Kto odpowiada za cyberatak? NIS2 i rola zarządu w zarządzaniu ryzykiem

Dyrektywa NIS2 jest pierwszym aktem prawnym Unii Europejskiej, który w tak wyraźny sposób przesuwa ciężar odpowiedzialności za cyberbezpieczeństwo na najwyższy szczebel zarządzania organizacją. Nie jest to przypadek. Europejski ustawodawca dostrzegł, że największe zagrożenia cybernetyczne przestały być problemem technologicznym. Dziś stanowią ryzyko biznesowe, operacyjne, finansowe i reputacyjne. Mogą zatrzymać produkcję, sparaliżować logistykę, uniemożliwić świadczenie usług, doprowadzić do utraty klientów i wygenerować wielomilionowe straty.

W ostatnich latach przedsiębiorcy mogli obserwować wiele przykładów potwierdzających tę tezę. W 2021 roku atak ransomware na Colonial Pipeline doprowadził do czasowego wstrzymania działalności największego operatora rurociągów paliwowych w Stanach Zjednoczonych. Bezpośrednią konsekwencją nie było uszkodzenie infrastruktury przesyłowej, lecz zakłócenie procesów zarządczych i operacyjnych. W efekcie znacząca część rynku paliwowego na wschodnim wybrzeżu USA została czasowo sparaliżowana. W 2024 roku szeroko komentowany był z kolei atak na brytyjskiego dostawcę usług diagnostycznych Synnovis, którego skutkiem było odwołanie tysięcy badań i zabiegów medycznych. W obu przypadkach problem nie sprowadzał się do awarii systemów informatycznych. Powstało pytanie, czy organizacja była odpowiednio przygotowana na taki scenariusz oraz czy kierownictwo właściwie zarządzało ryzykiem.

To właśnie ten sposób myślenia legł u podstaw dyrektywy NIS2.

Zgodnie z art. 20 dyrektywy organy zarządzające podmiotów objętych regulacją mają zatwierdzać środki zarządzania ryzykiem cyberbezpieczeństwa, nadzorować ich wdrażanie oraz ponosić odpowiedzialność za naruszenia obowiązków związanych z cyberbezpieczeństwem. Jednocześnie członkowie organów zarządzających mają obowiązek uczestniczenia w szkoleniach pozwalających na zdobycie wiedzy i umiejętności niezbędnych do identyfikacji ryzyk oraz oceny praktyk stosowanych przez organizację.

Na pierwszy rzut oka przepis ten może wydawać się jedynie deklaracją. W rzeczywistości oznacza jednak fundamentalną zmianę podejścia do odpowiedzialności zarządczej. Ustawodawca nie oczekuje od członków zarządu znajomości konfiguracji firewalli, systemów SIEM czy zasad szyfrowania danych. Oczekuje natomiast, że będą rozumieli znaczenie cyberbezpieczeństwa dla działalności przedsiębiorstwa i będą w stanie podejmować świadome decyzje dotyczące zarządzania ryzykiem.

Dla wielu menedżerów szczególnie istotne może okazać się to, czego Dyrektywa NIS2 nie mówi wprost. Nie przewiduje ona możliwości zwolnienia się z odpowiedzialności poprzez wskazanie, że kwestie bezpieczeństwa zostały powierzone działowi IT lub zewnętrznemu dostawcy usług. Można delegować wykonywanie zadań, ale nie można delegować odpowiedzialności za nadzór.

Z punktu widzenia prawa spółek nie jest to zresztą rozwiązanie nowe. Od wielu lat podobna zasada funkcjonuje w obszarze finansów, compliance, ochrony danych osobowych czy przeciwdziałania praniu pieniędzy. Zarząd może korzystać z wiedzy ekspertów, ale nadal odpowiada za organizację procesów oraz skuteczność systemów nadzoru.

Właśnie dlatego coraz większego znaczenia nabiera pytanie, jak obowiązki wynikające z NIS2 będą oddziaływały na odpowiedzialność członków organów spółek przewidzianą w przepisach Kodeksu spółek handlowych.

Sama dyrektywa NIS2 nie tworzy odrębnego systemu odpowiedzialności cywilnej członków zarządu wobec spółki. Nie oznacza to jednak, że konsekwencje zaniedbań ograniczają się wyłącznie do kar administracyjnych. Jeżeli w wyniku niewłaściwego zarządzania ryzykiem cyberbezpieczeństwa spółka poniesie szkodę, naturalnie pojawi się pytanie, czy osoby odpowiedzialne za jej prowadzenie dochowały standardu staranności wymaganego od profesjonalnych menedżerów.

