NIS2 a odpovědnost statutárů: co kybernetický zákon znamená pro firmy

Proč je to téma, které nesnese odklad

Účinnost nového zákona o kybernetické bezpečnosti (dále jen „nZKB“), jímž Česká republika transponuje evropskou směrnici NIS2, znamená pro tisíce firem zásadní posun. Podle dostupných údajů se u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) registrovalo přes 4 800 subjektů (zdroj). To samo o sobě napovídá, jak široký okruh ekonomiky regulace zasahuje – od energetiky a zdravotnictví přes výrobu, dopravu a potravinářství až po poskytovatele digitálních a IT služeb.

Skutečná „bomba" se ale skrývá jinde než v počtu registrací. NIS2 výslovně přenáší odpovědnost za řízení kybernetických rizik na vrcholové vedení, tedy na statutární orgány. Pro majitele firem, jednatele a členy představenstva to znamená, že kyberbezpečnost přestala být ryze „IT záležitostí" a stala se otázkou statutární povinnosti péče řádného hospodáře. A právě v tom bodě se nový kyberzákon protíná se zákonem o obchodních korporacích způsobem, který může bolet osobní majetek konkrétních lidí.

Co NIS2 reálně po firmách chce

Nový režim rozlišuje dvě kategorie povinných subjektů – zjednodušeně řekněme s vyššími a nižšími povinnostmi – podle významu sektoru a velikosti organizace. Společné jmenovatele povinností jsou přitom napříč kategoriemi obdobné:

• Registrace u NÚKIB a identifikace, zda firma vůbec do regulovaného okruhu spadá (tzv. sebeidentifikace).
• Zavedení bezpečnostních opatření – řízení rizik, řízení přístupů, řízení dodavatelského řetězce, zálohování, šifrování, kontinuita provozu.
• Hlášení kybernetických incidentů ve stanovených lhůtách.
• Schvalování a dohled vrcholového vedení nad zaváděnými opatřeními a pravidelné vzdělávání členů statutárního orgánu.

Poslední bod je z právního hlediska nejcitlivější. Vedení nesmí kyberbezpečnost jen „delegovat na ITčkáře a zapomenout". Musí ji aktivně schvalovat, kontrolovat a doložitelně se v ní orientovat.

Klíč k odpovědnosti: péče řádného hospodáře v ZOK

Tady je nutné propojit dva světy. NIS2 sice ukládá nové povinnosti, ale nevytváří zcela nový režim odpovědnosti statutárů „od nuly". Naopak – přesně zapadá do existující konstrukce zákona o obchodních korporacích (ZOK).

Zákon o obchodních korporacích nabyl účinnosti k 1. lednu 2014 (§ 786§ 786 ÚČINNOSTTento zákon nabývá účinnosti dnem 1. ledna 2014.Oficiální znění ↗) a od té doby řídí práva a povinnosti vzniklé ode dne jeho účinnosti (§ 775§ 775 USTANOVENÍ PŘECHODNÁTímto zákonem se řídí práva a povinnosti vzniklé ode dne jeho účinnosti.Oficiální znění ↗). Jeho jádrem ve vztahu k vedení firmy je povinnost péče řádného hospodáře: člen statutárního orgánu musí jednat s nezbytnou loajalitou, znalostmi a pečlivostí. Pokud tuto povinnost poruší a firmě tím vznikne škoda, ručí za ni celým svým majetkem, ledaže prokáže, že jednal v dobré víře a informovaně (tzv. pravidlo podnikatelského úsudku).

Co se mění s NIS2? Mění se obsah toho, co se za „péči řádného hospodáře" v oblasti kyberbezpečnosti považuje. Dosud bylo možné argumentovat, že přiměřená úroveň zabezpečení je věcí uvážení. Nově existuje zákonný standard – konkrétní bezpečnostní opatření a povinnost vedení nad nimi bdít. Jakmile zákon stanoví minimální laťku, nesplnění této laťky je pro soud výrazně snazší vyhodnotit jako porušení povinné péče. Statutár se tak ocitá v situaci, kdy:

1. firmě hrozí správní sankce od NÚKIB (pokuty se u NIS2 pohybují v řádu procent z obratu, tedy v milionech),
2. a současně může firma (případně její insolvenční správce) požadovat náhradu této škody po samotném statutárovi, který opatření zanedbal.

