Wstęp

Znowelizowana UKSC (Ustawa o Krajowym Systemie Cyberbezpieczeństwa) przynosi istotną zmianę w podejściu do odpowiedzialności kierownictwa za system zarządzania bezpieczeństwem. O ile dotychczasowe regulacje często sprowadzały temat cyberbezpieczeństwa do domen stricte technicznych, o tyle znowelizowana ustawa przenosi ciężar decyzyjny i odpowiedzialność bezpośrednio na kadrę zarządzającą.

Bezpośrednia odpowiedzialność oznacza np. możliwość nałożenia kary bezpośrednio na kierownictwo danego podmiotu. Z punktu widzenia zarządzania organizacją, przepisy wyraźnie wskazują rolę kierownika podmiotu w zapewnieniu odporności podmiotów kluczowych i ważnych.

UKSC a RODO – różnice w podejściu do odpowiedzialności kierownictwa

Warto zauważyć istotną różnicę w podejściu do odpowiedzialności kadry zarządzającej między nową ustawą o krajowym systemie cyberbezpieczeństwa a ogólnym rozporządzeniem o ochronie danych (RODO). O ile UKSC wprost personalizuje odpowiedzialność, nakładając bezpośrednie, ustawowe obowiązki (oraz groźbę osobistych kar administracyjnych i zakazu pełnienia funkcji zarządczych) imiennie na „kierownika podmiotu”, o tyle RODO konstruuje te kwestie odmiennie.

Na gruncie RODO głównym adresatem obowiązków prawnych i ewentualnych administracyjnych kar pieniężnych jest „administrator” lub „podmiot przetwarzający” (czyli najczęściej sama organizacja jako osoba prawna – spółka, urząd czy instytucja), a nie jej zarząd czy dyrektor. RODO nie wskazuje bezpośrednio kierownictwa jako podmiotu zobowiązanego do osobistej, zindywidualizowanej realizacji konkretnych zadań ochronnych, tak jak robi to UKSC.

Nie oznacza to jednak, że na gruncie ochrony danych osobowych kierownik jest całkowicie zwolniony z osobistego ryzyka. Chociaż z zasady nie grożą mu bezpośrednie administracyjne kary finansowe nakładane przez Prezesa UODO (te płaci organizacja), to w przypadku bezprawnego przetwarzania danych kierownik może ponieść odpowiedzialność karną (np. na podstawie art. 107 polskiej ustawy o ochronie danych osobowych). Ponadto pozostaje on narażony na odpowiedzialność cywilnoprawną, pracowniczą lub korporacyjną wobec samej organizacji za ewentualne szkody wyrządzone brakiem odpowiedniego nadzoru. Potencjalnie w grę – w sektorze publicznym – wchodzi także odpowiedzialność za niedopełnienie obowiązków i przekroczenie uprawnień tzw. przestępstwo urzędnicze.

Kim jest „Kierownik” w świetle UKSC?

Zgodnie z nowymi przepisami, przez kierownika podmiotu kluczowego lub ważnego rozumie się kierownika jednostki w rozumieniu art. 3 ust. 1 pkt 6 ustawy o rachunkowości, który kieruje danym podmiotem.

Ustawa o rachunkowości wskazuje, że:

Kierowniku jednostki – rozumie się przez to członka zarządu lub innego organu zarządzającego, a jeżeli organ jest wieloosobowy – członków tego organu, z wyłączeniem pełnomocników ustanowionych przez jednostkę. W przypadku spółki jawnej i spółki cywilnej za kierownika jednostki uważa się wspólników prowadzących sprawy spółki, w przypadku spółki partnerskiej – wspólników prowadzących sprawy spółki albo zarząd, a w odniesieniu do spółki komandytowej i spółki komandytowo-akcyjnej – komplementariuszy prowadzących sprawy spółki. W przypadku osoby fizycznej prowadzącej działalność gospodarczą za kierownika jednostki uważa się tę osobę; do osób wykonujących wolne zawody przepis ten stosuje się odpowiednio. Za kierownika jednostki uważa się również likwidatora, a także syndyka lub zarządcę ustanowionego w postępowaniu restrukturyzacyjnym oraz zarządcę sukcesyjnego, o którym mowa w ustawie z dnia 5 lipca 2018 r. o zarządzie sukcesyjnym przedsiębiorstwem osoby fizycznej i innych ułatwieniach związanych z sukcesją przedsiębiorstw, albo osobę, o której mowa w art. 14 tej ustawy, która dokonała zgłoszenia, o którym mowa w art. 12 ust. 1c ustawy z dnia 13 października 1995 r. o zasadach ewidencji i identyfikacji podatników i płatników (Dz. U. z 2022 r. poz. 166, 1301 i 1933);

