Ubezpieczenie zarządu po cyberataku: Czy polisa naprawdę chroni?

Po wdrożeniu dyrektywy NIS2, odpowiedzialność za cyberbezpieczeństwo przestała być wyłącznie domeną działu IT i realnie obciąża zarządy. Grożą im kary finansowe, a nawet zakaz pełnienia funkcji. Wielu menedżerów liczy na ochronę z ubezpieczenia OC władz spółki (polisy D&O). W praktyce jednak obejmuje ono głównie koszty obrony, a nie sam incydent i jego finansowe skutki. Gdzie kończy się zakres polisy D&O, a zaczyna polisa cybernetyczna i czy można ubezpieczyć karę administracyjną – wyjaśnia mec. Marcin Huczkowski, partner w kancelarii Fieldfisher Poland.

Nowe Obowiązki i Odpowiedzialność Kadry Zarządzającej

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wdrażająca unijną dyrektywę NIS2, weszła w życie z początkiem kwietnia 2026 r. Dla tysięcy firm uznanych za „kluczowe” lub „ważne” oznacza to nowy reżim obowiązków. Obejmuje on m.in. samoidentyfikację i wpis do wykazu, wdrożenie systemu zarządzania bezpieczeństwem informacji oraz obowiązkowe szkolenia kadry zarządzającej.

Najistotniejsza zmiana dotyczy jednak nie tyle procedur, co rozłożenia odpowiedzialności. Ustawa wprost wiąże wykonywanie obowiązków z zakresu cyberbezpieczeństwa z osobą kierownika podmiotu. W przypadku organów wieloosobowych, odpowiedzialność ponoszą wszyscy członkowie zarządu, chyba że wskazano konkretną osobę. W tle pojawia się sankcja sięgająca trzykrotności wynagrodzenia menedżera oraz, w podmiotach kluczowych, możliwość czasowego zakazu pełnienia funkcji.

W tej sytuacji naturalnym odruchem zarządów jest pytanie o ochronę ubezpieczeniową. Chodzi przede wszystkim o polisy D&O (Directors and Officers), czyli ubezpieczenia odpowiedzialności członków władz spółki – zarządu i rady nadzorczej. Czy taka polisa zadziała przy incydencie cybernetycznym? Co odróżnia ją od cyberpolisy i gdzie między nimi powstają luki?

Koniec Teorii o Odpowiedzialności Zarządu

Czy po wdrożeniu NIS2 i nowelizacji KSC odpowiedzialność członków zarządu za cyberbezpieczeństwo przestaje być teoretyczna?

Z całą pewnością nie jest to już wyłącznie odpowiedzialność teoretyczna. KSC wprost mówi o odpowiedzialności kierownika podmiotu za wykonywanie obowiązków z zakresu cyberbezpieczeństwa. Chodzi m.in. o uzupełnianie danych w wykazie prowadzonym przez ministra właściwego ds. informatyzacji, złożenie wniosku o wpis oraz wdrożenie systemu zarządzania bezpieczeństwem informacji. Ponadto, w przypadku organu wieloosobowego (jak zarząd spółki), jeśli nie wskazano konkretnej osoby odpowiedzialnej, odpowiedzialność ponoszą wszyscy członkowie tego organu.

Jednocześnie, KSC wyznacza konkretne dodatkowe obowiązki kierownikom podmiotów objętych ustawą (ważnych i kluczowych). Kierownik podejmuje decyzje w zakresie wdrażania, stosowania, przeglądu i nadzoru systemu zarządzania bezpieczeństwem informacji, planuje wydatki na cyberbezpieczeństwo oraz zapewnia świadomość personelu w zakresie obowiązków i wewnętrznych regulacji. Co więcej, kierownik ma obowiązek raz w roku brać udział w udokumentowanym szkoleniu dotyczącym jego obowiązków związanych z cyberbezpieczeństwem.

Za niewykonywanie ustawowych obowiązków, na kierownika może zostać nałożona kara pieniężna w wysokości do 300% jego wynagrodzenia (100% w przypadku podmiotów publicznych). Dodatkowo, w przypadku podmiotów kluczowych, organ nadzorczy może wydać decyzję o czasowym zakazie pełnienia funkcji przez kierownika.

Ryzyko, Które Już Się Materializuje

Czy znane są przypadki – w Polsce lub UE – w których członkowie zarządu faktycznie ponosili osobistą odpowiedzialność za uchybienia spółki w obszarze cyberbezpieczeństwa, ochrony danych, compliance lub nadzoru organizacyjnego? Chodzi nie tylko o prawomocne wyroki, ale także postępowania regulacyjne, ugody, roszczenia akcjonariuszy, odwołania menedżerów, regresy spółki wobec członków zarządu czy spory z ubezpieczycielami. Czy w praktyce takie ryzyko już się materializuje, czy pozostaje głównie argumentem doradczym?

