Răspunderea personală a organului de conducere conform NIS 2
Articolul 20 al Directivei NIS 2 atribuie organului de conducere trei obligații: să aprobe măsurile de management al riscurilor de securitate cibernetică, să supravegheze implementarea lor și să urmeze o instruire. Dreptul societar național transformă încălcarea acestor obligații într-o pretenție personală împotriva persoanei fizice.
Ce spune de fapt articolul 20
Articolul 20 al Directivei (UE) 2022/2555 plasează obligația de securitate cibernetică pe organul de conducere al fiecărei entități esențiale și importante. Organul de conducere trebuie să aprobe măsurile de management al riscurilor impuse de articolul 21, trebuie să supravegheze implementarea lor și poate fi tras la răspundere pentru încălcările articolului 21 de către entitate.
Articolul 20(2) adaugă o obligație separată: membrii organului de conducere trebuie să urmeze o instruire pentru a dobândi cunoștințe suficiente pentru a identifica riscurile și a evalua practicile de management al riscurilor de securitate cibernetică. Directiva încurajează, de asemenea, o instruire similară pentru angajați.
Acestea sunt obligații ale persoanei fizice, nu ale companiei. NIS 2 nu creează ea însăși o cauză privată de acțiune împotriva administratorului, dar ridică standardul de conduită în raport cu care dreptul societar național măsoară comportamentul administratorului. În Germania, acest standard este Sorgfaltspflicht din §43 GmbHG și §93 AktG.
Directiva UE
Statele membre se asigură că organele de conducere ale entităților esențiale și importante aprobă măsurile de management al riscurilor de securitate cibernetică luate de respectivele entități pentru a se conforma articolului 21, supraveghează implementarea acestora și pot fi trase la răspundere pentru încălcările de către entități ale respectivului articol.
Articolul 20(1) NIS 2 (Directiva (UE) 2022/2555). Obligația este atribuită direct organului de conducere, nu companiei ca persoană juridică separată.
Regulamentul de punere în aplicare al UE
Entitățile esențiale și importante stabilesc, aplică și mențin un cadru adecvat de management al riscurilor de securitate cibernetică, care prevede politicile, procesele, procedurile și rolurile relevante pentru gestionarea riscurilor de securitate cibernetică.
Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei, anexa secțiunea 1. Regulamentul obligă categoria îngustă de furnizori de infrastructură digitală și de servicii digitale enumerată la articolul 1; pentru toate celelalte sectoare este un reper de calitate, nu standardul obligatoriu.
Transpunere națională
Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen die von diesen Einrichtungen zur Einhaltung ihrer Pflichten nach §30 zu ergreifenden Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen.
§38(1) BSIG (astfel cum a fost redactat în NIS2UmsuCG, actul german de implementare a NIS 2). §38(3) impune ca organul de conducere să urmeze o instruire periodică. Cârligul de răspundere personală se află în dreptul societar general la care face referire §38, nu în §38 în sine.
Aprobă, supraveghează, instruiește
Articolul 20(1) impune organului de conducere să aprobe măsurile din articolul 21 și să supravegheze implementarea. Articolul 20(2) impune instruirea. Ambele obligații se atașează membrului individual al organului de conducere.
Transpunerea germană
§38 BSIG reia obligația de aprobare, supraveghere și instruire în dreptul german. §38 nu enunță el însuși o cifră de daune; definește standardul de conduită. Sancțiunile financiare se află în §65 BSIG și vizează entitatea, nu administratorul.
Sorgfaltspflicht ca punte de răspundere
§43 GmbHG impune Geschäftsführer-ului să aplice diligența unui om de afaceri prudent, iar §43(2) îl face răspunzător solidar față de companie pentru prejudiciul cauzat de o încălcare a obligației. §93 AktG stabilește standardul echivalent pentru Vorstand-ul unei Aktiengesellschaft. Neîndeplinirea obligației din articolul 20 devine dovadă că Sorgfaltspflicht a fost încălcată.
Răspunderea personală curge către companie, nu către terți
Pretențiile din §43 GmbHG și §93 AktG sunt pretenții ale companiei împotriva propriului administrator. Ele devin operative atunci când organul de supraveghere, acționarii, un administrator de insolvență sau o conducere succesoare decid să le urmărească. NIS 2 nu creează o pretenție directă a autorităților de reglementare sau a terților afectați împotriva persoanei fizice; ea creează încălcarea de bază.
Sorgfaltspflicht se măsoară în raport cu practica din industrie
Instanțele germane evaluează Sorgfaltspflicht în raport cu ceea ce ar fi făcut un om de afaceri prudent în același rol și sector. NIS 2 plus regulamentul de punere în aplicare definesc acum o parte din acel reper pentru securitatea cibernetică. Un organ de conducere care ignoră măsurile din articolul 21 contravine unui standard care este acum consemnat în lege.
