Глоби по ЗКС и личната отговорност на управителния съвет: какво грози директорите и кои 5 решения ги защитават
Alexander Sverdlov
Анализатор по сигурността
Най-важното накратко
- Глобата по Закона за киберсигурност се налага на компанията: до 19,56 млн лв (10 млн евро) или 2% от световния годишен оборот за съществените субекти, до 13,69 млн лв (7 млн евро) или 1,4% за важните - прилага се по-голямата от двете стойности
- Личната отговорност на членовете на УС е отделен риск от фирмената глоба. Рамката изисква ръководството лично да одобри мерките за управление на риска, да следи изпълнението им и допуска то да носи отговорност за нарушения
- За съществените субекти регулаторът може да поиска временно отстраняване на изпълнителния директор или законния представител от управленски функции, докато пропуските не бъдат отстранени. Тази мярка не се прилага за важните субекти
- Личната експозиция тече по три канала: регресен иск на дружеството срещу небрежния директор по Търговския закон, временна забрана за управление, и публично оповестяване на нарушението
- Пет документирани решения на УС изграждат защитата „разумна грижа": формално одобрение на мерките, назначен отговорник с бюджет, обучение на УС, тримесечен преглед в дневния ред, и одитна следа на решенията
- D&O застраховката обикновено покрива разходите за правна защита и разследване, но не и самата административна глоба, нито отстраняването от длъжност. D&O не е cyber полица - двете покриват различни рискове
Преди около месец ми се обади председател на управителен съвет на средно голяма компания - производител с малко над 200 души и собствен онлайн канал за продажби. Юристите им бяха предали отчет за готовността по новия Закон за киберсигурност и заключението беше ясно: компанията попада в обхвата, има пропуски, има срок. Той беше прочел отчета внимателно. Въпросът му обаче не беше „колко ще струва" и не беше „колко време имаме".
Въпросът му беше: „Ако нещо се обърка - инцидент, проверка, нещо непокрито - какво грози лично мен и колегите ми от съвета? Аз не съм ИТ човек. Не съм писал нито един ред от тези политики. Защо изобщо това опира до моето име?"
Това е правилният въпрос и почти никой от УС не го задава навреме. Повечето ръководства третират киберсигурността като оперативен проблем, който се възлага надолу - на ИТ директора, на външен доставчик, на консултант. Новата регулаторна рамка обаче направи нещо, което GDPR не направи така директно: тя постави членовете на управителния орган в персоналната рискова зона. Този материал е дългият отговор, който дадох на онзи председател. Без правни абстракции - с числа, с механизъм, и с конкретен списък решения.
Раздел 1
Размерът на глобите - какво рискува компанията
Започваме с фирмената санкция, защото тя е по-лесна за обяснение и защото повечето хора в УС вече имат груба представа за нея. Законът за киберсигурност транспонира европейската рамка NIS2 и възприема нейната санкционна логика. Тя разделя задължените организации на две категории - съществени и важни субекти - и определя различни максимуми за всяка.
За съществените субекти максималната имуществена санкция е по-голямата от две стойности: 10 млн евро (около 19,56 млн лв по фиксирания курс) или 2% от общия световен годишен оборот за предходната финансова година. За важните субекти максимумът е по-голямата от 7 млн евро (около 13,69 млн лв) или 1,4% от световния оборот.
Има три практически уточнения, които членовете на УС трябва да разбират за тези числа. Първо - оборотът се изчислява на ниво група, а не само за българското дружество. Ако сте част от международна група, процентният компонент може да е драматично по-висок от фиксираната сума в евро. Второ - това са максимуми, не автоматични санкции. Реалният размер зависи от тежестта, продължителността, дали нарушението е умишлено или поради небрежност, дали има предходни нарушения, и - важно - дали ръководството е съдействало. Трето - освен еднократната глоба регулаторът разполага и с периодични имуществени санкции: повтарящо се плащане за всеки ден неизпълнение, което е инструмент за принуда, а не за наказание.
Дотук всичко това е загуба за компанията - удар по баланса, по паричния поток, по репутацията. Тежък, но корпоративен. Истинската причина този материал да съществува е следващото изречение: фирмената глоба не е краят на историята за хората около масата на УС. Тя често е само началото.
Раздел 2
Фирмена срещу лична отговорност - две различни неща
Най-честото неразбиране в залата на УС е допускането, че „глобата я плаща компанията, значи това е разход на компанията". Това е вярно за самата глоба. Но регулаторната рамка съдържа отделен слой, който се отнася лично до членовете на управителния орган. Чл. 20 от рамката формулира три задължения, които не могат да бъдат делегирани надолу: управителният орган трябва да одобри мерките за управление на риска от киберсигурност, да следи тяхното изпълнение, и носи отговорност при нарушения на изискванията от страна на субекта.
