V súčasnej digitálnej dobe je kybernetická bezpečnosť neoddeliteľnou súčasťou každodenného fungovania každej organizácie. Vzhľadom na čoraz častejšie kybernetické útoky a legislatívne požiadavky kladené na správu citlivých údajov sa téma zodpovednosti manažmentu za bezpečnostné incidenty stáva čoraz aktuálnejšou. Firmy čelia nielen technologickým výzvam, ale aj prísnejším právnym a regulačným rámcom, ktoré vyžadujú aktívne a systematické riadenie kybernetických rizík. Tento článok sa podrobne venuje otázkam zodpovednosti vrcholového manažmentu v prípade porušenia pravidiel kybernetickej bezpečnosti. Preskúmame zákonné povinnosti vedúcich pracovníkov, dôsledky ich nedodržania, ako aj praktické kroky, ktorými môžu organizácie predísť rizikám a minimalizovať svoje zraniteľnosti. Zameriame sa na slovenské a európske právne prostredie, no pozrieme sa aj na medzinárodné príklady a odporúčania dobrej praxe v oblasti správy kybernetickej bezpečnosti.

1. Právny rámec kybernetickej bezpečnosti na Slovensku

Na Slovensku je oblasť kybernetickej bezpečnosti primárne upravená zákonom č. 69/2018 Z.z. o kybernetickej bezpečnosti. Tento zákon implementuje smernicu NIS (Network and Information Security Directive), ktorá bola prijatá na úrovni Európskej únie za účelom zlepšenia ochrany základných služieb a digitálnych služieb.

Zákon sa týka najmä tzv. prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb, ktorí sú povinní dodržiavať množstvo opatrení vrátane:

• vykonania hodnotenia rizík,
• zavedenia opatrení na riadenie kybernetických rizík,
• zavedenia procesov na hlásenie bezpečnostných incidentov.

V prípade nedodržania týchto ustanovení môže organizácia čeliť vysokým pokutám až do výšky 300 000 €. Okrem toho však môže dôjsť aj k individuálnej právnej zodpovednosti členov manažmentu.

Zodpovednosť vrcholového manažmentu

Manažéri, najmä členovia predstavenstva alebo iných výkoných orgánov, majú z právneho hľadiska povinnosť konať s náležitou starostlivosťou. Táto povinnosť sa vzťahuje aj na oblasť informačnej a kybernetickej bezpečnosti. V prípade jej porušenia môžu byť postihnutí.

Zodpovednosť manažmentu možno rozdeliť do troch kategórií:

• Občianskoprávna zodpovednosť – za spôsobenú škodu tretej strane, napríklad klientom alebo partnerom v dôsledku úniku dát.
• Trestnoprávna zodpovednosť – najmä ak ide o úmyselné alebo hrubo nedbanlivé konanie, ktoré ohrozuje údaje alebo infraštruktúru.
• Správna zodpovednosť – v prípade porušenia povinností definovaných v legislatíve o kybernetickej bezpečnosti.

Otázka zodpovednosti tak nie je len teoretickou, ale často má priame dôsledky na správu a riadenie organizácie.

3. Typické zlyhania manažmentu v oblasti kyberbezpečnosti

Manažmenty často zlyhávajú v niekoľkých opakujúcich sa oblastiach:

• Podcenenie rizík – Ignorovanie alebo nevhodné vyhodnotenie rizík spojených s IT systémami.
• Chýbajúce stratégie – Neexistencia dlhodobej stratégie kybernetickej bezpečnosti alebo neriešenie tejto problematiky na úrovni vedenia.
• Nedostatok vzdelávania – Manažment ani zamestnanci často nedisponujú aktuálnymi znalosťami v oblasti kybernetických hrozieb.
• Absencia plánov reakcie – Spoločnosť nemá vypracované incident response plány, ktoré by minimalizovali dopad pri útoku.

Tieto nedostatky zvyšujú riziko útokov aj následnej právnej zodpovednosti.