Jinými slovy: pokuta dopadne na firmu, ale ekonomicky může „přeskočit" na osobu jednatele formou regresní náhrady škody. To je posun, který si zatím mnoho vlastníků neuvědomuje.

Proč nestačí „máme to vyřešené v IT"

V praxi vidíme tři typické mylné představy:

„Jsme malá firma, na nás se to nevztahuje." Okruh subjektů je široký a často nečekaný – zahrnuje i dodavatele do regulovaných sektorů. Sebeidentifikace je přitom povinností firmy, nikoli NÚKIB. Pokud firma chybně usoudí, že nespadá pod regulaci, a mýlí se, odpovědnost za toto vyhodnocení leží opět na vedení.

„Kyberbezpečnost má na starosti IT oddělení / externí firma." Delegace výkonu je legitimní, ale odpovědnost za dohled delegovat nelze. Statutární orgán musí být schopen doložit, že opatření schválil, kontroloval jejich účinnost a zajistil zdroje. Bez doložitelného „papírového stopu" je obhajoba v případě incidentu velmi slabá.

„Pojištění to pokryje." Kybernetické pojištění a pojištění odpovědnosti členů orgánů (D&O) jsou užitečná, ale typicky vylučují plnění při hrubé nedbalosti či vědomém zanedbání zákonných povinností. Pojistka tedy nenahradí compliance – maximálně zmírní následky tam, kde firma prokazatelně postupovala s péčí.

Pohled řízení rizik QUADMOND™ (kvadrant Q1)

Z hlediska systému řízení rizik QUADMOND™ patří kyberbezpečnostní compliance jednoznačně do kvadrantu Q1 – vysoká pravděpodobnost, vysoký dopad. Důvody jsou tři:

• Pravděpodobnost materializace je vysoká: kybernetické incidenty nejsou výjimkou, ale statistickou jistotou v čase; regulační kontrola je rovněž reálná.
• Dopad je dvojvrstvý – přímý (pokuta, výpadek provozu, ztráta dat, reputační škoda) i přenesený (osobní odpovědnost statutára dle ZOK).
• Korelace s jinými riziky: kyberincident u dodavatele spustí smluvní, reputační i provozní rizika napříč celou firmou.

Q1 rizika se neignorují ani „nepojišťují bokem" – aktivně se řídí a snižují, dokud je nelze přesunout do mírnějších kvadrantů. To znamená systematickou, doloženou a vedením schválenou cestu k souladu, nikoli jednorázový nákup softwaru.

Souvislost s dalšími korporátními povinnostmi

NIS2 navíc nepřichází do prázdna. Firmy mají i průběžné korporátní povinnosti, jejichž zanedbání bývá symptomem širšího compliance dluhu. Patří sem například povinnost jednatele bez zbytečného odkladu vyhotovit a do sbírky listin uložit úplné znění společenské smlouvy po její změně (§ 197§ 197 § 197Jednatel bez zbytečného odkladu poté, co se dozví, že došlo ke změně společenské smlouvy na základě jakékoliv právní skutečnosti, vyhotoví úplné znění společenské smlouvy a uloží je spolu s listinami prokazujícími změnu do sbírky listin obchodního rejstříku (dále jen „sbírka listin“).Oficiální znění ↗), obdobně u družstev úplné znění stanov (§ 554§ 554 § 554(1) Změny stanov nabývají účinnosti dnem, kdy je členská schůze schválila, ledaže plyne ze zákona nebo usnesení členské schůze, že nabývají účinnosti později. (2) Dojde-li ke změně stanov na základě právní skutečnosti, představenstvo družstva vyhotoví úplné znění stanov bez zbytečného odkladu poté, co se některý z člen…Oficiální znění ↗), či povinnost správně uvádět údaje na obchodních listinách a internetových stránkách (§ 7§ 7 § 7(1) Uvádí-li kapitálová společnost nebo družstvo na obchodních listinách také údaj o svém základním kapitálu, musí se tento údaj týkat pouze upsané a splacené části základního kapitálu. (2) Akciová společnost bez zbytečného odkladu po svém vzniku a dále průběžně uveřejňuje způsobem umožňujícím dálkový přístup, který je…Oficiální znění ↗).