W przypadku jednostek sektora finansów publicznych definicja ta odsyła do kierownika jednostki, o którym mowa w art. 53 ust. 1 ustawy o finansach publicznych. Co istotne, definicja ta z zasady obejmuje członków zarządu lub innych organów zarządzających, a w przypadku organów wieloosobowych odpowiedzialność ponoszą solidarnie wszyscy członkowie tego organu, chyba że wskazano konkretną osobę odpowiedzialną.

Przenoszalność odpowiedzialności

Istotną zmianą jest to, że kierownik podmiotu ponosi z mocy prawa pełną odpowiedzialność za wykonywanie obowiązków z zakresu cyberbezpieczeństwa. Ustawodawca przewidział przy tym dwa kluczowe mechanizmy zabezpieczające przed rozmyciem tej odpowiedzialności:

• Kierownik ponosi odpowiedzialność również w sytuacji, gdy realizacja niektórych lub nawet wszystkich obowiązków została powierzona innej osobie za jej zgodą (np. poprzez outsourcing).
• Odpowiedzialność ta dotyczy szerokiego spektrum działań – od wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI), przez weryfikację personelu, aż po raportowanie incydentów i współpracę z organami nadzorczymi.

Kluczowe decyzje personalne

Kierownik nie tylko nadzoruje, ale musi aktywnie kształtować architekturę bezpieczeństwa poprzez konkretne decyzje personalne i strukturalne. Do jego zadań należy:

• Powołanie struktur wewnętrznych lub outsourcing;

Podmiot musi realizować zadania za pomocą wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo (np. dedykowanej komórki organizacyjnej) lub zawrzeć umowę z dostawcą usług zarządzanych. Decyzja o wyborze modelu musi zapewniać efektywność działań.

• Wyznaczenie osób kontaktowych;

Kierownik musi wyznaczyć co najmniej dwie osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa (dla mikro – i małych przedsiębiorców wystarczy jedna osoba).

• Przydział zadań i uprawnień;

To kierownik przydziela zadania z zakresu cyberbezpieczeństwa w podmiocie i nadzoruje ich wykonanie. Musi również zapewnić, aby personel był świadomy swoich obowiązków i znał wewnętrzne regulacje.

• Weryfikacja niekaralności;

Zanim osoba zostanie dopuszczona do realizacji zadań związanych z SZBI lub obsługą incydentów, kierownik musi zweryfikować jej niekaralność za przestępstwa przeciwko ochronie informacji.

Weryfikacja niekaralności samego kierownictwa

Zgodnie z ustawą, każda osoba przed rozpoczęciem realizacji zadań związanych z systemem zarządzania bezpieczeństwem informacji (SZBI) oraz obsługą incydentów, musi przedstawić zaświadczenie z Krajowego Rejestru Karnego o niekaralności za przestępstwa przeciwko ochronie informacji.

Ponieważ to właśnie kierownik podmiotu podejmuje kluczowe decyzje w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru nad SZBI, należy przyjąć, że sam staje się częścią personelu realizującego te zadania z zakresu cyberbezpieczeństwa.

Oznacza to w praktyce, że kierownik podmiotu kluczowego lub ważnego również podlega obowiązkowej weryfikacji pod kątem karalności. Podobnie jak reszta zaangażowanych w SZBI pracowników, musi on legitymować się odpowiednim zaświadczeniem o niekaralności (z pewnymi wyjątkami osób, które dysponują poświadczeniami w zakresie bezpieczeństwa).

