Cyberbezpieczeństwo – główny bohater unijnych legislacji
W obliczu ciągłego wzrostu aktywności cyberprzestępców i równoczesnego rozwoju wykorzystywania technologii IT przez szeroko pojęty biznes, ważne jest, aby tworzyć takie narzędzia legislacyjne, które zmotywują podmioty gospodarcze do wdrożenia odpowiednich zabezpieczeń – tak aby ich ciężka praca nie poszła na marne, a osoby korzystające z ich rozwiązań czuły się bezpiecznie.
Jeżeli w Unii Europejskiej są przedsiębiorcy, którzy mają odwagę twierdzić, że temat „cyberbezpieczeństwa” ich nie dotyczy i równocześnie chcą przetrwać, rozwijać swój biznes i być konkurencyjni na rynku, to sugerujemy zapoznać się z aktami prawnymi. Są one przygotowane lub właśnie są przygotowywane przez unijnych legislatorów. W związku z tym, rekomendujemy skontaktować się z nami, aby dowiedzieć się, jaką rolę w tym wszystkim odgrywają ubezpieczenia.
Poniżej prezentujemy zestawienie kluczowych unijnych aktów prawnych, które regulują przepisy dotyczące cyberbezpieczeństwa UE. Zawierają one również kwestie związane z IT oraz podstawowe informacje na ich temat.
Nowe przepisy cyberbezpieczeństwa UE a ubezpieczenia
Bez wątpienia żadna polisa ubezpieczeniowa nie zdejmie z przedsiębiorców obowiązku spełnienia wymagań, które wynikają z wyżej wymienionych aktów prawnych. Jednakże nawet najlepsze narzędzia techniczno-organizacyjne i procedury nie zminimalizują ryzyka w całości. Dlatego ważne jest, aby przedsiębiorcy regularnie aktualizowali swoje systemy zabezpieczeń oraz prowadzili świadomościowe szkolenia dla pracowników. Ponadto, powinni monitorować nowe zagrożenia i przepisy.
W związku z tym, na wypadek, gdyby powyższe środki okazały się niewystarczające, rekomendujemy zawarcie polis ubezpieczeniowych. Mogą one zrekompensować straty finansowe wynikające z sankcji administracyjnych regulowanych przez opisane w niniejszym artykule akty prawne.
Dla zobrazowania tego, poniżej opisujemy możliwości wykorzystania ubezpieczeń w kontekście NIS2* i DORA
*z uwagi na to, że ustawa implementująca Dyrektywę NIS2 do polskiego porządku prawnego jest na etapie projektu, to poniższą analizę należy traktować poglądowo.
Zgodnie z Artykułem 34 Dyrektywy NIS2:
- Państwa członkowskie zapewniają, by podmioty kluczowe dokonujące naruszeń art. 21 lub 23 podlegały administracyjnym karom pieniężnym zgodnie z ust. 2 i 3 niniejszego artykułu. Kary te mogą wynosić co najmniej 10 000 000 EUR lub co najmniej 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot kluczowy. Przy czym zastosowanie ma kwota wyższa.
- Państwa członkowskie zapewniają, by podmioty ważne dokonujące naruszeń art. 21 lub 23 podlegały administracyjnym karom pieniężnym zgodnie z ust. 2 i 3 niniejszego artykułu. Kary te mogą wynosić co najmniej 7 000 000 EUR lub 1,4% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot ważny. Przy czym zastosowanie ma kwota wyższa.
W przypadku wszczęcia postępowania administracyjnego przeciwko Spółce związanego z incydentem cybernetycznym i naruszeniem NIS2, aktualne stanowisko kilku ubezpieczycieli oferujących ubezpieczenie Cyber jest takie, że, koszty obrony w takim postępowaniu czy refundacja kary administracyjnej nakładanej na Spółkę będą mogły być pokrywane z polisy Cyber.
Wg aktualnie opublikowanego Rządowego projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw:
„Niezależnie od kary pieniężnej, o której mowa w ust. 2c, można nałożyć na kierującego podmiotem, karę pieniężną. W szczególności na osobę pełniącą funkcję kierowniczą lub wchodzącą w skład organu zarządzającego tego podmiotu lub związku takich przedsiębiorców. Kara ta może wynosić do 300% jego miesięcznego wynagrodzenia, naliczanego jak dla celów ekwiwalentu za urlop wypoczynkowy.”
W przypadku, gdy wyżej wymienione przepisy wejdą w życie i kara nakładana na osobę pełniącą funkcję kierowniczą lub wchodzącą w skład organu zarządzającego będzie miała charakter administracyjny, wówczas zarówno koszty postępowania administracyjnego, jak również kara administracyjna nałożona na taką Osobę Zarządzającą będą mogły być pokrywane przez polisę D&O.
Zgodnie z Artykułem 50, ust. 5 DORA:
„5. W przypadku gdy ust. 2 lit. c) i ust. 4 mają zastosowanie do osób prawnych, państwa członkowskie powierzają właściwym organom uprawnienie do stosowania kar administracyjnych i środków naprawczych, z zastrzeżeniem warunków przewidzianych w prawie krajowym, wobec członków organu zarządzającego oraz innych osób fizycznych, które w świetle prawa krajowego ponoszą odpowiedzialność za naruszenie.”
Powyższe oznacza, że DORA umożliwia właściwym krajowym organom nadzorczym stosowanie kar administracyjnych wobec członków zarządu. W tym przypadku również z pomocą może przyjść odpowiednio skonstruowana polisa D&O dla instytucji finansowych (tzw. FI D&O).
Od czego zacząć?
W kwestii zweryfikowania, które przepisy cyberbezpieczeństwa UE Państwa dotyczą, a następnie ich odpowiedniego zaimplementowania, zalecamy skorzystanie ze współpracujących z STBU partnerów specjalizujących się w obszarze cyberbezpieczeństwa. Dodatkowo, w kontekście zaaranżowania polis ubezpieczeniowych, o których mowa w niniejszym materiale informacyjnym, zapraszamy do kontaktu z Biurem Financial & Specialty Lines STBU.
Na koniec zachęcamy do zapoznania się z minimalnymi wymogami rynku ubezpieczeniowego w kontekście ubezpieczenia Cyber.
Bądź na bieżąco z naszymi artykułami i kliknij tutaj.
Zapraszamy także na nasze profile w mediach społecznościowych – Facebook, LinkedIn.