Piotr Rybicki
Krajowy System Cyberbezpieczeństwa (KSC) w istotny sposób rozszerza zakres odpowiedzialności organów spółek w obszarze bezpieczeństwa informacji, obejmując nie tylko zarząd, ale również radę nadzorczą. Wraz z implementacją dyrektywy NIS2 oraz ustawy o KSC cyberbezpieczeństwo przestaje być wyłącznie zagadnieniem technicznym, a staje się elementem nadzoru korporacyjnego i systemu zarządzania ryzykiem na poziomie strategicznym organizacji.
Z perspektywy obowiązków wynikających z KSC zarząd odpowiada przede wszystkim za operacyjne wdrożenie systemu zarządzania cyberbezpieczeństwem, natomiast rada nadzorcza pełni funkcję nadzorczą i kontrolną w zakresie adekwatności przyjętych rozwiązań, skuteczności systemów bezpieczeństwa oraz zarządzania ryzykiem cyfrowym.
Odpowiedzialność zarządu w obszarze KSC
Do kluczowych zadań zarządu w obszarze cyberbezpieczeństwa należą w szczególności:
1. Zapewnienie wdrożenia systemu zarządzania cyberbezpieczeństwem
Zarząd odpowiada za opracowanie i wdrożenie polityk bezpieczeństwa informacji, procedur zarządzania incydentami, zasad kontroli dostępu, planów ciągłości działania oraz procedur odtwarzania systemów po awarii. Dokumentacja ta powinna funkcjonować realnie w organizacji, a nie jedynie formalnie.
2. Identyfikacja i analiza ryzyk cyberbezpieczeństwa
Do obowiązków zarządu należy zapewnienie regularnej identyfikacji zagrożeń oraz przeprowadzania analiz ryzyka dotyczących systemów informacyjnych wykorzystywanych do realizacji usług kluczowych lub działalności podstawowej jednostki. Wyniki tych analiz powinny wpływać na decyzje inwestycyjne oraz organizacyjne.
3. Zapewnienie odpowiednich zasobów organizacyjnych i finansowych
Cyberbezpieczeństwo wymaga odpowiednich nakładów finansowych i kadrowych. Zarząd odpowiada za zapewnienie środków na rozwój infrastruktury IT, wdrażanie zabezpieczeń, audyty bezpieczeństwa oraz podnoszenie kompetencji pracowników.
4. Nadzór nad obsługą incydentów bezpieczeństwa
Jednym z podstawowych obowiązków wynikających z KSC jest zdolność do wykrywania, klasyfikowania, rejestrowania i zgłaszania incydentów do właściwych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT). Zarząd powinien zapewnić sprawne funkcjonowanie procedur reagowania na incydenty.
5. Zapewnienie systemu szkoleń i budowanie świadomości pracowników
Istotnym elementem systemu cyberbezpieczeństwa jest edukacja pracowników. Zarząd odpowiada za organizację szkoleń zwiększających świadomość zagrożeń oraz znajomość procedur bezpieczeństwa.
6. Nadzór nad zgodnością z przepisami prawa
Zarząd odpowiada za zapewnienie zgodności organizacji z wymaganiami ustawy o KSC, aktami wykonawczymi oraz standardami zarządzania bezpieczeństwem informacji, w tym poprzez organizowanie audytów wewnętrznych i zewnętrznych.
7. Nadzór nad bezpieczeństwem łańcucha dostaw
Coraz większe znaczenie ma bezpieczeństwo dostawców usług IT oraz podmiotów przetwarzających dane. Zarząd odpowiada za wdrożenie mechanizmów kontroli bezpieczeństwa relacji z podmiotami zewnętrznymi.
Odpowiedzialność rady nadzorczej w obszarze KSC
Rola rady nadzorczej w obszarze cyberbezpieczeństwa systematycznie rośnie. Wynika to zarówno z przepisów prawa, jak i standardów ładu korporacyjnego oraz oczekiwań regulatorów i interesariuszy. W szczególności dotyczy to nadzoru nad systemem zarządzania ryzykiem, którego integralnym elementem staje się ryzyko cybernetyczne.
Do kluczowych zadań rady nadzorczej należą:
1. Nadzór nad systemem zarządzania ryzykiem cyberbezpieczeństwa
Rada nadzorcza powinna monitorować, czy zarząd identyfikuje ryzyka cybernetyczne w sposób systemowy oraz czy wdrożone mechanizmy kontrolne są adekwatne do skali działalności jednostki.
2. Ocena skuteczności systemu zarządzania cyberbezpieczeństwem
Rada nadzorcza powinna analizować raporty dotyczące incydentów bezpieczeństwa, wyników audytów IT oraz testów odporności systemów informacyjnych, a także oceniać skuteczność wdrożonych zabezpieczeń.
3. Monitorowanie zgodności organizacji z przepisami KSC
Do zadań rady nadzorczej należy kontrola, czy organizacja realizuje obowiązki wynikające z przepisów ustawy o KSC oraz regulacji wykonawczych, w tym obowiązki raportowe i organizacyjne.
4. Nadzór nad zapewnieniem zasobów na cyberbezpieczeństwo
Rada nadzorcza powinna oceniać, czy zarząd przeznacza odpowiednie środki finansowe i organizacyjne na zapewnienie właściwego poziomu bezpieczeństwa systemów informacyjnych.
5. Weryfikacja funkcjonowania systemu kontroli wewnętrznej
Cyberbezpieczeństwo stanowi element systemu kontroli wewnętrznej. Rada nadzorcza powinna oceniać skuteczność mechanizmów kontrolnych w tym obszarze, w tym funkcjonowanie audytu wewnętrznego.
6. Nadzór nad raportowaniem cyberbezpieczeństwa do organów spółki
Rada nadzorcza powinna oczekiwać od zarządu regularnych raportów dotyczących poziomu cyberbezpieczeństwa, istotnych incydentów oraz planowanych działań naprawczych.
7. Podnoszenie kompetencji własnych w obszarze cyberbezpieczeństwa
Coraz częściej podkreśla się konieczność posiadania przez członków rady nadzorczej kompetencji umożliwiających realną ocenę ryzyk cyfrowych. W praktyce oznacza to udział w szkoleniach oraz korzystanie z opinii ekspertów zewnętrznych.
Odpowiedzialność organów spółki w świetle nowych regulacji
Wraz z wdrażaniem regulacji wynikających z dyrektywy NIS2 odpowiedzialność organów spółki w obszarze cyberbezpieczeństwa ulega dalszemu wzmocnieniu. Oczekuje się nie tylko formalnego wdrożenia procedur bezpieczeństwa, lecz także realnego nadzoru nad ich skutecznością. Dotyczy to zarówno zarządu, który odpowiada za organizację systemu cyberbezpieczeństwa, jak i rady nadzorczej, która odpowiada za ocenę jego adekwatności i efektywności.
W praktyce oznacza to, że cyberbezpieczeństwo staje się jednym z kluczowych elementów należytej staranności organów spółki. Brak właściwego nadzoru nad tym obszarem może skutkować odpowiedzialnością administracyjną jednostki, odpowiedzialnością odszkodowawczą wobec spółki, a w określonych przypadkach również odpowiedzialnością indywidualną członków organów za nienależyte wykonywanie obowiązków nadzorczych i zarządczych.
/Zdjęcie AI/
