NIS2 a odpowiedzialność zarządu. Gdzie kończy się cyberatak, a zaczyna business judgement rule?

Zdjęcie: NIS2 a odpowiedzialność zarządu. Gdzie kończy się cyberatak, a zaczyna business judgement rule?

Przez lata cyberbezpieczeństwo pozostawało obszarem zarezerwowanym dla informatyków, administratorów systemów oraz zewnętrznych dostawców usług IT. W wielu przedsiębiorstwach rola zarządów ograniczała się do zatwierdzania budżetów przeznaczanych na zabezpieczenia informatyczne. Zakładano, iż kwestie techniczne powinny pozostać w gestii specjalistów. Jeszcze kilka lat temu takie podejście nie budziło większych zastrzeżeń. Dziś jego obrona staje się coraz trudniejsza. Dyrektywa NIS2 oraz wdrażające ją przepisy krajowe nie są bowiem wyłącznie regulacją dotyczącą cyberbezpieczeństwa. W szerszej perspektywie stanowią kolejny etap rozwoju odpowiedzialności osób zarządzających przedsiębiorstwami za identyfikację i kontrolę ryzyk, które mogą wpływać na funkcjonowanie organizacji. Jeszcze niedawno pytanie o odpowiedzialność członka zarządu za skutki cyberataku mogło wydawać się abstrakcyjne. w tej chwili staje się jednym z najbardziej praktycznych zagadnień na styku prawa spółek, compliance i cyberbezpieczeństwa. Czy skuteczny cyberatak może prowadzić do odpowiedzialności członka zarządu? W określonych okolicznościach taki scenariusz jest jak najbardziej możliwy. Nie wynika to jednak z samego faktu wystąpienia incydentu. Punktem wyjścia jest zrozumienie podstawowego założenia NIS2. Regulacja nie nakłada na przedsiębiorców obowiązku zagwarantowania pełnego bezpieczeństwa systemów informatycznych. Taki obowiązek byłby niewykonalny. Nie istnieją organizacje całkowicie odporne na cyberataki. Od przedsiębiorstw oczekuje się czegoś innego. Chodzi o stworzenie adekwatnego systemu zarządzania ryzykiem cybernetycznym, dostosowanego do charakteru działalności, skali zagrożeń oraz znaczenia organizacji dla gospodarki i bezpieczeństwa państwa. W tym momencie cyberbezpieczeństwo przestaje być wyłącznie zagadnieniem technologicznym. Staje się elementem systemu zarządzania przedsiębiorstwem. To właśnie tutaj pojawia się bezpośredni związek z prawem spółek. Od 2022 roku w polskim Kodeksie spółek handlowych funkcjonuje zasada business judgement rule. Zgodnie z art. 293 § 3 KSH członek zarządu nie narusza obowiązku dochowania należytej staranności, o ile postępując lojalnie wobec spółki działa w granicach uzasadnionego ryzyka gospodarczego, opierając się na informacjach, analizach i opiniach, które przy danych okolicznościach powinny zostać uwzględnione przy dokonywaniu starannej oceny. Oznacza to, iż członek zarządu nie odpowiada za każdą błędną decyzję biznesową. Odpowiedzialność może jednak pojawić się wtedy, gdy decyzja została podjęta bez odpowiedniego procesu, bez wymaganej analizy lub z pominięciem istotnych ryzyk, które były możliwe do zidentyfikowania. Dlatego NIS2 ma znaczenie znacznie szersze niż tylko regulacyjne. Załóżmy, iż spółka produkcyjna realizująca kontrakty dla sektora infrastrukturalnego staje się ofiarą ataku ransomware. Produkcja zostaje zatrzymana na trzy tygodnie. Powstają opóźnienia w realizacji kontraktów, naliczane są kary umowne, a część klientów rezygnuje ze współpracy. Sam fakt wystąpienia ataku nie przesądza jeszcze o odpowiedzialności zarządu. najważniejsze znaczenie będzie miała odpowiedź na pytanie, czy przed incydentem funkcjonował adekwatny system zarządzania ryzykiem cybernetycznym. Czy przeprowadzono analizę ryzyka? Czy zarząd otrzymywał regularne raporty dotyczące cyberbezpieczeństwa Czy wdrożono procedury reagowania na incydenty? Czy prowadzono szkolenia pracowników? Czy oceniano poziom bezpieczeństwa dostawców i partnerów biznesowych? Czy organizacja posiadała plan ciągłości działania? Czy testowano procedury awaryjne oraz zdolność do odtworzenia kluczowych procesów? o ile odpowiedź na większość tych pytań będzie negatywna, powoływanie się na