Více informací

Pokud vás nový zákon o kybernetické bezpečnosti a jeho prováděcí vyhlášky zařazují mezi poskytovatele regulované služby, neznamená to pouze navýšení požadavků na IT oddělení. Jde o zásadní změnu odpovědnostního rámce celé organizace – především pak jejího vrcholového vedení. Ať už spadáte do režimu vyšších, nebo nižších povinností, zákon vám explicitně ukládá osobní a právní odpovědnost za přijetí, nastavení a dohled nad bezpečnostními opatřeními. Už nestačí „my jsme to delegovali“ protože povinnost vedení nelze delegovat ve smyslu „to má na starost CIO nebo CISO“.

Odpovědnost za to, že bezpečnostní opatření jsou zavedena, že jsou přiměřená, a že fungují v praxi, zůstává na bedrech statutárního orgánu, představenstva, jednatele nebo ředitele.

Neznalost zákona či jeho prováděcí vyhlášky není omluvou. Naopak může být vykládána jako nedbalost a v některých případech i jako porušení povinnosti péče řádného hospodáře. V praxi to znamená, že v případě incidentu, kontroly nebo auditu se nehodnotí jen IT systémy, ale i rozhodovací procesy a odpovědnostní struktury vedení společnosti.

Podcenění těchto povinností může mít pro členy vedení reálné právní dopady:

• Sankce ze strany NÚKIB, včetně pořádkových pokut a nápravných opatření,

• odvolání odpovědných osob v organizaci na základě nedostatečného řízení rizik,

• postihy ze strany akcionářů či zřizovatele za zanedbání povinností,

• osobní odpovědnost vůči firmě či třetím stranám (např. zákazníkům, partnerům) v důsledku škod způsobených bezpečnostním selháním.