§ 38 BSIG

§ 38 BSIG: obligațiile conducerii societății

A pune în aplicare, a monitoriza, a se instrui: trei obligații care rămân la nivelul conducerii.

Simon OrzelSimon Orzel·Laufend geprüft

Ce impune § 38 BSIG

§ 38 BSIG transpune articolul 20 NIS 2 în dreptul german și nu se adresează entității, ci persoanelor aflate la conducerea acesteia. Conducerea entităților deosebit de importante și importante trebuie să pună în aplicare măsurile de gestionare a riscurilor prevăzute la § 30 BSIG și să monitorizeze punerea lor în aplicare. Securitatea cibernetică este astfel în mod expres o sarcină a conducerii, nu doar o chestiune a departamentului IT.

Articolul 20 NIS 2 vorbește despre a aproba și a supraveghea, iar § 38 BSIG formulează obligația ca a pune în aplicare și a monitoriza. Se are în vedere același lucru: conducerea trebuie să cunoască măsurile, să și le asume și să urmărească eficacitatea acestora. Cine doar aprobă din reflex nu își îndeplinește obligația de monitorizare.

Cele trei obligații ale conducerii
§ 38 alineatele 1 și 3 BSIG, articolul 20 NIS 2.
1

Punerea în aplicare a măsurilor prevăzute la § 30

Conducerea trebuie să se asigure că măsurile de gestionare a riscurilor prevăzute la § 30 alineatul 2 BSIG sunt puse în aplicare în mod efectiv. Responsabilitatea pentru acest lucru nu poate fi transferată departamentului IT sau unui prestator de servicii.

2

Monitorizarea punerii în aplicare

Punerea în aplicare singură nu este suficientă. Conducerea trebuie să monitorizeze în permanență dacă măsurile funcționează și să poată dovedi acest lucru. Rapoartele periodice către conducere și luarea la cunoștință documentată a acestora reprezintă dovada obișnuită.

3

Participarea la instruiri

Potrivit § 38 alineatul 3 BSIG, membrii conducerii ar trebui să participe periodic la instruiri, pentru a putea recunoaște și evalua ei înșiși riscurile cibernetice. Legea nu indică o anumită certificare; ceea ce contează este participarea care poate fi dovedită.

Răspunderea personală potrivit § 38 alineatul 2

§ 38 alineatul 2 BSIG reglementează o răspundere internă: dacă membrii conducerii își încalcă obligațiile prevăzute la alineatul 1, ei răspund față de propria entitate pentru prejudiciul cauzat astfel din culpă. Este o răspundere față de propria întreprindere, nu față de autorități sau terți.

Această răspundere internă se adaugă răspunderii generale a organelor de conducere prevăzute la § 43 GmbHG și § 93 AktG. Ea este motivul pentru care obligația de punere în aplicare și de monitorizare nu este o simplă formalitate: un proces de monitorizare documentat reprezintă în același timp exonerarea persoanelor implicate.

Obligația de instruire și dovada acesteia

Obligația de instruire prevăzută la § 38 alineatul 3 BSIG revine personal persoanelor din conducere. Se cere un nivel de cunoștințe suficient pentru a recunoaște riscurile cibernetice și a aprecia caracterul adecvat al măsurilor, nu cunoștințe tehnice de specialitate.

Întrucât legea nu impune un anumit furnizor și nicio certificare, dovada este simplă: o participare periodică ce poate fi dovedită. O adeverință de participare și un termen recurent sunt suficiente ca temei.

Cine face parte din conducere și ce poate fi delegat

Conducerea este formată din reprezentanții legali ai entității, de exemplu administratorii unei GmbH sau directoratul unei AG. Obligațiile prevăzute la § 38 BSIG revin direct acestor persoane, indiferent de dimensiunea departamentului IT intern.

Delegabilă este executarea operativă, nu responsabilitatea. Puteți transfera punerea în aplicare unei echipe sau unui prestator de servicii și puteți lega monitorizarea de o linie de raportare; responsabilitatea finală pentru punerea în aplicare și supraveghere rămâne la conducere.

Întrebări frecvente

§ 38 BSIG se aplică și întreprinderilor mici?

Da, de îndată ce entitatea este clasificată drept deosebit de importantă sau importantă. Obligațiile conducerii depind de faptul că entitatea intră în domeniul de aplicare, nu de dimensiunea acesteia în cadrul pragului.

Poate conducerea să transfere responsabilitatea către departamentul IT sau către un prestator de servicii?

Nu. Punerea în aplicare operativă poate fi delegată, dar responsabilitatea pentru punerea în aplicare și monitorizare nu. Responsabilitatea finală rămâne la conducere.

Ce instruire îndeplinește cerințele § 38 alineatul 3 BSIG?

Legea nu impune o anumită instruire sau certificare. Se cere un nivel de cunoștințe suficient pentru recunoașterea și evaluarea riscurilor; acesta se dovedește prin participare periodică ce poate fi dovedită.

Pentru ce răspunde exact conducerea?

Potrivit § 38 alineatul 2 BSIG, membrii conducerii răspund față de propria entitate pentru un prejudiciu cauzat prin încălcarea din culpă a obligațiilor lor de punere în aplicare și de monitorizare. Este o răspundere internă față de întreprindere.

Prin ce se deosebește § 38 de § 30 BSIG?

§ 30 BSIG stabilește ce măsuri trebuie să ia entitatea. § 38 BSIG stabilește că conducerea pune în aplicare aceste măsuri, le monitorizează, se instruiește și răspunde pentru acestea.

Îndepliniți obligația de instruire a conducerii
Cursul NIS 2 gratuit pentru administratori oferă cunoștințele cerute de § 38 alineatul 3 BSIG, cu dovadă de participare.