business judgement rule może okazać się znacznie trudniejsze. Ocena odpowiedzialności będzie dokonywana już po wystąpieniu incydentu, jednak przy uwzględnieniu informacji, które były dostępne przed jego wystąpieniem. Nie chodzi więc o to, czy zarząd był w stanie przewidzieć konkretny atak. Przedmiotem oceny będzie raczej to, czy przy znanych zagrożeniach podjęto działania odpowiadające standardom profesjonalnego zarządzania ryzykiem. Z perspektywy odpowiedzialności zarządu jest to kwestia kluczowa. Business judgement rule chroni przed odpowiedzialnością za skutek, którego nie udało się uniknąć pomimo dochowania należytej staranności. Nie chroni natomiast przed konsekwencjami zaniechań w obszarze identyfikacji, monitorowania i zarządzania ryzykiem. Z tego względu cyberbezpieczeństwo staje się jednym z elementów należytej staranności zarządczej. W przypadku sporu lub postępowania kontrolnego oceniane będą nie tyle same skutki incydentu, ile wcześniejsze decyzje, procedury i działania podejmowane przez osoby zarządzające przedsiębiorstwem. Nabiera to szczególnego znaczenia w sektorach strategicznych. Przedsiębiorstwa działające w obszarze energetyki, infrastruktury krytycznej, transportu, logistyki, przemysłu obronnego czy zaawansowanej produkcji przemysłowej pełnią funkcje istotne nie tylko z punktu widzenia gospodarki, ale również bezpieczeństwa państwa. W odniesieniu do takich podmiotów trudno będzie skutecznie argumentować, iż zagrożenia cybernetyczne stanowiły ryzyko nieprzewidywalne lub marginalne. Co istotne, źródło zagrożeń coraz częściej znajduje się poza organizacją. Jednym z najważniejszych elementów NIS2 jest obowiązek uwzględniania ryzyk związanych z dostawcami oraz partnerami biznesowymi. Oznacza to konieczność oceny bezpieczeństwa podmiotów posiadających dostęp do infrastruktury, danych lub procesów przedsiębiorstwa. Po wystąpieniu incydentu może zatem pojawić się kolejne pytanie: czy spółka weryfikowała bezpieczeństwo swoich dostawców, czy też całkowicie pomijała ryzyka związane z łańcuchem dostaw? Potencjalne konsekwencje nie ograniczają się przy tym wyłącznie do relacji pomiędzy zarządem a spółką. Poważny incydent cybernetyczny może prowadzić do roszczeń kontrahentów, sporów dotyczących niewykonania lub nienależytego wykonania umów, utraty możliwości uczestnictwa w strategicznych projektach, a w określonych przypadkach również do odpowiedzialności regulacyjnej wynikającej z przepisów o krajowym systemie cyberbezpieczeństwa. Nie można również pomijać sankcji administracyjnych przewidzianych dla podmiotów objętych regulacją. W zależności od kategorii podmiotu mogą one sięgać wielu milionów euro lub określonego procentu globalnego obrotu przedsiębiorstwa. Z perspektywy członków zarządu jeszcze większe znaczenie może mieć jednak możliwość wykazania, iż organizacja posiadała adekwatny system zarządzania ryzykiem i iż obowiązki wynikające z przepisów nie pozostawały wyłącznie na poziomie formalnych deklaracji. W rzeczywistości NIS2 nie jest projektem informatycznym. Jest projektem zarządczym. Ostatecznie przedmiotem oceny będą nie systemy informatyczne, ale decyzje podejmowane przez osoby odpowiedzialne za funkcjonowanie przedsiębiorstwa. W erze NIS2 pytania o cyberbezpieczeństwo przestają być kierowane wyłącznie do działów IT. Coraz częściej będą trafiały na posiedzenia zarządów i rad nadzorczych. W przypadku poważnego incydentu najważniejsze nie będzie bowiem ustalenie, czy doszło do ataku. To będzie oczywiste. Znacznie ważniejsze okaże się ustalenie, czy organizacja była na taki scenariusz przygotowana i czy osoby nią zarządzające mogą wykazać, iż wcześniej podjęły działania odpowiadające standardowi należytej staranności. To właśnie te decyzje mogą stać się w najbliższych latach przedmiotem oceny sądów, regulatorów, akcjonariuszy oraz właścicieli przedsiębiorstw. Jarosław Chałas Partner Zarządzający, Radca Prawny Kancelaria Prawna Chałas i Wspólnicy