4. Zásady „due diligence“ a bezpečnostné opatrenia

Pojem due diligence sa v oblasti kyberbezpečnosti vzťahuje na systematické vyhodnocovanie bezpečnostného stavu organizácie. Pre členov vedenia to znamená:

• aktívne sa zaujímať o bezpečnostné riziká,
• pravidelne si vyžadovať bezpečnostné audity a reporty,
• zabezpečiť adekvátne školenia a tréningy personálu,
• alokovať finančné a ľudské zdroje na zabezpečenie IT infraštruktúry.

Zodpovedný manažment zároveň zavedie tzv. kontrolné mechanizmy, ktoré preverujú, či sú implementované opatrenia efektívne. V prípade incidentu je tak schopný preukázať, že vykonal všetko potrebné pre ochranu systémov.

5. Dôsledky kybernetických incidentov pre organizáciu a manažment

Pri narušení bezpečnosti čelí organizácia viacerým negatívnym dôsledkom:

• Finančné straty – Náklady na obnovu systémov, pokuty, kompenzácie zákazníkom.
• Poškodenie reputácie – Strata dôvery verejnosti, zákazníkov a obchodných partnerov.
• Právne spory – Žaloby zo strany poškodených osôb alebo kontrolných orgánov.

Z manažérskeho hľadiska môže dôjsť napríklad k:

• odvolaniu z funkcie,
• prijatiu správnych alebo trestnoprávnych opatrení,
• diskvalifikácii z výkonu funkcie štatutárneho orgánu na určité obdobie.

Príklady zo zahraničia ukazujú, že regulátori stále viac využívajú zákonné možnosti postihovania jednotlivcov, nielen organizácií ako celkov.

Zásady dobrej praxe a odporúčania pre manažment

Aby vedenie organizácie predišlo rizikám a vyhlo sa zodpovednosti, má k dispozícii viacero odporúčaní:

1. Zaviesť bezpečnostné politiky integrované do riadiacich procesov firmy.
2. Delegovať zodpovednosti – jasné roly a zodpovednosť za bezpečnosť u príslušných zamestnancov, no s dohľadom vedenia.
3. Vzdelávať seba aj zamestnancov – kybernetická bezpečnosť sa neustále vyvíja, investícia do ľudského kapitálu je kľúčová.
4. Využívať frameworky a normy ako ISO/IEC 27001, COBIT alebo NIST.
5. Pravidelne testovať – bezpečnostné cvičenia, penetračné testy a simulácie incidentov.

Aktívny prístup vedenia nie je len opatrením voči zodpovednosti – zlepšuje celkovú odolnosť organizácie a zvyšuje dôveru investorov aj zákazníkov.

Záver

Zodpovednosť manažmentu za nedodržanie pravidiel kybernetickej bezpečnosti nie je teoretickou hrozbou, ale reálnym a rastúcim rizikom, ktorému čelia všetky organizácie v digitálnom priestore. Právne rámce – domáce aj európske – jasne určujú povinnosti manažérov a dávajú regulačným orgánom nástroje na ich vymáhanie. Súčasne sú čoraz prísnejšie aj očakávania zo strany klientov, partnerov a verejnosti, ktorá vyžaduje zodpovedné a transparentné riadenie kybernetickej bezpečnosti.

Vedenie firiem si musí uvedomiť, že investícia do kybernetickej ochrany nie je len technickou záležitosťou, ale otázkou riadenia rizík, reputácie a dlhodobej udržateľnosti podnikania. Prevencia prostredníctvom due diligence, vypracovanie stratégií, pravidelné audity a školenia sú opatrenia, ktoré môžu výrazne znížiť pravdepodobnosť incidentov aj prípadnej právnej zodpovednosti.

V konečnom dôsledku je to práve manažment, ktorý má kľúčovú rolu pri nastavovaní firemnej kultúry bezpečnosti – od nastavenia politiky až po reakciu na krízové situácie. Preto je nevyhnutné, aby bol aktívnou silou v oblasti kyberbezpečnosti, a nie len pasívnym pozorovateľom. Výsledkom tohto prístupu je nielen vyššia ochrana firemných dát, ale aj silnejšia dôvera všetkých zainteresovaných strán.