Zarząd ubezpieczony? Po cyberataku to może nie wystarczyć (ROZMOWA INFOR.PL)

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wdrażająca unijną dyrektywę NIS2, weszła w życie z początkiem kwietnia 2026 r. Dla tysięcy firm uznanych za „kluczowe” lub „ważne” oznacza to nowy reżim obowiązków – od samoidentyfikacji i wpisu do wykazu, przez wdrożenie systemu zarządzania bezpieczeństwem informacji, po obowiązkowe szkolenia kadry zarządzającej.

Najistotniejsza zmiana dotyczy jednak nie tyle samych procedur, ile rozłożenia odpowiedzialności. Ustawa wprost wiąże wykonywanie obowiązków z zakresu cyberbezpieczeństwa z osobą kierownika podmiotu, a w przypadku zarządów wieloosobowych – ze wszystkimi członkami, jeśli nie wskazano konkretnej osoby. W tle pojawia się sankcja sięgająca trzykrotności wynagrodzenia menedżera oraz w podmiotach kluczowych możliwość czasowego zakazu pełnienia funkcji.

W tej sytuacji naturalnym odruchem zarządów jest pytanie o ochronę ubezpieczeniową. Chodzi przede wszystkim o polisy D&O (Directors and Officers), czyli ubezpieczenia odpowiedzialności członków władz spółki – zarządu i rady nadzorczej. Czy taka polisa zadziała przy incydencie cybernetycznym? Co odróżnia ją od cyberpolisy i gdzie między nimi powstają luki?

Koniec teorii o odpowiedzialności zarządu

Czy po wdrożeniu NIS2 i nowelizacji KSC odpowiedzialność członków zarządu za cyberbezpieczeństwo przestaje być teoretyczna?

Z całą pewnością nie jest to już wyłącznie odpowiedzialność teoretyczna. KSC wprost mówi o odpowiedzialności kierownika podmiotu za wykonywanie obowiązków z zakresu cyberbezpieczeństwa. Chodzi m.in. o uzupełnianie danych w wykazie prowadzonym przez ministra ds. informatyzacji, złożenie wniosku o wpis oraz wdrożenie systemu zarządzania bezpieczeństwem informacji. Ponadto, w przypadku, gdy kierownikiem jest organ wieloosobowy (jak to ma miejsce w odniesieniu do spółek posiadających kilkuosobowy zarząd), a nie została wskazana konkretna osoba odpowiedzialna, odpowiedzialność ponoszą wszyscy członkowie tego organu (zarządu).

Jednocześnie, KSC wyznacza konkretne dodatkowe obowiązki kierownikowi podmiotów objętych ustawą (ważnych i kluczowych). Podejmuje on decyzje w zakresie operowania (wdrażania, stosowania, przeglądu i nadzoru) systemu zarządzania bezpieczeństwa informacji w podmiocie, planuje wydatki na realizację obowiązków z zakresu cyberbezpieczeństwa oraz zapewnia, że personel podmiotu jest świadomy obowiązków i zna wewnętrzne regulacje z zakresu cyberbezpieczeństwa, a sam podmiot działa zgodnie z przepisami prawa i wewnętrznymi regulacjami. Kierownik ma, ponadto, obowiązek raz do roku brać udział w udokumentowanym szkoleniu obejmującym wykonywanie przez niego obowiązków związanych z cyberbezpieczeństwem.

Za niewykonywanie ustawowych obowiązków, na kierownika może zostać nałożona kara pieniężna w wysokości do 300% otrzymywanego przez niego wynagrodzenia (100% w przypadku podmiotów publicznych). Dodatkowo, w przypadku podmiotów kluczowych, organ nadzorczy może również wydać decyzję o czasowym zakazie pełnienia funkcji przez kierownika.

Ryzyko, które już się materializuje

Czy znają Państwo przypadki — w Polsce albo w UE — w których członkowie zarządu rzeczywiście ponosili osobistą odpowiedzialność za uchybienia spółki w obszarze cyberbezpieczeństwa, ochrony danych, compliance lub nadzoru organizacyjnego? Chodzi nie tylko o prawomocne wyroki, ale też o postępowania regulacyjne, ugody, roszczenia akcjonariuszy, odwołania menedżerów, regresy spółki wobec członków zarządu albo spory z ubezpieczycielami. Czy w praktyce takie ryzyko już się materializuje, czy pozostaje głównie argumentem doradczym?

