Delegování neznamená zbavení se odpovědnosti
Statutárnímu orgánu nestačí pouze formálně delegovat jednotlivé úkoly na zaměstnance nebo jiné pověřené osoby. Musí totiž zajistit, aby společnost měla odpovídající systém řízení kybernetické bezpečnosti a aby uložené povinnosti byly skutečně plněny. Z hlediska osobní odpovědnosti přitom není rozhodující jen samotné přijetí opatření, ale také schopnost doložit, že nastavený systém v praxi funguje a je pod reálným dohledem vedení společnosti.
Osobní sankce a zákaz výkonu funkce
Pokud subjekt spadající pod ZKB povinnosti závažně nebo opakovaně neplní a tím zmaří splnění nápravného opatření uloženého NÚKIB, může být členovi statutárního orgánu uložen dočasný zákaz výkonu funkce. Tím se kybernetická bezpečnost dostává z roviny pouhého interního řízení společnosti i do roviny přímých osobních důsledků pro členy jejího vedení. Pokud by navíc člen statutárního orgánu zákaz nerespektoval, dopustil by se přestupku, za který hrozí mu pokuta až do výše 20.000.000 Kč.
Kybernetická bezpečnost jako osobní riziko vedení
Nový ZKB tak posouvá kybernetickou bezpečnost do roviny osobní odpovědnosti statutárního orgánu – vedle povinnosti řídit rizika počítá i s přímými následky při neplnění. Nejde tedy pouze o formální regulatorní požadavek, ale o oblast, v níž může mít nedostatečný dohled a neplnění povinností konkrétní osobní důsledky pro členy vedení společnosti.
Členové statutárních orgánů by proto měli věnovat kybernetické bezpečnosti společnosti systematickou pozornost a zajistit prokazatelné nastavení odpovědností, procesů i dohledu. Pouhé formální přijetí interních pravidel bez jejich reálného naplňování a průběžné kontroly totiž z pohledu odpovědnosti statutárního orgánu zpravidla postačovat nebude.
