Viac informácií

Pokiaľ vás nový zákon o kybernetickej bezpečnosti a jeho vykonávacie vyhlášky zaraďujú medzi poskytovateľov regulovanej služby, neznamená to iba navýšenie požiadaviek na IT oddelenie. Ide o zásadnú zmenu zodpovedného rámca celej organizácie – predovšetkým jej vrcholového vedenia. Či už patríte do režimu vyšších, alebo nižších povinností, zákon vám explicitne ukladá osobnú a právnu zodpovednosť za prijatie, nastavenie a dohľad nad bezpečnostnými opatreniami. Už nestačí „my sme to delegovali“ pretože povinnosť vedenia nemožno delegovať v zmysle „to má na starosť CIO alebo CISO“.

Zodpovednosť za to, že bezpečnostné opatrenia sú zavedené, že sú primerané, a že fungujú v praxi, zostáva na pleciach štatutárneho orgánu, predstavenstva, konateľa alebo riaditeľa.

Neznalosť zákona či jeho vykonávacie vyhlášky nie je ospravedlnením. Naopak, môže byť vykladaná ako nedbanlivosť av niektorých prípadoch aj ako porušenie povinnosti starostlivosti riadneho hospodára. V praxi to znamená, že v prípade incidentu, kontroly alebo auditu sa nehodnotia len IT systémy, ale aj rozhodovacie procesy a zodpovedné štruktúry vedenia spoločnosti.

Podcenenie týchto povinností môže mať pre členov vedenia reálne právne dôsledky:

• Sankcie zo strany NÚKIB, vrátane poriadkových pokút a nápravných opatrení,

• odvolanie zodpovedných osôb v organizácii na základe nedostatočného riadenia rizík,

• postihy zo strany akcionárov či zriaďovateľa za zanedbanie povinností,

• osobnú zodpovednosť voči firme či tretím stranám (napr. zákazníkom, partnerom) v dôsledku škôd spôsobených bezpečnostným zlyhaním.