1920x60_ebook_obowiazki_dokumentacyjne_przy_wdrazaniu_ai_w_firmie_x_2025
Włącz wersję kontrastową
Zmień język strony
Włącz wersję kontrastową
Zmień język strony
Prawo.pl

NIS2: Niedopełnianie zasad cyberbezpieczeństwa grozi zakazami

Alicja Szyrner
Michał Majnusz
Prawo europejskie
Cyberbezpieczeństwo
Opinie

Zapewnienie cyberbezpieczeństwa będzie jednym z filarów odpowiedzialności osób zarządzających. Niedopełnianie obowiązków w tym zakresie może grozić zarówno osobistym zakazem pełnienia funkcji kierowniczych, jak i ograniczeniem lub nawet zatrzymaniem działalności operacyjnej – piszą Alicja Szyrner i Michał Majnusz, radcowie prawni z kancelarii Rödl.

NIS2: Niedopełnianie zasad cyberbezpieczeństwa grozi zakazami
Źródło: iStock

Europejska dyrektywa NIS2 miała zostać zaimplementowana do porządków prawnych wszystkich krajów członkowskich do 17 października 2024 r. W Polsce projekt zmiany ustawy o krajowym systemie cyberbezpieczeństwa trafił do prezydenta z prawie półtorarocznym opóźnieniem.

Ustawa wprowadza szereg zmian w obowiązkach z zakresu cyberbezpieczeństwa. Ich naruszenie może grozić nie tylko karami finansowymi, ale również nałożeniem zakazu pełnienia funkcji zarządczych przez osobę, która nie dopełniła wymogów organu nadzorczego do spraw cyberbezpieczeństwa.

W ramach nowych obowiązków, każdy podmiot kluczowy lub ważny będzie zobowiązany do wskazania kierownika odpowiedzialnego za wykonywanie obowiązków w zakresie cyberbezpieczeństwa. W przypadku spółek kapitałowych będzie to oznaczać wyznaczenie członka zarządu do pełnienia tej funkcji, w przypadku spółek osobowych wspólnika prowadzącego sprawy spółki. Ustawa wprowadza przy tym domniemanie, że w przypadku gdy kierownikiem podmiotu kluczowego lub podmiotu ważnego jest organ wieloosobowy i nie została wskazana osoba odpowiedzialna, odpowiedzialność ponoszą wszyscy członkowie tego organu. Warunkiem powołania do pełnienia funkcji kierownika odpowiedzialnego za wykonywanie obowiązków w zakresie cyberbezpieczeństwa w podmiocie kluczowym będzie zatem uprzednia zdolność powołania takiej osoby np. do zarządu spółki kapitałowej lub jako wspólnika w spółce osobowej uprawnionego do prowadzenia spraw spółki.

 

Nowe uprawnienia organów

Organ właściwy do spraw cyberbezpieczeństwa będzie uprawniony do zakazania pełnienia w podmiocie kluczowym funkcji zarządczych przez kierownika podmiotu kluczowego, w przypadku gdy podmiot nie zastosuje się m.in. do:

  • podjęcia określonych czynności dotyczących obsługi incydentu,
  • nakazu zaniechania naruszania przepisów ustawy,
  • zapewnienia zgodności systemu zarządzania bezpieczeństwem informacji,
  • obowiązku zgłaszania poważnego incydentu,
  • obowiązku poinformowania odbiorców świadczonej usługi o poważnym cyberzagrożeniu i możliwych środkach ochronnych lub naprawczych,
  • nakazu wdrożenia zaleceń wydanych w wyniku audytu,
  • obowiązku podania do wiadomości publicznej informacji o naruszeniach ustawy.

Wyjątkiem będzie sytuacja, w której nałożenie zakazu doprowadzi do uniemożliwienia funkcjonowania podmiotu kluczowego, w zakresie w jakim jest niezbędny do usunięcia uchybień lub zaprzestania naruszeń.

Dodatkowo niezastosowanie się do nakazów organów nadzorczych może grozić:

  1. wstrzymaniem lub ograniczeniem zakresu udzielonej koncesji;
  2. wstrzymaniem w całości albo w części działalności podmiotu wpisanego do rejestru działalności regulowanej;
  3. wstrzymaniem zezwolenia na prowadzenie działalności gospodarczej albo ograniczeniem zakresu tego zezwolenia;
  4. wstrzymaniem w całości albo w części działalności podmiotu.

Nowy element weryfikacji osób pełniących funkcje kierownicze

Zgodnie z dotychczasowymi przepisami sąd rejestrowy weryfikuje osoby powoływane do pełnienia funkcji zarządczych pod kątem istnienia zakazów uniemożliwiających ich powołanie na te funkcje w następujących rejestrach:

  • Krajowy Rejestr Karny - w zakresie skazań za przestępstwa wyłączające możliwość pełnienia funkcji kierowniczych;
  • Rejestr Dłużników Niewypłacalnych oraz Krajowy Rejestr Zadłużonych – w zakresie orzeczonych zakazów prowadzenia działalności gospodarczej;
  • Wykaz Komisji Nadzoru Finansowego obejmujący osoby objęte zakazem pełnienia funkcji członka zarządu lub innych funkcji kierowniczych.

