V tejto otázke je potrebné rozlišovať medzi štatutárnou, čiže zákonnou zodpovednosťou za riadenie bezpečnosti, a výkonnou zodpovednosťou za riadenie bezpečnosti.
Zákonnú zodpovednosť štatutárneho orgánu nie je možné outsourcovať.
Podľa Obchodného zákonníka je štatutárny orgán spoločnosti povinný konať s odbornou starostlivosťou, v súlade so záujmami spoločnosti, pričom zodpovedá za porušenie týchto povinností.
Táto povinnosť si vyžaduje, aby si štatutár pri konkrétnom rozhodovaní zaobstaral a vyhodnotil všetky objektívne dostupné informácie. Následne sa má náležite rozhodnúť v kontexte týchto informácií a vlastnej profesionality. Výkonnú zodpovednosť za riadenie bezpečnosti je však možné obstarať ako službu dodávateľským spôsobom. Má merateľné parametre a je možné uzatvoriť na ňu zmluvu prostredníctvom dohody o úrovni služieb (SLA). Zmluva s dodávateľom služieb kybernetickej bezpečnosti však nepredstavuje nahradenie zákonných zodpovednostných vzťahov a ich prenos na tretiu osobu.
Ak by som teda mal všetkým firmám malej či strednej veľkosti odpovedať jednoznačne, riadenie kybernetickej bezpečnosti je vždy potrebné vnímať v dvoch samostatných kontextoch. Až potom si dávať konkrétne otázky a úlohy.
V prvom rade ide o zodpovednosť štatutárneho orgánu, ktorá vyplýva priamo zo všeobecne záväzných právnych predpisov. Až následne ide o zodpovednosť zmluvnú, založenú napríklad voči manažérovi kybernetickej bezpečnosti alebo dodávateľovi kyberbezpečnostných služieb.
Uvedené zodpovednosti si nie je možné zamieňať.
Štefan Pilár, advokátska kancelária Bukovinsky & Chlipala, s. r. o.
Každá vaša otázka je v kybernetickej bezpečnosti dôležitá. Či už ste mikropodnik, alebo veľká firma, v tejto oblasti stojíte pred mnohými výzvami.
Otázky posielajte na adresu: Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript.