Răspunderea conducerii sub NIS2
§38 BSIG îi face pe administratori personal răspunzători pentru eșecurile de securitate cibernetică, o premieră în dreptul german.
Transpunerea germană a NIS2 operaționalizează art. 20 NIS-2 prin răspundere personală explicită a organului de conducere în §38 BSIG. Membrii organului de conducere (Geschäftsführung, Vorstand) ai oricărei companii aflate sub incidența NIS2, fie ea GmbH, AG sau KG, sunt personal responsabili să se asigure că măsurile de securitate cibernetică sunt implementate, supravegheate și menținute. Acest lucru nu poate fi delegat departamentului IT.
Acest aspect este complet nou. Sub cadrul original NIS1 (vechiul IT-Sicherheitsgesetz), răspunderea revenea companiei ca persoană juridică. §38 BSIG schimbă regulile jocului: administratorii pot fi acum trași la răspundere cu propriul patrimoniu dacă nu își îndeplinesc obligațiile de securitate cibernetică. Legea face referire explicită la Geschäftsleiter, persoanele care semnează în numele companiei.
Legea definește trei obligații de bază pentru conducere: aprobarea (Billigung) măsurilor de securitate cibernetică, supravegherea (Überwachung) implementării lor și formarea personală (Schulung) în securitate cibernetică. Nerespectarea oricăreia dintre acestea creează expunere la răspundere personală, chiar dacă firma însăși a implementat măsuri rezonabile.
Aprobare (Billigung)
Conducerea trebuie să aprobe în mod formal măsurile de management al riscului de securitate cibernetică prevăzute la §30 BSIG. Asta înseamnă revizuirea și asumarea politicilor de securitate a informației, a evaluărilor de risc și a planurilor de tratare ale companiei. Un "da" verbal nu este suficient. Aveți nevoie de o aprobare documentată și trasabilă, cu marcaje de timp și semnături.
Supraveghere (Überwachung)
Conducerea trebuie să supravegheze activ implementarea măsurilor aprobate. Asta înseamnă revizuiri periodice de stadiu, urmărirea progresului și gestionarea escaladărilor. Trebuie să puteți demonstra că ați monitorizat dacă măsurile au fost efectiv implementate, nu doar că le-ați aprobat și ați plecat. Revizuirile trimestriale ale conducerii sunt frecvența minimă defensabilă.
Formare (Schulung)
Conducerea trebuie să parcurgă personal o formare în securitate cibernetică pentru a dobândi cunoștințe suficiente pentru a evalua riscurile și măsurile. Aceasta nu este formarea generală de conștientizare a angajaților din §30(2)(7) BSIG. Este o obligație separată, specifică organului de conducere (§38(3) BSIG). Formarea trebuie să fie adecvată pentru a înțelege profilul de risc al companiei, măsurile existente și riscurile reziduale acceptate.
Nicio măsură de securitate cibernetică implementată
Amenzi de până la 10 milioane EUR sau 2% din cifra de afaceri anuală globală (care este mai mare) conform §65 BSIG pentru entitățile esențiale. Pentru wichtige Einrichtungen: până la 7 milioane EUR sau 1,4% din cifra de afaceri. Conducerea se confruntă cu cereri de răspundere personală din partea companiei pentru daunele rezultate din încălcare.
Incident neraportat la BSI
§32 BSIG impune notificarea inițială în 24 de ore, raportarea intermediară în 72 de ore și raportul final într-o lună. Nerespectarea acestor termene declanșează acțiuni de aplicare. Dacă conducerea a fost la curent cu un incident și nu s-a asigurat de raportare, se aplică răspunderea personală conform §38 pentru eșecul de supraveghere.
Conducerea nu a parcurs formarea
Încălcare directă a §38(3) BSIG. Aceasta este cea mai ușoară încălcare de dovedit pentru BSI: fie aveți evidențe de formare, fie nu. Subminează totodată apărarea dumneavoastră pe toate celelalte puncte. Cum puteți pretinde o supraveghere adecvată dacă nu aveți formarea necesară pentru a evalua ceea ce supravegheați?
Nicio supraveghere activă a implementării
Dacă măsurile au fost aprobate, dar conducerea nu poate demonstra o supraveghere continuă (ședințe de revizuire, rapoarte de stadiu, evidențe de escaladare), aprobarea singură nu este suficientă. Legea cere toate cele trei obligații. A aproba fără a supraveghea este ca a semna un contract fără să îl citești. Tot răspundeți pentru el.
Pot delega asta departamentului IT
Puteți delega execuția, dar nu responsabilitatea. §38 BSIG numește în mod explicit Geschäftsleitung (toți membrii organului de conducere). Nu managerii IT, nu CISO, nu consultanții externi. Trebuie să aprobați, să supravegheați și să vă formați personal. Echipa IT implementează; dumneavoastră aprobați și monitorizați. Distincția contează în instanță.