Szczególnego znaczenia nabiera tutaj zasada business judgement rule wprowadzona do polskiego Kodeksu spółek handlowych. Członek zarządu nie odpowiada za sam fakt podjęcia błędnej decyzji gospodarczej. Ochrona ta działa jednak wyłącznie wtedy, gdy decyzja została podjęta w granicach uzasadnionego ryzyka gospodarczego, na podstawie adekwatnych informacji, analiz i opinii. Trudno wyobrazić sobie sytuację, w której całkowite ignorowanie ryzyk cyberbezpieczeństwa przez zarząd mogłoby zostać uznane za działanie spełniające te przesłanki.

Warto zwrócić uwagę, że obowiązki wynikające z NIS2 wykraczają daleko poza kwestie technologiczne. Artykuł 21 dyrektywy wymaga wdrożenia środków zarządzania ryzykiem obejmujących między innymi:

• obsługę incydentów,
• ciągłość działania,
• odtwarzanie po awarii,
• zarządzanie kryzysowe,
• bezpieczeństwo łańcucha dostaw oraz
• szkolenia z zakresu cyberbezpieczeństwa.

Są to obszary, które w naturalny sposób należą do sfery odpowiedzialności kierownictwa organizacji.

Z perspektywy zarządu największym zagrożeniem może być jednak błędne przekonanie, że zgodność z NIS2 można osiągnąć poprzez przygotowanie kilku procedur i przeprowadzenie jednorazowego audytu. W wielu organizacjach istnieje pokusa stworzenia rozbudowanej dokumentacji, która dobrze prezentuje się podczas kontroli, ale nie odzwierciedla rzeczywistego sposobu działania przedsiębiorstwa.

Tymczasem doświadczenia związane z innymi obszarami compliance pokazują, że organy nadzorcze coraz częściej badają nie tylko istnienie dokumentów, ale również ich faktyczne funkcjonowanie. Procedura, której nikt nie stosuje, nie stanowi skutecznej ochrony przed odpowiedzialnością.

Dlatego jednym z najważniejszych wyzwań dla zarządów będzie budowanie nie tylko systemu bezpieczeństwa, ale również dowodów należytej staranności. W praktyce oznacza to konieczność dokumentowania procesu zarządzania ryzykiem cyberbezpieczeństwa. Istotne znaczenie mogą mieć okresowe raporty przedstawiane organom spółki, protokoły omawiające wyniki audytów, dokumentowanie decyzji dotyczących akceptacji określonych ryzyk, potwierdzenia realizacji działań naprawczych, informacje o szkoleniach oraz dokumentacja dotycząca nadzoru nad dostawcami usług.

Nie chodzi przy tym o tworzenie kolejnych segregatorów dokumentów. Celem jest możliwość wykazania, że kwestie cyberbezpieczeństwa były rzeczywiście przedmiotem zainteresowania kierownictwa i że decyzje w tym zakresie były podejmowane świadomie.

W debacie publicznej wiele uwagi poświęca się wysokości kar przewidzianych przez NIS2. Są one bez wątpienia istotne, jednak z perspektywy członków zarządów mogą nie być najważniejszym problemem. Znacznie większe znaczenie może mieć odpowiedź na pytanie, czy po wystąpieniu incydentu organizacja będzie w stanie wykazać, że jej kierownictwo wykonywało swoje obowiązki w sposób staranny, odpowiedzialny i zgodny z wymaganiami prawa.

To właśnie dlatego cyberbezpieczeństwo przestało być domeną działów IT. Stało się jednym z elementów ładu korporacyjnego oraz zarządzania ryzykiem przedsiębiorstwa. Zarządy, które nadal traktują ten obszar jako zagadnienie wyłącznie techniczne, mogą w niedalekiej przyszłości przekonać się, że skutki takiego podejścia wykraczają daleko poza awarię systemów informatycznych. Po pierwszym poważnym incydencie pytania organów nadzorczych, akcjonariuszy, wspólników czy kontrahentów nie będą bowiem kierowane do administratorów sieci. Będą kierowane do zarządu.

Autor: Jarosław Chałas

Partner Zarządzający Radca Prawny

Kancelaria Prawna Chałas i Wspólnicy