Technologie jsou neoddělitelnou součástí současné ekonomiky. V IT zařízeních nebo cloudových aplikacích se mnohdy shromažďují údaje o zákaznících, zaměstnancích, ale i obchodní tajemství, jako je třeba design nového produktu. Statutární orgány společností mají tendenci kybernetické hrozby podceňovat a přenášet odpovědnost na svá technologická oddělení nebo externí poskytovatele. To však za určitých podmínek může představovat i porušení péče řádného hospodáře a z toho vyplývající odpovědnosti za škodu.
Marek Poloni, právník v pražské pobočce advokátní kanceláře NoerrJe nutné dbát na to, aby společnosti byly připraveny na rizika, která informační technologie přinášejí. I malá změna v zabezpečení společnosti, zejména zavedení procesů kybernetické bezpečnosti, může pomoci minimalizovat riziko kybernetického útoku, které se teď českým podnikům jeví jako příliš vzdálené.
Jak již bylo zmíněno, statutární orgány společností mají tendenci kybernetické hrozby podceňovat a přenášet odpovědnost dále. To však za určitých podmínek může představovat i porušení péče řádného hospodáře a z toho vyplývající odpovědnosti za škodu. Abychom pochopili, proč tomu tak je, musíme jednoduše definovat rozdíl mezi funkcí (i) kybernetické bezpečnosti a (ii) běžného IT oddělení. V tomto smyslu IT oddělení vytváří hodnoty pro společnost a kybernetická bezpečnost tyto hodnoty chrání. Přenesení odpovědnosti za kybernetickou bezpečnost na IT oddělení by pak bylo stejné jako přenesení auditu účetní závěrky na své finanční oddělení.
Je to přitom právě statutární orgán, který je odpovědný za přijetí nebo zabezpečení dostatečných opatření, včetně případného sjednání pojištění proti kyberútokům a zvolení vhodné strategie ekonomické akceptace určitých rizik. Pokud se tak však nestane, může to vést právě k zmíněnému porušení péče řádného hospodáře. Protože přímé následky kybernetických útoků mohou dosahovat značných ekonomických škod, je uznání problému prvním krokem k jeho řešení. Společnosti mohou například hrozit vysoké pokuty za nedostatečné zabezpečení osobních údajů, nebo třeba krádež know-how či jiných důležitých informací, což může mít velký vliv na konkurenceschopnost společnosti a v konečném důsledku může být takový únik dat pro společnost až likvidační.
Pro určité firmy, kterými jsou například provozovatelé systémů kritické infrastruktury, jako je zdravotnictví, energetika, telekomunikace nebo doprava je minimální standard pro kybernetickou bezpečnost stanoven v zákoně o kybernetické bezpečnosti, přičemž některá opatření jsou konkretizována ve vyhlášce o kybernetické bezpečnosti. Mimo uvedené právní úpravy, která se však naprosté většiny společností nedotýká, neexistuje v právním řádu žádný obecný návod na to, jaké procesy v rámci kyberbezpečnosti zavést a jak tyto procesy nastavit. To však neznamená, že by nebylo třeba se ochranou dat a obecně kybernetickou bezpečností v rámci společnosti zabývat.
Není pravda, že společnosti, které působí v odvětvích kritické infrastruktury, jsou hlavním cílem útoků, naopak útoky jsou často mířené na menší a nezabezpečené společnosti, které se o nich často nedozví a rozhodně je nepublikují. Stále je třeba myslet na to, že aplikovatelné jsou obecné požadavky na zabezpečení určitých informací či dokumentů, a to jak požadavky zákonné, kdy lze jako příklad uvést požadavky na zabezpečení zpracovávaných osobních údajů, tak požadavky vyplývající z obchodních potřeb společnosti, jako je například dostatečná ochrana obchodního tajemství.
Povinností statutárního orgánu je dle českého práva mimo jiné vykonávat svou funkci s potřebnými znalostmi a pečlivostí, tedy vykonávat svou funkci s tzv. péčí řádného hospodáře. Pokud toho není sám schopen, například z důvodu, že nemá dostatečné znalosti v oblasti kybernetické bezpečnosti, je povinen zajistit pomoc kvalifikovaného odborníka. I v případě, kdy jednatel pověří otázkou kyberbezpečnosti jinou osobu (například svého zaměstnance či společnost specializovanou v tomto oboru), stále odpovídá za to, že vybral osobu, která je pro tuto činnost dostatečně kvalifikovaná, že této osobě vytvoří potřebné podmínky pro výkon její činnosti a především za to, že její činnost systematicky kontroluje.
Dalším uvedeným kritériem je povinnost vykonávat funkci s potřebnou pečlivostí. V případě nastavení procesů v oblasti kyberbezpečnosti nemůže jednatel splnit svou povinnost jen tím, že zavede několik vágních opatření, jako například nutnost měnit si co čtvrt roku heslo. Naopak, jednatel musí procesy nastavit tak, aby byly dostatečné s přihlédnutím ke specifikům dané společnosti. Také je třeba počítat s tím, že technologie se neustále vyvíjí, tudíž by jednatel měl v průběhu času nastavené procesy pravidelně aktualizovat. Jen stěží si lze představit, že to, co bylo před 10 lety vrcholem techniky, bude dnes v oblasti kybernetického zabezpečení považováno alespoň za minimální standard. Jednatel je povinen zajistit nejen nastavení těchto procesů, ale zároveň dostatečně vyškolit své zaměstnance a kontrolovat dodržování nastavených procesů. Jak bylo výše řečeno, není zcela vhodné tímto pověřit jenom své IT oddělení, naopak jako nejvhodnější řešení se jeví školení externími konzultanty.
V případě, kdy jednatel bezpečnostní rizika podcení a z toho důvodu vznikne společnosti škoda, je primárně povinen tuto škodu společnosti nahradit. Pokud tuto škodu nenahradí, ručí věřitelům této společnosti v rozsahu způsobené škody v případě, kdy se věřitel nemůže domoci plnění na společnosti, což by mohlo mít důsledky například i v insolvenčním řízení. Navíc je jednatel povinen vydat společnosti veškerý případný prospěch, který v souvislosti s tímto porušením nabyl.
Mimo finančních postihů hrozí jednateli i odvolání valnou hromadou. Valná hromada totiž ze zákona může jednatele odvolat kdykoliv, a to dokonce bez udání důvodu. V případě, kdy jednatel navíc opakovaně a závažně porušuje svou povinnost péče řádného hospodáře, může soud rozhodnout o tzv. diskvalifikaci. To znamená, že tento jednatel nesmí následně po dobu 3 let působit jako člen statutárního orgánu jakékoliv obchodní korporace nebo být osobou v obdobném postavení.
Jednatelům lze tedy jen doporučit dbát na dostatečné zabezpečení proti kybernetickým útokům a obdobným rizikům v oblasti kyberprostoru. Vzhledem k možným škodám, které tyto útoky mohou způsobit, není vhodné toto zabezpečení učinit jen formálně, ale je potřeba společnost na takovéto útoky důsledně připravit, neboť lze očekávat, že se jejich frekvence a sofistikovanost bude zvyšovat. To, že společnost na kybernetické útoky připravena nebude, se totiž může vymstít nejen jí, ale i jednateli, který dostatečné zabezpečení nezajistil. K tomu je například vhodné zvolit audit prostřednictvím technologického due diligence, tedy určitý přezkum správy, procesů a kontrol, které se používají k zabezpečení informačních aktiv a zmírnění rizik.
Marek Poloni, právník v pražské pobočce advokátní kanceláře Noerr