Обърнете внимание на глаголите. Не „да бъде информиран". Не „да възложи". Да одобри и да следи. Това е целенасочен законодателен избор - същият, който в корпоративното право се нарича задължение за надзор. Регулаторът иска от управителния орган не да пише конфигурации, а да упражнява реален, документиран надзор върху функцията по сигурност. Когато този надзор липсва или е формален, се отваря личната врата.
Десният стълб заслужава по-подробно обяснение, защото точно той изненадва ръководствата. Първият канал - регресният иск - не идва от регулатора, а от самата компания или от нейните акционери. Българският Търговски закон изисква управителите и членовете на съветите да полагат грижата на добър търговец и ги прави отговорни за вредите, които причиняват на дружеството с действие или бездействие. Ако глоба от 5 млн лв е резултат от това, че УС години наред е игнорирал предупрежденията на ИТ отдела, нов мажоритарен собственик, синдик или група акционери може да предяви иск тези вреди да бъдат възстановени от хората, които са ги допуснали.
Вторият канал - временното отстраняване - е чисто регулаторен и е новост в сравнение с GDPR. Третият - публичното оповестяване - често се подценява, но за хора, чиято професионална стойност зависи от репутацията им като ръководители, той може да е по-скъп от всяка глоба. Следващият раздел проследява точния механизъм, по който проверката стига до тези три последствия.
Раздел 3
Кога отговорността става лична - механизмът стъпка по стъпка
Личната отговорност не се „включва" в деня на инцидента. Тя е краят на верига от събития, всяко от които дава на компанията възможност да слезе от ескалацията. Разбирането на тази верига е важно, защото показва точно къде УС има контрол - и къде вече няма.
Стъпки 1 до 4 са изцяло корпоративни. Инцидент или подаден сигнал води до проверка. Проверката може да установи нарушение на мерките по чл. 21 и да издаде предписание с конкретен срок за отстраняване. Ако компанията изпълни предписанието в срока - веригата спира тук. Това е ключовото съобщение към всеки УС: предписанието е спасителна линия, не присъда. Огромната част от проверките никога не стигат до личния слой, защото компаниите изпълняват предписанията.
Стъпка 5 е мястото, където нещата стават лични - и тя се прилага само за съществените субекти. Когато съществен субект упорито не изпълнява и след санкция, регулаторът може да поиска от компетентен орган или съд временно да забрани на физическо лице, упражняващо ръководни функции на ниво изпълнителен директор или законен представител, да изпълнява управленски функции в този субект. Това не е доживотна забрана - тя действа, докато пропуските не бъдат отстранени. Но докато действа, тя на практика отстранява конкретния човек от поста му. Важно уточнение за пълнота: тази мярка за отстраняване на ръководството не се прилага за важните субекти - за тях рамката предвижда санкции, но не и забрана за управление.
Стъпка 6 комбинира публичното оповестяване - регулаторът може да направи публично достояние факта на нарушението и кой го е извършил - с гражданско-правната експозиция: регресния иск по Търговския закон и евентуални искове от акционери или инвеститори, които твърдят, че небрежността на УС им е причинила вреди. Тук е важно да се разбере, че стъпка 6 не изисква разрешение от регулатора - тя може да дойде от напълно частни страни, които просто използват констатациите на регулатора като готово доказателство.
Практическият извод: личната отговорност почти никога е изненада. Тя е резултат от пропуснати сигнали - предупреждение от ИТ отдела, което не е стигнало до УС; предписание, което е останало без бюджет; срок, който е изтекъл, защото никой в съвета не го е проследил. Контролът на УС е реален и той е по цялата зелена зона. Загубва се едва когато съветът превърне надзора във формалност.
Раздел 4
Прецеденти и ранни сигнали от ЕС
Тук дължа честност. NIS2 е сравнително нова рамка и санкционната практика именно по нея тепърва се натрупва из Европа. Няма дълъг списък от публично известни глоби с имена на компании, който да цитирам като завършена съдебна практика. Това обаче не означава, че липсват сигнали за това как регулаторите ще третират отговорността на ръководството. Има три надеждни източника на такива сигнали.
За да са полезни, по-долу обобщавам четири представителни случая. Те са композитни - изградени са от модели, които виждаме многократно в европейската надзорна практика и в собствените ни ангажименти, а не описват конкретно публично производство. Целта им е да покажат повтарящите се грешки, а не да назовават компании.
