Cyberatak w spółce. Obowiązki zarządu po naruszeniu bezpieczeństwa danych

Coraz więcej spółek pada ofiarą ataków hakerskich. Dla zarządu oznacza to konieczność podjęcia szybkich i wielotorowych działań: zabezpieczenia infrastruktury, zgłoszenia naruszenia danych osobowych, poinformowania organów nadzoru oraz przygotowania strategii komunikacyjnej

Publikacja: 03.06.2025 11:37

Cyberatak w spółce. Obowiązki zarządu po naruszeniu bezpieczeństwa danych

Foto: shutterstock

Grzegorz Motyka

Globalny rozwój znaczenia internetu i powszechna cyfryzacja, a także pandemia Covid-19 spowodowały, że wiele dziedzin życia przeniosło się do cyfrowego świata. Wraz z przeniesieniem codziennej działalności człowieka do internetu w ślad za tym podążyli również przestępcy, którzy szybko dostrzegli możliwości, jakie otworzyła przed nimi transformacja cyfrowa.

Raport Roczny 2024 CERT Polska jednoznacznie potwierdza, że w stosunku do 2023 roku ilość ataków hakerskich w roku 2024 wzrosła o ponad 60 proc. Według wielu specjalistów rok 2025 będzie jeszcze bardziej krytyczny, jeżeli chodzi o ilość cyberataków.

Odpowiedzialność zarządu

Jak się bronić przed cyberprzestępcami? Inwestycja w infrastrukturę IT nie jest jedyną formą obrony przed omawianym zagrożeniem. Istotnym czynnikiem przy obronie jest również tzw. czynnik ludzki, a zatem zalecane jest, aby kadra kierownicza inwestowała również w szkolenia pracowników i systematycznie pracowała nad budowaniem cyberświadomości u swoich podopiecznych.

Gdy do ataku hakerskiego dojdzie, należy pamiętać, że to na kierownikach jednostek spoczywa szereg obowiązków faktycznych i prawnych. Kluczowe jest więc, aby zarząd spółki wiedział nie tylko, jak zabezpieczyć spółkę pod względem cyberbezpieczeństwa, ale również jakie działania należy podjąć w sytuacji dokonanego ataku hakerskiego.

W przypadku wykrycia incydentu związanego z bezpieczeństwem informacji w spółce kluczowym jest zawiadomienie zarządu spółki, który powoła niezwłocznie zespół odpowiedzialny za działania informatyczne, jak i formalno-prawne. Czas reakcji jest krytycznym elementem odpowiedzi na atak hakerski. Zarząd powinien zadbać, aby w umowach z członkami takiego zespołu był określony odpowiedni czas reakcji na wykryty incydent lub dalsze jego odsłony.

Wewnętrzne procedury

Pierwszym zadaniem zespołu ds. bezpieczeństwa powinno być zidentyfikowanie narażonych komponentów infrastruktury IT i danych oraz analiza zagrożenia. Powyższe pozwoli na podjęcie próby ograniczenia skutków ataku np. poprzez ich odizolowanie od pozostałych systemów informatycznych.

Zespół IT po ustaleniu parametrów ataku, jego wektorów oraz konsekwencji, będzie mógł przejść do kolejnej fazy, tj. eliminacji skutków oraz przywracania funkcyjności infrastruktury. Równolegle do działań wewnętrznych dążących do przywrócenia bezpieczeństwa i normalnego funkcjonowania spółki istotnym jest, aby zarząd wypełnił obowiązki formalno-prawne. Wybrane z nich zostały opisane poniżej. W większości przypadków atak hakerski jest również równoznaczny z wystąpieniem incydentu bezpieczeństwa, a w konsekwencji z naruszeniem ochrony danych osobowych. Najczęściej we wstępnej fazie ataku hakerskiego nie jest możliwe w sposób jednoznaczny stwierdzenie zakresu ataku i ustalenie zakresu utraty danych osobowych. Trzeba jednak pamiętać, że brak wykluczenia, że doszło do utraty lub ujawnienia danych osobowych, powoduje, że należy przyjąć podejście ostrożnościowe i zakwalifikować daną sytuację jako incydent bezpieczeństwa. Takie zdarzenie powinno być więc objęte zgłoszeniem do organu nadzorczego, jakim jest prezes Urzędu Ochrony Danych Osobowych (PUODO). Stosownie do regulacji art. 33 rozporządzenia RODO przypadek naruszenia danych osobowych powinien być zgłoszony do organu nadzoru w terminie nie późniejszym niż 72 godziny od jego stwierdzenia. Zgłoszenie powinno zawierać m.in. opis charakteru naruszenia ochrony danych osobowych i przybliżoną liczbę osób, jakich naruszenie dotyczy. Dodatkowo należy wskazać dane IOD w spółce, a także opis możliwych konsekwencji incydentu i proponowane środki w celu niwelowania skutków naruszenia ochrony danych osobowych. Okoliczności związane z tzw. incydentem RODO, jego skutki, a także wdrażane środki bezpieczeństwa powinny być na bieżąco dokumentowane. Zgłoszenie incydentu do PUODO nie jest jedynym obowiązkiem, który spoczywa na zarządzie spółki. Dodatkowo zgodnie z art. 34 rozporządzenia RODO należy poinformować osoby, których dane są lub mogą być objęte naruszeniem, o fakcie takiego naruszenia, a także o możliwych konsekwencjach naruszenia danych. Zawiadomienie powinno być napisane łatwym i prostym językiem. Celem takiego zawiadomienia jest umożliwienie osobom fizycznym podjęcia adekwatnej reakcji na incydent i zabezpieczenie własnej tożsamości przed jego negatywnymi skutkami (zastrzeżenie dowodu osobistego, zastrzeżenie numerów kart bankowych, wzmożenie czujności w czasie poruszana się po internecie).

