Cyberbezpieczeństwo - główny bohater unijnych legislacji - STBU

Cyberbezpieczeństwo – główny bohater unijnych legislacji

W obliczu ciągłego wzrostu aktywności cyberprzestępców i równoczesnego rozwoju wykorzystywania technologii IT przez szeroko pojęty biznes, ważne jest, aby tworzyć takie narzędzia legislacyjne, które zmotywują podmioty gospodarcze do wdrożenia odpowiednich zabezpieczeń – tak aby ich ciężka praca nie poszła na marne, a osoby korzystające z ich rozwiązań czuły się bezpiecznie. 

Jeżeli w Unii Europejskiej są przedsiębiorcy, którzy mają odwagę twierdzić, że temat „cyberbezpieczeństwa” ich nie dotyczy i równocześnie chcą przetrwać, rozwijać swój biznes i być konkurencyjni na rynku, to sugerujemy zapoznać się z aktami prawnymi. Są one przygotowane lub właśnie są przygotowywane przez unijnych legislatorów. W związku z tym, rekomendujemy skontaktować się z nami, aby dowiedzieć się, jaką rolę w tym wszystkim odgrywają ubezpieczenia.

Poniżej prezentujemy zestawienie kluczowych unijnych aktów prawnych, które regulują przepisy dotyczące cyberbezpieczeństwa UE. Zawierają one również kwestie związane z IT oraz podstawowe informacje na ich temat. 

Linki to pełnej treści aktów prawnych: NIS2projekt ustawy o zmianie ustawy KSCDORA, CRA – projekt, AI Act.

Nowe przepisy cyberbezpieczeństwa UE a ubezpieczenia 

Bez wątpienia żadna polisa ubezpieczeniowa nie zdejmie z przedsiębiorców obowiązku spełnienia wymagań, które wynikają z wyżej wymienionych aktów prawnych. Jednakże nawet najlepsze narzędzia techniczno-organizacyjne i procedury nie zminimalizują ryzyka w całości. Dlatego ważne jest, aby przedsiębiorcy regularnie aktualizowali swoje systemy zabezpieczeń oraz prowadzili świadomościowe szkolenia dla pracowników. Ponadto, powinni monitorować nowe zagrożenia i przepisy.

W związku z tym, na wypadek, gdyby powyższe środki okazały się niewystarczające, rekomendujemy zawarcie polis ubezpieczeniowych. Mogą one zrekompensować straty finansowe wynikające z sankcji administracyjnych regulowanych przez opisane w niniejszym artykule akty prawne. 

Dla zobrazowania tego, poniżej opisujemy możliwości wykorzystania ubezpieczeń w kontekście NIS2* i DORA 

*z uwagi na to, że ustawa implementująca Dyrektywę NIS2 do polskiego porządku prawnego jest na etapie projektu, to poniższą analizę należy traktować poglądowo.  

Zgodnie z Artykułem 34 Dyrektywy NIS2:  

  1. Państwa członkowskie zapewniają, by podmioty kluczowe dokonujące naruszeń art. 21 lub 23 podlegały administracyjnym karom pieniężnym zgodnie z ust. 2 i 3 niniejszego artykułu. Kary te mogą wynosić co najmniej 10 000 000 EUR lub co najmniej 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot kluczowy. Przy czym zastosowanie ma kwota wyższa.
  2. Państwa członkowskie zapewniają, by podmioty ważne dokonujące naruszeń art. 21 lub 23 podlegały administracyjnym karom pieniężnym zgodnie z ust. 2 i 3 niniejszego artykułu. Kary te mogą wynosić co najmniej 7 000 000 EUR lub 1,4% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot ważny. Przy czym zastosowanie ma kwota wyższa.

W przypadku wszczęcia postępowania administracyjnego przeciwko Spółce związanego z incydentem cybernetycznym i  naruszeniem NIS2, aktualne stanowisko kilku ubezpieczycieli oferujących ubezpieczenie Cyber jest takie, że, koszty obrony w takim postępowaniu czy refundacja kary administracyjnej nakładanej na Spółkę będą mogły być pokrywane z polisy Cyber.  

Wg aktualnie opublikowanego Rządowego projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw:  

„Niezależnie od kary pieniężnej, o której mowa w ust. 2c, można nałożyć na kierującego podmiotem, karę pieniężną. W szczególności na osobę pełniącą funkcję kierowniczą lub wchodzącą w skład organu zarządzającego tego podmiotu lub związku takich przedsiębiorców. Kara ta może wynosić do 300% jego miesięcznego wynagrodzenia, naliczanego jak dla celów ekwiwalentu za urlop wypoczynkowy.”

W przypadku, gdy wyżej wymienione przepisy wejdą w życie i kara nakładana na osobę pełniącą funkcję kierowniczą lub wchodzącą w skład organu zarządzającego będzie miała charakter administracyjny, wówczas zarówno koszty postępowania administracyjnego, jak również kara administracyjna nałożona na taką Osobę Zarządzającą będą mogły być pokrywane przez polisę D&O. 

Zgodnie z Artykułem 50, ust. 5 DORA: 

„5. W przypadku gdy ust. 2 lit. c) i ust. 4 mają zastosowanie do osób prawnych, państwa członkowskie powierzają właściwym organom uprawnienie do stosowania kar administracyjnych i środków naprawczych, z zastrzeżeniem warunków przewidzianych w prawie krajowym, wobec członków organu zarządzającego oraz innych osób fizycznych, które w świetle prawa krajowego ponoszą odpowiedzialność za naruszenie.” 

Powyższe oznacza, że DORA umożliwia właściwym krajowym organom nadzorczym stosowanie kar administracyjnych wobec członków zarządu. W tym przypadku również z pomocą może przyjść odpowiednio skonstruowana polisa D&O dla instytucji finansowych (tzw. FI D&O). 

Od czego zacząć? 

W kwestii zweryfikowania, które przepisy cyberbezpieczeństwa UE Państwa dotyczą, a następnie ich odpowiedniego zaimplementowania, zalecamy skorzystanie ze współpracujących z STBU partnerów specjalizujących się w obszarze cyberbezpieczeństwa. Dodatkowo, w kontekście zaaranżowania polis ubezpieczeniowych, o których mowa w niniejszym materiale informacyjnym, zapraszamy do kontaktu z Biurem Financial & Specialty Lines STBU.  

Na koniec zachęcamy do zapoznania się z minimalnymi wymogami rynku ubezpieczeniowego w kontekście ubezpieczenia Cyber. 

 

Bądź na bieżąco z naszymi artykułami i kliknij tutaj.

Zapraszamy także na nasze profile w mediach społecznościowych – FacebookLinkedIn.

napisz do nas



W czym możemy pomóc?

Skontaktuj się z nami, aby uzyskać profesjonalne
wsparcie i oszczędności
napisz do nas
>

Dołącz do nas

socialmedia socialmedia socialmedia
napisz do nas