Przez lata cyberbezpieczeństwo pozostawało obszarem zarezerwowanym dla informatyków, administratorów systemów oraz dostawców usług IT. W wielu przedsiębiorstwach rola zarządów ograniczała się do zatwierdzania budżetów przeznaczanych na zabezpieczenia informatyczne, przy założeniu, że kwestie techniczne powinny pozostawać w gestii specjalistów.
Jeszcze kilka lat temu takie podejście nie budziło większych zastrzeżeń. Dziś jego obrona staje się coraz trudniejsza.
Dyrektywa NIS2 oraz wdrażające ją przepisy krajowe nie są wyłącznie regulacją dotyczącą cyberbezpieczeństwa. W szerszej perspektywie stanowią kolejny etap rozwoju odpowiedzialności osób zarządzających przedsiębiorstwami za identyfikację i kontrolę ryzyk wpływających na funkcjonowanie organizacji.
Jeszcze niedawno pytanie o odpowiedzialność członka zarządu za skutki cyberataku mogło wydawać się abstrakcyjne. Dziś staje się jednym z najbardziej praktycznych zagadnień na styku prawa spółek, compliance i cyberbezpieczeństwa.
Czy skuteczny cyberatak może prowadzić do odpowiedzialności członka zarządu?
W określonych okolicznościach – jak najbardziej.
Nie wynika to jednak z samego faktu wystąpienia incydentu. Punktem wyjścia jest zrozumienie podstawowego założenia NIS2. Regulacja nie nakłada na przedsiębiorców obowiązku zagwarantowania pełnego bezpieczeństwa systemów informatycznych. Taki obowiązek byłby niewykonalny, ponieważ nie istnieją organizacje całkowicie odporne na cyberataki.
Od przedsiębiorstw oczekuje się stworzenia adekwatnego systemu zarządzania ryzykiem cybernetycznym, dostosowanego do charakteru działalności, skali zagrożeń oraz znaczenia organizacji dla gospodarki i bezpieczeństwa państwa.
W tym momencie cyberbezpieczeństwo przestaje być wyłącznie zagadnieniem technologicznym. Staje się elementem systemu zarządzania przedsiębiorstwem, a tym samym obszarem odpowiedzialności zarządu.
Od 2022 roku w polskim Kodeksie spółek handlowych funkcjonuje zasada business judgement rule. Zgodnie z art. 293 § 3 KSH członek zarządu nie narusza obowiązku dochowania należytej staranności, jeżeli działa lojalnie wobec spółki, w granicach uzasadnionego ryzyka gospodarczego oraz w oparciu o informacje, analizy i opinie, które powinny zostać uwzględnione przy podejmowaniu decyzji.
Oznacza to, że członek zarządu nie odpowiada za każdą błędną decyzję biznesową. Odpowiedzialność może jednak pojawić się wtedy, gdy decyzja została podjęta bez odpowiedniej analizy lub z pominięciem istotnych ryzyk możliwych do zidentyfikowania.
Załóżmy, że spółka produkcyjna realizująca kontrakty dla sektora infrastrukturalnego staje się ofiarą ataku ransomware. Produkcja zostaje zatrzymana na trzy tygodnie, pojawiają się opóźnienia, kary umowne oraz utrata części klientów.
Sam fakt wystąpienia ataku nie przesądza jeszcze o odpowiedzialności zarządu.
Ocena odpowiedzialności będzie dokonywana po wystąpieniu incydentu, ale z uwzględnieniem informacji dostępnych wcześniej. Nie chodzi o to, czy zarząd był w stanie przewidzieć konkretny atak, lecz czy przy znanych zagrożeniach podjęto działania odpowiadające standardom profesjonalnego zarządzania ryzykiem.
Business judgement rule chroni przed odpowiedzialnością za skutek, którego nie udało się uniknąć mimo dochowania należytej staranności. Nie chroni jednak przed konsekwencjami zaniechań w obszarze identyfikacji, monitorowania i zarządzania ryzykiem.
Z tego względu cyberbezpieczeństwo staje się jednym z elementów należytej staranności zarządczej. W przypadku sporu lub kontroli oceniane będą nie tyle skutki incydentu, ile wcześniejsze decyzje, procedury i działania podejmowane przez osoby zarządzające przedsiębiorstwem.
Szczególnego znaczenia nabiera to w sektorach strategicznych, takich jak energetyka, infrastruktura krytyczna, transport, logistyka, przemysł obronny czy zaawansowana produkcja przemysłowa. W odniesieniu do takich podmiotów trudno będzie argumentować, że zagrożenia cybernetyczne były nieprzewidywalne lub marginalne.
Źródło zagrożeń coraz częściej znajduje się poza organizacją.
Jednym z kluczowych elementów NIS2 jest obowiązek uwzględniania ryzyk związanych z dostawcami oraz partnerami biznesowymi. Oznacza to konieczność oceny bezpieczeństwa podmiotów posiadających dostęp do infrastruktury, danych lub procesów przedsiębiorstwa.
Po wystąpieniu incydentu może więc pojawić się pytanie, czy spółka weryfikowała bezpieczeństwo swoich dostawców, czy też całkowicie pomijała ryzyka związane z łańcuchem dostaw.
Potencjalne konsekwencje nie ograniczają się do relacji pomiędzy zarządem a spółką. Poważny incydent cybernetyczny może prowadzić do roszczeń kontrahentów, sporów dotyczących niewykonania umów, utraty możliwości uczestnictwa w strategicznych projektach oraz odpowiedzialności regulacyjnej.
Nie można również pomijać sankcji administracyjnych przewidzianych dla podmiotów objętych regulacją. W zależności od kategorii podmiotu mogą one sięgać wielu milionów euro lub określonego procentu globalnego obrotu przedsiębiorstwa.
Z perspektywy członków zarządu szczególne znaczenie ma możliwość wykazania, że organizacja posiadała adekwatny system zarządzania ryzykiem, a obowiązki wynikające z przepisów były faktycznie realizowane.
W rzeczywistości NIS2 nie jest projektem informatycznym. Jest projektem zarządczym.
Ostatecznie przedmiotem oceny będą nie systemy informatyczne, lecz decyzje podejmowane przez osoby odpowiedzialne za funkcjonowanie przedsiębiorstwa.
W erze NIS2 pytania o cyberbezpieczeństwo przestają być kierowane wyłącznie do działów IT. Coraz częściej będą trafiały na posiedzenia zarządów i rad nadzorczych.
W przypadku poważnego incydentu kluczowe będzie nie samo ustalenie, że doszło do ataku, lecz odpowiedź na pytanie, czy organizacja była na taki scenariusz przygotowana i czy osoby nią zarządzające mogą wykazać, że podjęły działania odpowiadające standardowi należytej staranności.
To właśnie te decyzje mogą stać się przedmiotem oceny sądów, regulatorów, akcjonariuszy i właścicieli przedsiębiorstw.