Asigurarea D&O acoperă răspunderea NIS2
Majoritatea polițelor D&O exclud amenzile și sancțiunile administrative. Chiar și acolo unde cererile de răspundere civilă sunt acoperite, asigurătorii pot respinge cererile dacă conducerea nu a respectat cu bună știință obligațiile legale. Verificați clauzele de excludere ale poliței: "nerespectarea reglementărilor obligatorii" este o excludere standard în polițele D&O germane.
Nu sunt tehnic, nu pot fi tras la răspundere
§38(3) BSIG impune obligația de formare tocmai pentru a elimina această apărare. Legea presupune că, după parcurgerea unei formări adecvate în securitate cibernetică, conducerea are cunoștințe suficiente pentru a-și îndeplini obligațiile. "Nu mă pricep la tehnologie" nu este o apărare. Este dovada unei încălcări a obligației de formare.
Acționarii îmi pot renunța la răspundere
§38(2) BSIG instituie răspunderea personală a membrilor organului de conducere pentru daunele cauzate din neglijență. Restricțiile privind renunțarea și tranzacționarea unor astfel de cereri decurg din dreptul societar (§93(4) AktG, §43(3) GmbHG): renunțările sunt posibile doar în condiții stricte (de regulă, abia la trei ani după nașterea cererii, prin hotărâre a acționarilor majoritari și numai dacă niciun creditor nu este prejudiciat). Adunarea acționarilor nu vă poate elibera în bloc de răspunderea NIS2.
Suntem prea mici ca să le pese cuiva
Pragul de aplicabilitate NIS2 începe la 50 sau mai mulți angajați SAU (cifră de afaceri peste 10 mil. EUR ȘI bilanț total peste 10 mil. EUR), definiția UE a IMM-urilor conform Recomandării Comisiei 2003/361/CE. Dacă atingeți acest prag într-un sector vizat, vă aflați sub incidența întregului regim, inclusiv răspunderea conducerii din §38. BSI a început deja să solicite înregistrarea companiilor din acest interval de mărime. Mărimea nu este o apărare; este un criteriu de delimitare a aplicabilității, iar dumneavoastră intrați în domeniul de aplicare.
Iată ce îi ia prin surprindere pe majoritatea administratorilor: conform §38 BSIG, răspundeți față de propria companie. Dacă firma suferă un prejudiciu pentru că nu ați implementat, supravegheat sau parcurs formarea privind măsurile de securitate cibernetică, compania (sau administratorul ei judiciar, ori acționarii ei) vă poate solicita daune personal. Aceasta este o răspundere internă: propria organizație vă poate da în judecată.
§38(2) BSIG instituie răspunderea personală a organului de conducere pentru daunele cauzate din neglijență. Limitele de drept societar privind renunțarea și tranzacționarea (§93(4) AktG, §43(3) GmbHG) se aplică în paralel. În termeni practici, dacă firma intră în faliment din cauza unui incident cibernetic, administratorul judiciar poate urmări cereri împotriva patrimoniului dumneavoastră personal, iar o renunțare generală anticipată din partea acționarilor ar fi, în general, lipsită de efect.
Obligația de formare din §38(3) BSIG nu este o dezvoltare profesională opțională. Este o condiție legală prealabilă care înlătură ignoranța ca apărare. Odată ce legea vă cere să fiți format, lipsa acelei formări reprezintă ea însăși o încălcare. Nu puteți pretinde că nu ați înțeles riscurile când legea v-a cerut să le cunoașteți.
Aprobați formal măsurile de securitate cibernetică
Revizuiți evaluarea de risc, politicile de securitate și planurile de tratare elaborate conform §30 BSIG. Asumați-vă cu numele, data și funcția. Stocați aprobarea într-un sistem auditabil, nu în căsuța de e-mail. Astfel se creează dovada documentată că v-ați îndeplinit obligația Billigung. Repetați ori de câte ori măsurile se modifică substanțial.
Stabiliți procese de supraveghere
Programați revizuiri trimestriale ale conducerii privind stadiul securității cibernetice. Analizați progresul implementării, riscurile deschise, rapoartele de incident și indicatorii de eficacitate. Documentați prezența, deciziile și acțiunile de urmărit. Astfel se creează urma continuă care dovedește obligația Überwachung: nu doar o aprobare unică, ci o implicare permanentă.
Parcurgeți o formare în securitate cibernetică
Parcurgeți un program de formare care acoperă peisajul de amenințări al companiei, măsurile din §30 BSIG, obligațiile de raportare a incidentelor și obligațiile dumneavoastră personale conform §38. Documentați formarea: furnizor, dată, conținut acoperit, certificat dacă există. Reluați anual. Astfel se elimină breșa de apărare bazată pe ignoranță și se îndeplinește obligația Schulung.