Wraz z wejściem w życie nowelizacji, zakres weryfikacji zostanie rozszerzony o nowe rejestry. Będą nimi wykazy prowadzone przez organy właściwe do spraw cyberbezpieczeństwa zawierające dane osób, wobec których wydano postanowienie o zakazie pełnienia w podmiocie kluczowym funkcji zarządczych w związku z naruszeniem przepisów dotyczących cyberbezpieczeństwa.

W praktyce zmiana ta uniemożliwi nie tylko powołanie takiej osoby na członka zarządu, lecz również stanowi podstawę do jej wykreślenia z rejestru handlowego, na co wprost wskazuje uzasadnienie projektu do tej ustawy.

Opisane nowe regulacje potwierdzają, że zapewnienie cyberbezpieczeństwa będzie jednym z filarów odpowiedzialności osób zarządzających. Niedopełnianie obowiązków w tym zakresie może grozić zarówno osobistym zakazem pełnienia funkcji kierowniczych, jak i ograniczeniem lub nawet zatrzymaniem działalności operacyjnej. Z tego względu istotnym jest ustalenie już teraz, czy podmiot podlega pod obowiązki wynikające z NIS2 oraz ustawy o krajowym systemie cyberbezpieczeństwa oraz niezwłoczne wdrożenie wymogów w zakresie systemów teleinformatycznych.

Tylko w podmiotach kluczowych

Tytułem wyjaśnienia należy wskazać, że powyższe zakazy ograniczają się jedynie do możliwości powoływania i pełnienia funkcji zarządczych w podmiotach uznanych za kluczowe. Według naszej oceny istnienie takiego zakazu nie powinno stanowić przeszkody do pełnienia funkcji zarządczych w podmiotach, które nie są podmiotami kluczowymi lub których ustawa o krajowym systemie cyberbezpieczeństwa w ogóle nie obejmuje.

Należy również zaznaczyć, że powyższy zakaz według naszej oceny nie powinien również stanowić przeszkody do powołania takiej osoby do zarządu w tzw. podmiocie ważnym. Przepisy stanowią jedynie o zakazie pełnienia funkcji zarządczych w podmiocie kluczowym, brak natomiast analogicznego zakazu w odmienieniu do pomiotów ważnych. Powstaje zatem pytanie, czy taki zabieg był celowym działaniem ustawodawcy czy może niedopatrzeniem.

 

Alicja Szyrner, radca prawny, Rödl

Alicja Szyrner, radca prawny, Rödl

 

Michał Majnusz, radca prawny, Rödl

Michał Majnusz, radca prawny, Rödl

----------------------------------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.

 

Autorzy:
Alicja Szyrner
Michał Majnusz

Polecamy książki biznesowe

Przejdź do: Ochrona sygnalistów i przeciwdziałanie korupcji w praktyce biznesowej, Bartosz Bacia - otwiera się w nowym oknie
Nowość
10% Rabatu
Sprawdź
Cena promocyjna: 152,09 zł | Cena regularna: 169,00 zł
Najniższa cena w ostatnich 30 dniach: 33,80 zł
Przejdź do: Zakaz prowadzenia działalności gospodarczej. Zagadnienia praktyczne, Aleksandra Machowska - otwiera się w nowym oknie
Nowość
30% Rabatu
Sprawdź
Cena promocyjna: 139,29 zł | Cena regularna: 199,00 zł
Najniższa cena w ostatnich 30 dniach: 199,00 zł
Przejdź do: Zobowiązania w obrocie gospodarczym , Agnieszka Malarewicz-Jakubów - otwiera się w nowym oknie
Nowość
10% Rabatu
Sprawdź
Cena promocyjna: 179,10 zł | Cena regularna: 199,00 zł
Najniższa cena w ostatnich 30 dniach: 139,29 zł
Przejdź do: Instytucje gospodarki rynkowej, Tadeusz Włudyka, Marek Porzycki - otwiera się w nowym oknie
Nowość
10% Rabatu
Sprawdź
Cena promocyjna: 71,11 zł | Cena regularna: 79,00 zł
Najniższa cena w ostatnich 30 dniach: 55,30 zł
Przejdź do: Prawo autorskie. Komentarz, Adrian Niewęgłowski - otwiera się w nowym oknie
Nowość
10% Rabatu
Sprawdź
Cena promocyjna: 323,10 zł | Cena regularna: 359,00 zł
Najniższa cena w ostatnich 30 dniach: 251,30 zł