Oczywiście są już takie sytuacje. W Polsce dotyczą one dziś głównie ochrony danych i compliance/AML. Sprawy stricte cyberbezpieczeństwa dopiero będą się pojawiać wraz z praktycznym stosowaniem NIS2. NIS2 jest jeszcze stosunkowo nową regulacją, która w wielu państwach nie została jeszcze albo dopiero niedawno została implementowana (np. Polska).

Żeby jakoś poprzeć to twierdzenie - w 2024 r. Wyższy Sąd Krajowy w Monachium odwołał członka zarządu niemieckiej spółki, który przez kilka miesięcy systematycznie przekazywał wewnętrzną korespondencję służbową na swój prywatny adres e-mail, dodając go w polu „DW” (CC). Wiadomości te zawierały dane osobowe oraz poufne informacje dotyczące spółki i osób trzecich, w tym zapytanie banku w ramach przepisów o przeciwdziałaniu praniu pieniędzy, roszczenia pracowników dotyczące wynagrodzeń, zestawienia płac byłego przewodniczącego zarządu, plany dotyczące prowizji pracowniczych oraz wewnętrzne spory dotyczące zakresu odpowiedzialności w zarządzie.

Odpowiedzialność członków zarządu przestała być wyłącznie teoretyczna. Zatem jasnym powinno być, że wspomniane ryzyko nie tylko się "materializuje", ale można wręcz powiedzieć, że już istnieje. Już w najbliższej przyszłości, ryzyko to może znaleźć praktyczne przełożenie na pojawienie się konkretnych decyzji administracyjnych w przedmiocie nałożenia kar na członków zarządu za uchybienia w obszarze cyberbezpieczeństwa.

Polisa D&O pod lupą NIS2

Jak w Państwa praktyce wygląda dziś ocena polis OC zarządu (D&O) pod kątem ryzyk cyber i NIS2/KSC? Czy standardowe polisy członków władz spółek obejmują odpowiedzialność za błędy w nadzorze nad cyberbezpieczeństwem, czy raczej wymagają szczegółowej analizy wyłączeń, definicji „wrongful act”, zakresu kosztów obrony, postępowań administracyjnych, kar pieniężnych i roszczeń samej spółki wobec zarządu?

Rynek ubezpieczeniowy i specjaliści z zakresu polis D&O zgodnie twierdzą, że cyber incydenty coraz częściej generują pociągnięcie do odpowiedzialności tytułowych "Directors and Officers". Szczególnie w przypadkach obejmujących roszczenia akcjonariuszy, działania organów nadzorczych lub zarzuty dotyczące niewłaściwego zarządzania i nadzoru.

Firmy ubezpieczeniowe przyjmują zgodny front: kompleksowy program ubezpieczeniowy, obejmujący zarówno ryzyka D&O, jak i ryzyka dot. cyberbezpieczeństwa, ma kluczowe znaczenie dla optymalnego ograniczania ryzyka. Transfer ryzyka za pośrednictwem polis cyber stanowi skuteczne narzędzie zarządzania ryzykiem, pozwalające zabezpieczyć się przed katastrofalnymi stratami oraz kosztami związanymi z incydentami związanymi z cyberbezpieczeństwem. Jednocześnie, polisy powinny być regularnie przeglądane, aby zapewnić, że zakres ochrony odpowiada ewoluującym zagrożeniom oraz aktualnej ekspozycji na ryzyko.

Standardowa polisa D&O nie powinna być dziś traktowana jako automatyczna odpowiedź na ryzyka cyber i wynikające z NIS2/KSC, lecz jako instrument potencjalnie reagujący na roszczenia dotyczące błędów zarządczych w nadzorze nad cyberbezpieczeństwem. Co do zasady, tego typu ryzyka mogą mieścić się w pojęciu "bezprawnego działania" członka zarządu, zwłaszcza gdy chodzi o zarzut wadliwego nadzoru, zaniechania wdrożenia odpowiednich środków, błędnej komunikacji z rynkiem, czy naruszenia obowiązków regulacyjnych. Każdorazowo, wymaga to jednak szczegółowej analizy konstrukcji polisy, w szczególności wyłączeń, definicji roszczenia, objęcia kosztów obrony i postępowań administracyjnych, a także zakresu ochrony w razie roszczeń samej spółki wobec zarządu. Największą ostrożność należy zachować w odniesieniu do kar pieniężnych, których ubezpieczanie w Europie pozostaje niejednolite i bywa często sporne.