Представителен случай 1 - предупреждението, което не стигна до масата
ИТ отделът на производствена компания докладва три пъти за период от две години, че бекъпите не се тестват и че критични системи са без многофакторно удостоверяване. Докладите остават на ниво ИТ директор. Управителният съвет никога не ги вижда. След инцидент проверката установява, че липсата на надзор е документирана в собствените имейли на компанията. Поуката: вътрешното предупреждение, което не достига до УС, се превръща в доказателство срещу УС.
Представителен случай 2 - политиката без подпис и без дата
Компания представя при проверка пълен комплект политики за сигурност. Те обаче нямат протокол за одобрение от управителния орган, нямат дата на влизане в сила и никой от УС не може да опише съдържанието им. Регулаторът ги третира като несъществуващи за целите на чл. 20. Поуката: за управленския надзор формата на доказателството е равностойна на съдържанието - протокол, дата, подпис.
Представителен случай 3 - „възложихме го на доставчика"
Ръководството заявява, че киберсигурността е изцяло поверена на външен доставчик на управлявани услуги. При проверката се оказва, че договорът не съдържа измерими изисквания, няма отчетност към УС и никой в компанията не следи дали доставчикът върши уговореното. Поуката: изпълнението може да се възложи, но надзорът и отговорността остават при управителния орган.
Представителен случай 4 - грижата, която проработи
Компания преживява сериозен инцидент, но представя протоколи от УС с тримесечни прегледи на риска, одобрен бюджет, доказателство за обучение на членовете на съвета и проследени корективни действия. Регулаторът налага санкция на компанията заради самия инцидент, но изрично отбелязва документираната грижа на ръководството като смекчаващо обстоятелство и не предприема лични мерки. Поуката: грижата не предотвратява всеки инцидент, но последователно отделя фирмената санкция от личните последствия.
Общата нишка през четирите случая е проста и тя ще се потвърждава с всяка следваща година надзорна практика: регулаторите и съдилищата не съдят управителния съвет за това, че е станал инцидент. Съдят го за това дали е упражнявал надзор - и единственото доказателство за надзор е писмената следа. Точно тази следа изграждаме в следващия раздел.
Раздел 5
Петте решения на УС, които ви защитават
Защитата на члена на УС не е юридически трик и не е застрахователен продукт. Тя е концепцията за разумна грижа: ако сте действали като разумен и добросъвестен ръководител, упражнявали сте реален надзор и това е документирано - личната отговорност става трудна за установяване, дори когато компанията бъде санкционирана. Долните пет решения изграждат точно тази документирана грижа. Всяко от тях е решение, което УС взема и протоколира - не задача, която се възлага надолу.
Решение 1 - Формално одобрение на мерките с протокол на УС
Какво е: управителният съвет разглежда и с протоколирано решение одобрява пакета мерки за управление на риска от киберсигурност - политиките, плана за реакция при инциденти, оценката на риска и пътната карта. Това не е едно изречение в протокола, а отделна точка с приложен документ.
Защо ви защитава: чл. 20 изисква изрично управителният орган да одобри мерките. Протоколът с дата е прякото доказателство, че сте изпълнили това лично задължение. Без него регулаторът приема, че одобрение няма - независимо колко добри са политиките.
Артефакт: протокол от заседание на УС с приложен пакет мерки, дата и поименно гласуване.
Решение 2 - Назначен собственик на функцията по сигурност и реален бюджет
Какво е: УС назначава конкретно лице, отговорно за киберсигурността - вътрешен ръководител по сигурността или виртуален CISO - и му гласува бюджет, съответен на риска. Решението посочва на кого се отчита този човек и колко често.
Защо ви защитава: то превръща абстрактния надзор в проследима линия на отчетност. Назначен отговорник плюс гласуван бюджет премахва най-честия упрек към ръководствата - че са знаели за риска, но не са осигурили нито човек, нито средства за справяне с него.
Артефакт: решение за назначаване, длъжностна характеристика или договор за vCISO, одобрен бюджетен ред.
Решение 3 - Документирано обучение на членовете на УС
Какво е: членовете на управителния орган преминават обучение по киберсигурност, което им позволява да разбират и оценяват рисковете и практиките за управлението им. Не става дума за технически курс, а за управленско обучение - 2 до 4 часа, веднъж годишно.
Защо ви защитава: рамката изрично изисква това обучение от управленския орган. То също неутрализира защитната реплика, която всъщност работи срещу вас - „аз не съм ИТ човек". Регулаторът не очаква от УС да е технически, но очаква да е обучен достатъчно, за да упражнява надзор.
Артефакт: присъствен лист, програма на обучението, сертификати или вътрешен запис с дата.