Szkolenia i świadomość – dwutorowa odpowiedzialność kierownictwa

W tym zakresie należy odróżnić dwie kwestie:

Osobiste szkolenie kierownictwa

Kierownik podmiotu kluczowego lub ważnego, ma ustawowy obowiązek przejść szkolenie raz w roku kalendarzowym. Szkolenie to musi merytorycznie obejmować zakres wykonywania ustawowych obowiązków (m.in. wdrażanie SZBI, szacowanie ryzyka, zgłaszanie incydentów). Co niezwykle istotne w kontekście ewentualnych kontroli, udział w takim szkoleniu musi być odpowiednio udokumentowany. Uzasadnienie wprost wskazuje, że szkolenie to ma gwarantować, iż kadra zarządzająca będzie posiadać „aktualną wiedzę merytoryczną potrzebną do podejmowania decyzji w tym obszarze”.

Konsekwencje niedopełnienia tych obowiązków dotyczyć mogą bezpośrednio kierownictwa m.in. karze pieniężnej może podlegać bezpośrednio kierownik podmiotu (niezależnie od kar nakładanych na samą organizację), który nie przeszedł obowiązkowego szkolenia z zakresu cyberbezpieczeństwa.

Cyberhigiena i edukacja pracowników

Zgodnie z ustawą, to kierownik podmiotu ma obowiązek zapewnić, że personel jest świadomy nałożonych na niego obowiązków z zakresu cyberbezpieczeństwa oraz zna wewnętrzne regulacje podmiotu w tym obszarze.

Nowa UKSC a norma ISO 27001 – perspektywa zarządcza

Nowa UKSC w obszarze zarządzania stanowi odzwierciedlenie uznanych standardów międzynarodowych, co ułatwia dostosowanie organizacjom już stosującym normę ISO/IEC 27001.

• Norma ISO 27001 wymaga od najwyższego kierownictwa wykazania zaangażowania poprzez zapewnienie zasobów i kierowanie systemem. UKSC przekłada to na obowiązek planowania adekwatnych środków finansowych oraz podejmowania decyzji w pełnym cyklu SZBI.
• ISO 27001 wymaga jasnego przypisania ról. UKSC sankcjonuje to poprzez obowiązek przydzielania zadań i wyznaczania osób do kontaktu, co wprost odpowiada wymaganiom dotyczącym komunikacji wewnętrznej i zewnętrznej w normie.
• Wymagania normy dotyczące i świadomości znajdują swoje odzwierciedlenie w ustawowym obowiązku corocznych szkoleń kierownictwa oraz zapewnieniu świadomości po stronie personelu.

Odpowiedzialność

Obszar odpowiedzialności	Obowiązki kierownika podmiotu	Potencjalne konsekwencje
Rejestracja i wpis do wykazu	Złożenie wniosku o wpis do wykazu podmiotów kluczowych i ważnych oraz bieżąca aktualizacja zawartych w nim informacji.	Kary finansowe dla podmiotu i osobiste kary dla kierownika za brak wpisu lub aktualizacji danych. Odpowiedzialność karna za podanie nieprawdziwych lub niedokładnych informacji.
Szkolenia własne i edukacja personelu	Odbycie udokumentowanego szkolenia z zakresu cyberbezpieczeństwa raz w roku kalendarzowym. Zapewnienie, że personel zna procedury i zasady cyberhigieny.	Osobista kara pieniężna nałożona na kierownika za brak własnego szkolenia. Kary finansowe dla organizacji za niespełnienie wymogów SZBI w zakresie edukacji personelu.
Weryfikacja niekaralności (KRK)	Weryfikacja zaświadczeń o niekaralności za przestępstwa przeciwko ochronie informacji (rozdział XXXIII Kodeksu karnego) dla personelu odpowiedzialnego za SZBI i incydenty, a także samego kierownika.   Kierownik także nie może być karany.	Bezpośrednia kara pieniężna dla kierownika za dopuszczenie do zadań z zakresu cyberbezpieczeństwa osoby bez wcześniejszej weryfikacji niekaralności.
Podejmowanie kluczowych decyzji i nadzór	Przydzielanie zadań z zakresu cyberbezpieczeństwa, zapewnianie finansowania oraz powołanie wewnętrznych struktur lub wybór dostawcy usług zarządzanych (outsourcing).	Pełna odpowiedzialność kierownika za realizację zadań w podmiocie, nawet w przypadku oddelegowania ich innej osobie lub dostawcy zewnętrznemu. W przypadku poważnych uchybień organ może nałożyć na kierownika zakaz pełnienia funkcji zarządczych (na 14 dni, z opcją przedłużania).