Kiedy uruchamia się ochrona

Czy typowa polisa D&O może pokrywać koszty obrony członka zarządu w postępowaniu dotyczącym naruszenia obowiązków cyberbezpieczeństwa? Warto dopytać o moment uruchomienia ochrony: czy wystarczy kontrola organu, wezwanie do wyjaśnień, postępowanie administracyjne, decyzja o karze, czy dopiero roszczenie cywilne. Czy kancelaria widzi w praktyce spory o to, czy koszty prawników, audytów cyber, opinii technicznych i obsługi postępowania regulacyjnego mieszczą się w ochronie D&O?

Tak, może. Obecnie polisy są konstruowane tak, żeby chronić przed ryzykami wynikającymi z błędów w zarządzie i nadzorze - pod to ostatnie podchodzi właśnie ryzyko cyber. Jednak to, że może pokrywać koszty, nie znaczy, że zawsze ("z automatu") tak robi. Należy wnikliwie każdorazowo przeanalizować, pod tym kątem, daną polisę, w tym OWU odnoszące się do niej.

Momentem uruchomienia ochrony zazwyczaj jest faktyczne wystąpienie z roszczeniem wobec członka zarządu. Jednak często problematyczne jest już np. wezwanie przez dany organ do złożenia przez członka zarządu wyjaśnień - tego zazwyczaj polisa nie obejmuje, ale jest to możliwe do/warte wynegocjowania.

Tak, z perspektywą ich coraz większej ilości. Przy czym, w praktyce takie spory nie będą raczej obejmowały samej zasady, czy D&O ma finansować „koszty obrony”. Natomiast będą, na pewno koncentrowały się na wyznaczeniu granicy odpowiedzialności, tj. momentu gdzie kończy się covered defense / investigation cost, a zaczyna nieubezpieczalny koszt incydentu, compliance remediation albo koszt samej spółki. Ten obszar już dziś jest jednym z najbardziej typowych punktów tarcia na styku D&O vs cyber.

Gdzie kończy się D&O, a zaczyna cyberpolisa

Gdzie przebiega granica między polisą D&O a polisą cyber? Jeżeli spółka ma incydent ransomware, wyciek danych, błąd dostawcy IT albo awarię systemu, to cyberpolisa może obejmować koszty reakcji na incydent, a D&O odpowiedzialność menedżerów za brak nadzoru. Czy w praktyce te zakresy się uzupełniają, czy raczej powstają luki, w których ubezpieczyciel D&O odsyła do cyberpolisy, a cyberpolisa nie chroni osobistego majątku członka zarządu?

Cyberpolisa zazwyczaj obejmuje koszty reagowania na incydent - tzw. gaszenia pożarów, odtwarzania danych, itp. Dzieli się często na: (1) zabezpieczającą ubezpieczoną organizację przed bezpośrednimi stratami wynikającymi z incydentu cybernetycznego i mogącą obejmować m.in. ochronę z tytułu przerwy w działalności, odtworzenia danych, cyberwymuszeń oraz kosztów reagowania na incydent (first-party) oraz (2) zapewniającą ochronę w odniesieniu do roszczeń zgłaszanych wobec organizacji przez klientów, kontrahentów, organy regulacyjne lub partnerów, wynikających z incydentów cybernetycznych, które ich dotknęły na skutek działań organizacji, zaniedbań lub naruszeń bezpieczeństwa danych (third-party).

Polisa D&O ma za to zwykle wyłącznie charakter third party. Obejmuje ona: (1) ochronę indywidualnych członków organów spółki w sytuacjach, gdy spółka nie jest w stanie zapewnić im zwolnienia z odpowiedzialności lub odszkodowania; (2) zwrot kosztów spółce z tytułu odszkodowań wypłaconych na rzecz tych osób; (3) odpowiedzialność samej spółki (w ograniczonym zakresie). Polisa ta szeroko definiuje pojęcie roszczenia i może obejmować postępowania sądowe, postępowania prowadzone przez organy regulacyjne oraz postępowania karne.

