzymywanie kanału wewnętrznego. Kara zaczyna się od 1 grudnia 2023 r. dla podmiotów zatrudniających od 50 do 249 pracowników.
Możemy zwolnić osobę, która złożyła zgłoszenie, bo jej wyniki spadły.
Sekcja 36 HinSchG domniemywa, że środek jest działaniem odwetowym, gdy zgłoszenie zostało złożone. Ciężar dowodu spoczywa na pracodawcy, by wykazać niezwiązaną, udokumentowaną przyczynę. Decyzje dotyczące osoby zgłaszającej podejmowane po zgłoszeniu podlegają wzmożonej kontroli.
Po zgłoszeniu dotyczącym uchybienia NIS 2 biegną równolegle dwa zegary. Zegar pierwszy to harmonogram reakcji z HinSchG: potwierdzenie w ciągu siedmiu dni na podstawie sekcji 17(1)(1), informacja zwrotna dla osoby zgłaszającej w ciągu trzech miesięcy na podstawie sekcji 17(1)(4). Zegar drugi to jakikolwiek obowiązek incydentowy NIS 2 uruchomiony treścią zgłoszenia, czyli własny obowiązek podmiotu z artykułu 23, a nie obowiązek sygnalisty.
Najczystszy wzorzec w średniej wielkości podmiotach: jedna nazwana osoba obsługująca sprawę w dziale zgodności lub HR, drugi nazwany zastępca, pisemny formularz przyjęcia, który ujmuje treść bez wymuszania ujawnienia tożsamości, oraz pisemny rejestr zapisujący każdy krok z datownikiem. Rejestr jest jedynym dowodem, jaki istnieje później, jeśli sąd zapyta, jak obsłużono zgłoszenie.
Zgłoszenia sygnalistów nie są częścią samego rejestru obowiązków NIS 2. Są równoległym obowiązkiem zarządczym na podstawie HinSchG, z własnym kanałem, własnym przechowywaniem i własną zasadą braku odwetu.
Rejestr obowiązków odpowiada na pytanie, które środki NIS 2 podmiot wdrożył i jak to udokumentowano. Kanał sygnalistów odpowiada na pytanie, jak podmiot przyjmuje i przetwarza zgłoszenia o lukach w tych środkach. Oba są niezależnymi zapisami i oba mogą zostać zażądane przez organ nadzoru.
- Directive (EU) 2019/1937 of 23 October 2019 on the protection of persons who report breaches of Union law (OJ L 305, 26.11.2019, p. 17). Annex Part I.B and Article 4.
- Hinweisgeberschutzgesetz (HinSchG) of 31 May 2023, BGBl. 2023 I Nr. 140. Sections 2, 8, 11, 12, 16, 17, 19, 36, 40.
- Directive (EU) 2022/2555 (NIS 2) of 14 December 2022, Articles 21, 23, 27.
- BSI-Gesetz (BSIG), Sections 32, 33, 61, 65.
- Bundesamt fuer Justiz, external reporting office under Section 19 HinSchG.