Решение 4 - Киберсигурността като постоянна точка в дневния ред
Какво е: поне веднъж на тримесечие УС разглежда състоянието на киберсигурността като отделна точка - ключови показатели, открити инциденти, статус на корективните действия, нови рискове. Прегледът се протоколира с конкретни решения и срокове.
Защо ви защитава: това е същинският „надзор" по чл. 20. Еднократното одобрение от Решение 1 показва, че сте започнали; тримесечният преглед показва, че следите. Веригата от протоколи прави почти невъзможно да се твърди, че УС е игнорирал темата.
Артефакт: тримесечни протоколи на УС с раздел „Киберсигурност" и проследени решения.
Решение 5 - Одитна следа на решенията и независим външен преглед
Какво е: УС поддържа регистър на решенията си по сигурността - какво е решено, кога, на каква база - и веднъж годишно възлага независим външен преглед на готовността, чийто доклад също се внася в съвета.
Защо ви защитава: регистърът превръща разпръснатите протоколи в свързан разказ за грижа. Независимият преглед добавя най-силния елемент - доказателство, че УС е търсил обективна, външна оценка, а не се е осланял единствено на вътрешни уверения. Това е точно поведението на „добрия търговец" по Търговския закон.
Артефакт: регистър на решенията на УС, годишен доклад от външен преглед, внесен в съвета.
Цената на тези пет решения е изненадващо ниска в сравнение с риска, който покриват. Четири от тях не струват почти нищо извън времето на УС - те са дисциплина на заседанията, а не разход. Петото - назначеният отговорник и независимият преглед - струва пари, но това са разходи, които компанията така или иначе прави, за да изпълни самия закон. Разликата е, че когато са протоколирани правилно, същите тези разходи се превръщат и в личната ви защита.
Раздел 6
Покрива ли D&O застраховката глоби по ЗКС?
Почти всеки УС, с когото говорим по тази тема, на някакъв етап казва: „Имаме D&O застраховка, значи сме покрити." Това заслужава внимателен отговор, защото е едновременно вярно и подвеждащо. D&O полицата (Directors and Officers - застраховка за отговорност на директори и ръководители) наистина е полезна, но тя покрива тесен и специфичен кръг рискове - не всичко, което се случва при регулаторно производство.
Най-важното, което УС трябва да отнесе от тази таблица, са три неща. Първо - самата глоба обикновено не е застраховаема. В повечето юрисдикции в ЕС застраховането на административни и наказателни санкции противоречи на самата цел на санкцията и на обществения ред: ако глобата може да бъде прехвърлена на застраховател, тя губи възпиращия си ефект. Полицата може да поеме разходите за защита около производството, но не и наказателното плащане.
Второ - временното отстраняване от управление изобщо не е застраховаемо. То не е парична загуба, която може да се компенсира - то е персонална мярка срещу конкретния човек. Никоя полица не може да ви върне поста.
Трето - и това е честа и скъпа грешка - D&O полицата не е cyber полица. D&O защитава ръководителите срещу искове, свързани с начина, по който управляват. Cyber полицата покрива разходите на компанията след инцидент - възстановяване, разследване, нотификации, евентуален откуп, прекъсване на дейността. Компания, която има D&O, но няма cyber покритие, ще открие след инцидент, че най-голямата сметка - тази за възстановяването - не е покрита от нищо. Двете полици са допълващи се, не взаимозаменяеми.
Изводът не е „D&O е безполезна" - тя е ценна за разходите по защита и за гражданските искове, и всеки УС в обхвата на закона трябва да я преразгледа сериозно. Изводът е, че застраховката е последната линия, а не първата. Тя смекчава цената на проблема, след като той вече е възникнал. Петте решения от предходния раздел работят по-рано - те правят проблемът по-малко вероятен и личната отговорност по-трудна за установяване. Разумният УС използва и двете, но инвестира първо в решенията.
Един последен поглед за залата на УС
Председателят, с когото започнах този материал, в края на разговора зададе още един въпрос: „Значи трябва да станем експерти по киберсигурност?" Не. Регулаторът не очаква това и никога не го е очаквал. Очаква нещо много по-постижимо - управителният съвет да се отнася към киберсигурността по същия начин, по който вече се отнася към финансите: одобрява план, назначава отговорник, иска редовни отчети, проверява ги, и веднъж годишно търси независима външна оценка.
Разликата между УС, който носи лична експозиция, и УС, който е защитен, не е в техническите познания. Тя е в това дали надзорът е реален и документиран, или формален и устен. Първата година от съответствието е моментът тази дисциплина да се вгради в работата на съвета. След това тя става това, което винаги е трябвало да бъде - нормална част от управлението, а не извънредна реакция на проверка.