Czy karę administracyjną da się ubezpieczyć

Czy kary administracyjne lub sankcje osobiste wobec członków zarządu są w ogóle ubezpieczalne? Czy ubezpieczyciel może pokryć samą karę, czy tylko koszty obrony? Czy kancelaria spotkała się z odmowami wypłaty świadczenia ze względu na nieubezpieczalność sankcji publicznoprawnych, winę umyślną, rażące niedbalstwo albo naruszenie obowiązków ustawowych?

W obszarze cyberbezpieczeństwa, polisa D&O, przede wszystkim, sfinansuje koszty obrony i udziału w postępowaniu dot. naruszenia. Poza zakresem ochrony D&O najczęściej pozostają sankcje o charakterze karnym lub karnoskarbowym nakładane na osoby fizyczne. Ubezpieczenia dedykowane ryzykom karnoskarbowym (KKS) również koncentrują się przede wszystkim na pokrywaniu kosztów obrony i wsparciu w postępowaniu, natomiast możliwość finansowania samych kar jest zasadniczo bardzo ograniczona.

W praktyce spotyka się odmowy wypłaty świadczenia albo co najmniej spory z ubezpieczycielem dotyczące zakresu ochrony, zwłaszcza gdy chodzi o sankcje publicznoprawne, kary administracyjne, umyślne naruszenie prawa, świadome naruszenie obowiązków albo zachowanie kwalifikowane jako rażące niedbalstwo. Najmniej kontrowersji dotyczy zwykle finansowania kosztów obrony, natomiast pokrycie samej kary pozostaje dużo bardziej problematyczne i często zależy od klauzuli „o ile prawnie ubezpieczalne”, prawa właściwego dla polisy oraz oceny, czy dana sankcja ma charakter kompensacyjny czy represyjny (rzadziej objęte ubezpieczeniem). W praktyce spory koncentrują się nie tylko na tym, czy ochrona istnieje, ale również kiedy wygasa — np. po stwierdzeniu winy umyślnej, oszustwa, świadomego naruszenia obowiązków lub naruszenia warunków polisy.

Spokojny sen z polisą w szufladzie?

Czy członek zarządu spółki objętej KSC/NIS2, który dziś śpi spokojnie, bo ma polisę D&O, może się boleśnie rozczarować po pierwszym poważnym incydencie cybernetycznym?

Jednym słowem - tak. Polisa ma chronić, jednak nie zwalnia z przestrzegania obowiązków ustawowych nałożonych na chroniony przez nią podmiot. Nie pokryje ona kosztów samego incydentu (to raczej domena cyberpolisy), ani nie zadziała "zawsze z automatu" - dopiero po spełnieniu jej warunków, kiedy podmiot nią ubezpieczony właściwie i z należytą starannością wykonywał swoje obowiązki.

Podsumowanie

Z rozmowy płynie jeden zasadniczy wniosek: polisa D&O bywa traktowana jak parasol, który rozłoży się sam w razie kłopotów – a tak nie jest. Ochrona ma charakter „third party” i co do zasady obejmuje koszty obrony oraz udziału w postępowaniu, nie zaś koszt samego incydentu, który pozostaje domeną cyberpolisy.

W polskiej praktyce widać już, że ryzyka osobistej odpowiedzialności zarządów materializują się najpierw na gruncie RODO i compliance, a dopiero w kolejnych latach będą przenosić się na obszar cyberbezpieczeństwa. NIS2 tylko przyspieszy ten proces. W praktyce oznacza to, że zarządy powinny traktować D&O i cyberpolisy jako uzupełniające się elementy ochrony, a nie zamienniki. Kluczowe jest nie tylko posiadanie ubezpieczenia, ale znajomość jego zakresu, wyłączeń i momentu uruchomienia ochrony. Bez tego nawet dobrze dobrana polisa może nie zadziałać wtedy, gdy będzie najbardziej potrzebna.