Îndrumarea BSI
Bundesamt für Sicherheit in der Informationstechnik (BSI) încadrează §38 BSIG ca o obligație de conducere care nu poate fi delegată. Handreichung zur Geschäftsleitungs-Schulung (aprilie 2026, v1.0) este o contribuție de cercetare, nu o programă obligatorie; ea descrie totuși conținutul de fond pe care BSI se așteaptă ca organul de conducere să îl cunoască.
Jurisprudența germană de drept societar
Bundesgerichtshof a stabilit de mult timp, în temeiul §43 GmbHG, că un Geschäftsführer trebuie să organizeze compania astfel încât obligațiile legale să fie efectiv îndeplinite, inclusiv prin stabilirea unor linii de raportare și de supraveghere. NIS 2 precizează în detaliu una dintre acele obligații legale.
Ghidul tehnic de implementare ENISA
Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) publică Ghidul tehnic de implementare pentru măsurile din articolul 21 NIS 2 și le mapează pe ISO 27001, NIST CSF 2.0, ETSI 319 401 și CEN/TS 18026. Ghidul nu este obligatoriu, dar este textul de referință pe care auditorii și instanțele îl tratează ca stadiu al tehnicii.
Am delegat securitatea cibernetică către CISO, deci organul de conducere este scos din cauză.
Articolul 20(1) plasează obligația de aprobare și supraveghere pe organul de conducere însuși. Execuția operațională poate fi delegată, dar obligațiile de a aproba măsurile și de a supraveghea implementarea nu pot fi delegate. Jurisprudența §43 GmbHG tratează eșecul organizatoric ca o încălcare primară de către Geschäftsführer, indiferent cine a fost însărcinat operațional.
Dacă un Geschäftsführer nu este tehnic, obligația nu i se poate aplica personal.
Articolul 20(2) impune membrilor organului de conducere să urmeze o instruire care le oferă cunoștințe suficiente pentru a evalua practicile de management al riscurilor de securitate cibernetică. Lipsa expertizei este exact ceea ce abordează articolul 20(2); nu este o apărare împotriva §43 GmbHG.
Asigurarea D&O acoperă orice răspundere NIS 2.
Polițele D&O răspund de regulă la pretențiile companiei împotriva administratorului în temeiul §43 GmbHG sau §93 AktG, acolo unde aterizează încălcarea articolului 20. Polițele exclud în mod regulat amenzile de reglementare (de exemplu amenzile la nivel de entitate din §65 BSIG), faptele intenționate și încălcările cunoscute. Excluderile, franșiza și elementele declanșatoare de acoperire sunt specifice fiecărei polițe și sunt descrise aici, nu prejudecate.
În practică, obligația din articolul 20 produce trei artefacte. O aprobare scrisă a măsurilor de management al riscurilor din articolul 21 de către organul de conducere. O evidență de supraveghere care arată că organul de conducere a primit actualizări de stare și a reacționat. O evidență de instruire pentru fiecare membru al organului de conducere.
Auditorii, asigurătorii și, într-un scenariu nefavorabil, o conducere succesoare sau un administrator de insolvență vor căuta aceste trei artefacte. Absența lor este ceea ce transformă obligația din articolul 20 într-o pretenție în temeiul §43 GmbHG.
Platforma modelează obligația din articolul 20 ca fiind categoria GOV din registrul de obligații NIS 2. Aprobarea măsurilor de management al riscurilor se află pe o cerință de aprobare atribuită organului de conducere. Supravegherea este pista de audit din cerințele articolului 21. Instruirea este urmărită per membru, cu dovezi de finalizare.
Chestiunea de fond, dacă o instanță ar constata o încălcare a Sorgfaltspflicht într-un anumit caz, este o chestiune pentru consilierul juridic. Platforma produce evidența documentară pe baza căreia se decide chestiunea juridică.
- Directiva (UE) 2022/2555 (NIS 2), articolul 20 și articolul 21. Sursă: EUR-Lex.
- Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei, anexa secțiunea 1. Sursă: EUR-Lex.
- BSI-Gesetz, §38 (obligația de guvernanță a organelor de conducere) și §65 (sancțiuni). Sursă: gesetze-im-internet.de.
- §43 GmbHG (Sorgfaltspflicht a Geschäftsführer-ului). Sursă: gesetze-im-internet.de.
- §93 AktG (Sorgfaltspflicht a Vorstand-ului). Sursă: gesetze-im-internet.de.
- BSI Handreichung zur Geschäftsleitungs-Schulung nach §38(3) BSIG, v1.0 (aprilie 2026). Contribuție de cercetare neobligatorie. Sursă: bsi.bund.de.
- Ghidul tehnic de implementare ENISA pentru măsurile de management al riscurilor NIS 2. Sursă: enisa.europa.eu.