Připomeňme i to, že ZOK už při svém zavedení vyžadoval přizpůsobení zakladatelských dokumentů – ujednání v rozporu s donucujícími ustanoveními se zrušila dnem účinnosti zákona a firmy je měly uvést do souladu (§ 777§ 777 § 777(1) Ujednání společenských smluv, která jsou v rozporu s donucujícími ustanoveními tohoto zákona, se zrušují dnem nabytí účinnosti tohoto zákona. (2) Obchodní korporace přizpůsobí do 6 měsíců ode dne nabytí účinnosti tohoto zákona listiny podle odstavce 1 úpravě tohoto zákona a doručí je do sbírky listin. Neučiní-li ta…Oficiální znění ↗), s možností podřídit se ZOK jako celku (§ 777§ 777 § 777(1) Ujednání společenských smluv, která jsou v rozporu s donucujícími ustanoveními tohoto zákona, se zrušují dnem nabytí účinnosti tohoto zákona. (2) Obchodní korporace přizpůsobí do 6 měsíců ode dne nabytí účinnosti tohoto zákona listiny podle odstavce 1 úpravě tohoto zákona a doručí je do sbírky listin. Neučiní-li ta…Oficiální znění ↗ odst. 5). Firmy, které tuto úpravu kdysi odbyly, mívají dnes i slabší interní governance – a právě ony bývají nejméně připravené na nové kybernetické nároky. Kdo nemá pořádek v základních dokumentech, zpravidla zřídka zvládne náročnější agendu, jako je dohled nad kyberriziky.

Konkrétní kroky pro majitele a jednatele

Doporučujeme postup v logice OODA (pozoruj – orientuj se – rozhodni – jednej):

1. Sebeidentifikace – odborně posoudit, zda a v jaké kategorii firma pod nZKB spadá. Toto rozhodnutí zdokumentujte.
2. GAP analýza – porovnat současný stav s požadovanými opatřeními.
3. Rozhodnutí na úrovni statutárního orgánu – schválit plán, rozpočet a odpovědné osoby, vše s usnesením a zápisem (papírový stop pro obhajobu péče řádného hospodáře).
4. Smluvní ošetření dodavatelů – řízení dodavatelského řetězce promítnout do smluv.
5. Plán reakce na incident a hlášení – nastavit lhůty a odpovědnosti.
6. Revize D&O a kyberpojištění ve vazbě na reálné výluky.

Jak vám pomůžeme / Další krok

Kyberbezpečnostní compliance se stala otázkou osobní odpovědnosti vedení, nikoli jen IT. Advokáti Legal Partners propojí pohled korporátního práva (ZOK, odpovědnost statutárů) s požadavky nového kyberzákona a pomohou vám vyhodnotit, zda firma do regulace spadá, jak doložit splnění péče řádného hospodáře a jak smluvně ošetřit dodavatele i pojištění.

Nabízíme vám nezávaznou konzultaci zdarma s advokátem Legal Partners. Společně rychle vyhodnotíme vaši expozici v rámci řízení rizik QUADMOND™ (kvadrant Q1) a navrhneme konkrétní kroky, které ochrání firmu i vás osobně. Ozvěte se nám – čím dříve začnete, tím lépe doložíte, že jste jednali s péčí řádného hospodáře.