Често задавани
Въпросите, които чуваме от членове на управителни съвети
1. Аз съм неизпълнителен член на УС. Нося ли същата отговорност като изпълнителния директор?
Задължението за надзор по чл. 20 е на управителния орган като цяло, така че неизпълнителните членове също имат роля - те участват в одобряването на мерките и в техния преглед. Има обаче една важна разлика: мярката за временно отстраняване от управление е насочена към лица, упражняващи ръководни функции на ниво изпълнителен директор или законен представител. Неизпълнителните членове по-рядко попадат в обхвата ѝ. Това не премахва общата им отговорност за надзора и не ги предпазва от регресен иск, ако са одобрили или допуснали небрежност. Най-добрата защита е една и съща за всички: документирано участие в прегледите.
2. Може ли регулаторът наистина да ми забрани да управлявам компанията?
За съществените субекти - да, това правомощие съществува. Регулаторът може да поиска от компетентен орган или съд временно да забрани на лице на ниво изпълнителен директор или законен представител да изпълнява управленски функции в субекта. Важни уточнения: мярката е временна и действа само докато пропуските не бъдат отстранени; прилага се при упорито неизпълнение, не при първи пропуск; и не се отнася за важните субекти. Тя е крайна точка на ескалацията, не рутинна санкция - но е реална и затова заслужава вниманието на всеки УС на съществен субект.
3. Глобата се налага на компанията. Защо изобщо да се притеснявам лично?
Защото фирмената глоба и личната експозиция са две различни неща. Глобата е разход за дружеството. Но същата констатация на регулатора може да послужи като готово доказателство за регресен иск - дружеството, нов собственик или акционери да поискат вредите да бъдат възстановени лично от членовете на УС, ако те се дължат на нарушено задължение за грижа. Към това се добавят възможното публично оповестяване и, за съществените субекти, отстраняването от длъжност. Тоест плащането на глобата от компанията не затваря личния въпрос - то понякога го отваря.
4. Имаме външен ИТ доставчик. Прехвърля ли се отговорността към него?
Не. Можете да възложите изпълнението - доставчик да настройва системите, да следи за инциденти, да поддържа контролите. Но задължението за надзор и отговорността по чл. 20 остават при управителния орган и не могат да се прехвърлят с договор. Регулаторът няма да приеме „възложихме го на доставчика" като защита. Това, което доставчикът може да направи за вашата защита, е да доставя редовна, измерима отчетност към УС - така че да имате доказателство, че сте следили работата му. Договор без отчетност към съвета е риск, не защита.
5. Какво точно е „разумна грижа" и как я доказвам?
Разумна грижа означава, че сте действали като добросъвестен и внимателен ръководител - информирали сте се за риска, осигурили сте ресурс за управлението му и сте упражнявали реален надзор. Тя не изисква да предотвратите всеки инцидент; изисква да сте се отнесли отговорно. Доказва се само с писмена следа: протоколи на УС с одобрение на мерките и тримесечни прегледи, решение за назначен отговорник и бюджет, запис за обучението на съвета, регистър на решенията и доклад от независим външен преглед. Устните уверения, че „темата е следена", нямат доказателствена стойност. Това са точно петте решения от Раздел 5.
6. D&O полицата ни покрива ли глоба по Закона за киберсигурност?
Обикновено не покрива самата глоба. В повечето юрисдикции в ЕС застраховането на административни санкции противоречи на обществения ред, защото би обезсмислило възпиращия ефект на санкцията. D&O полицата обикновено покрива разходите за правна защита и гражданските искове срещу директорите, а често - чрез разширение - и разходите по регулаторно разследване. Не покрива наказателното плащане и не покрива отстраняването от длъжност. Освен това D&O не е cyber полица - разходите на компанията за възстановяване след инцидент са предмет на отделно cyber покритие. Преразгледайте и двете полици с брокер и проверете точните формулировки.
Управителният съвет не може да делегира отговорността. Може да я управлява.
Нашата услуга „виртуален CISO" дава на УС точно това, което рамката изисква: назначен отговорник за сигурността, който подготвя мерките за вашето одобрение, води тримесечните прегледи, осигурява обучението на съвета и поддържа одитната следа, която изгражда защитата „разумна грижа". Започваме с преглед на текущата лична експозиция на ръководството и конкретен план за нейното намаляване.
Заявете преглед за отговорността на ръководствотоПърва 30-минутна консултация без задължение. Алтернативно - вижте ИТ одита за съответствие, ако ви трябва първо обективна картина на текущото състояние.
Александър Свердлов
Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.