Obowiązek notyfikacji

Zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 roku w razie ataku hakerskiego powinniśmy zawiadomić zespół CERT działający organizacyjnie w strukturach Naukowej i Akademickiej Sieci Komputerowej (NASK). Każdy incydent powinien być zgłoszony niezwłocznie, bowiem agregacja danych pozwoli na wypełnienie obowiązków nałożonych na operatorów usług kluczowych i dostawców usług cyfrowych. Takie zgłoszenie powinno być wysłane nie później niż w ciągu 24 godzin od wykrycia zdarzenia. Zgłoszenie może być przekazane na interaktywnym formularzu, zaś spółka jest obowiązana podać opis incydentu, liczbę osób, na jaką miał wpływ, oraz kategorię zdarzenia, a także opisać jego przebieg.

Dodatkowo praktycznie wszelkie przypadki stanowiące formę ataku hakerskiego będą również automatycznie stanowić czyny penalizowane w ramach tzw. polskiej regulacji hackingu, na którą składają się przepisy karne regulujące kwestię przestępstw przeciwko mieniu, informacji, poufności, ale także przeciwko dokumentacji, działalności gospodarczej etc. Materialnoprawne przepisy karne w tym przypadku są dalece skomplikowane, dlatego że incydent hakerski najczęściej wypełnia znamiona wielu przestępstw jednocześnie, a zatem konieczne jest prawidłowe określenie zbiegu przepisów w ramach popełnionych czynów. Wiele z tych przestępstw będzie ściąganych z oskarżenia publicznego, jednakże część z nich ma charakter przestępstw wnioskowych, a zatem w interesie spółki jest, aby również w tym zakresie dopełnić formalności i przygotować stosowne zawiadomienie do właściwych organów ścigania o możliwości popełnienia przestępstwa.

Inwestorzy i organy nadzoru

Dalszy krok to obowiązki sprawozdawcze względem inwestorów i organów nadzoru (np. rad nadzorczych w spółkach). Zarząd spółki w każdym przypadku powinien dokonać udokumentowania przebiegu podejmowanych działań, ustalić przyczyny i skutki ataku hakerskiego, a także przedstawić rekomendacje dalszych działań do organu nadzoru. Zapewne przekazanie informacji do inwestorów może mieć również znaczenie z punktu widzenia wiarygodności i transparentności zarządu.

Dodatkowo należy wskazać, że w przypadku spółek notowanych na rynkach regulowanych emitenci są zobowiązani do wypełnienia tzw. obowiązków informacyjnych względem inwestorów. Na podstawie art. 17 ust. 1 rozporządzenia MAR emitent podaje niezwłocznie do wiadomości publicznej informacje poufne bezpośrednio go dotyczące. Oznacza to, że spółka publiczna w przypadku ataku hakerskiego będzie również zobowiązana do przedstawienia takiej informacji za pośrednictwem systemu ESPI lub EBI.

Mnogość regulacji, z których wynikają liczne obowiązki wobec przedsiębiorstw i ich organów zarządzających, a także zagrożenie wysokimi karami, sprawiają, że tematyka bezpieczeństwa spółki oraz umiejętność właściwego reagowania nie powinny być zaniedbywane. W celu wdrożenia systemu bezpieczeństwa, który będzie wewnętrznie spójny, koniecznym jest synchronizacja wielu elementów działania w ramach przedsiębiorstwa (infrastruktura IT, wewnętrzne procedury, eliminacja czynnika ludzkiego, przestrzeganie reguł bezpieczeństwa, właściwie skonstruowane umowy, polityka informacyjna czy szkolenia). Tak więc kluczowym jest, aby zarząd spółki miał sam szerokie spectrum widzenia i rozpoznawał korzyści z minimalizacji ryzyka przed atakiem hakerskim.

Grzegorz Motyka, adwokat, Marszałek & Partnerzy – Adwokaci

Specjalizuje się w prawie handlowym i prawie cywilnym. Doradzał w szeregu transakcji M&A oraz procesach restrukturyzacyjnych. Jest zaangażowany zarówno w złożone projekty oraz transakcje, jak i bieżące doradztwo prawne dla polskich i międzynarodowych klientów.

W trakcie swojej kariery doradzał przy transakcjach dla klientów z różnych sektorów. Stale obsługuje m.in. podmioty z rynku ubezpieczeń, rynku produkcyjnego i IT.

Tekst powstał we współpracy z siecią Kancelarie RP