Oczywiście, takie sytuacje już występują. W Polsce dotyczą one obecnie głównie ochrony danych i obszaru compliance/AML. Sprawy ściśle związane z cyberbezpieczeństwem zaczną się pojawiać wraz z praktycznym stosowaniem NIS2. Dyrektywa ta jest jeszcze stosunkowo nową regulacją, która w wielu państwach nie została jeszcze wdrożona lub wdrożono ją niedawno (np. Polska).

Dla poparcia tej tezy – w 2024 r. Wyższy Sąd Krajowy w Monachium odwołał członka zarządu niemieckiej spółki, który przez kilka miesięcy systematycznie przekazywał wewnętrzną korespondencję służbową na swój prywatny adres e-mail, dodając go w polu „DW” (CC). Wiadomości te zawierały dane osobowe oraz poufne informacje dotyczące spółki i osób trzecich, w tym zapytanie banku w ramach przepisów o przeciwdziałaniu praniu pieniędzy, roszczenia pracowników dotyczące wynagrodzeń, zestawienia płac byłego przewodniczącego zarządu, plany dotyczące prowizji pracowniczych oraz wewnętrzne spory dotyczące zakresu odpowiedzialności w zarządzie.

Odpowiedzialność członków zarządu przestała być wyłącznie teoretyczna. Zatem jasne jest, że wspomniane ryzyko nie tylko się „materializuje”, ale już istnieje. Już w najbliższej przyszłości ryzyko to może znaleźć praktyczne przełożenie na pojawienie się konkretnych decyzji administracyjnych w przedmiocie nałożenia kar na członków zarządu za uchybienia w obszarze cyberbezpieczeństwa.

Polisa D&O Pod Lupą NIS2

Jak w Państwa praktyce wygląda dziś ocena polis OC zarządu (D&O) pod kątem ryzyk cyber i NIS2/KSC? Czy standardowe polisy członków władz spółek obejmują odpowiedzialność za błędy w nadzorze nad cyberbezpieczeństwem, czy raczej wymagają szczegółowej analizy wyłączeń, definicji „wrongful act”, zakresu kosztów obrony, postępowań administracyjnych, kar pieniężnych i roszczeń samej spółki wobec zarządu?

Rynek ubezpieczeniowy i specjaliści od polis D&O zgodnie twierdzą, że cyberincydenty coraz częściej prowadzą do pociągnięcia do odpowiedzialności członków władz spółek („Directors and Officers”). Dotyczy to szczególnie przypadków obejmujących roszczenia akcjonariuszy, działania organów nadzorczych lub zarzuty dotyczące niewłaściwego zarządzania i nadzoru.

Firmy ubezpieczeniowe przyjmują spójne stanowisko: kompleksowy program ubezpieczeniowy, obejmujący zarówno ryzyka D&O, jak i ryzyka związane z cyberbezpieczeństwem, ma kluczowe znaczenie dla optymalnego ograniczania ryzyka. Transfer ryzyka za pośrednictwem polis cyber jest skutecznym narzędziem zarządzania ryzykiem, pozwalającym zabezpieczyć się przed katastrofalnymi stratami oraz kosztami związanymi z incydentami cybernetycznymi. Jednocześnie, polisy powinny być regularnie przeglądane, aby zapewnić, że zakres ochrony odpowiada ewoluującym zagrożeniom oraz aktualnej ekspozycji na ryzyko.

Standardowa polisa D&O nie powinna być dziś traktowana jako automatyczna odpowiedź na ryzyka cyber i wynikające z NIS2/KSC, lecz jako instrument potencjalnie reagujący na roszczenia dotyczące błędów zarządczych w nadzorze nad cyberbezpieczeństwem. Co do zasady, tego typu ryzyka mogą mieścić się w pojęciu „bezprawnego działania” członka zarządu, zwłaszcza gdy chodzi o zarzut wadliwego nadzoru, zaniechania wdrożenia odpowiednich środków, błędnej komunikacji z rynkiem czy naruszenia obowiązków regulacyjnych. Każdorazowo wymaga to jednak szczegółowej analizy konstrukcji polisy, w szczególności wyłączeń, definicji roszczenia, objęcia kosztów obrony i postępowań administracyjnych, a także zakresu ochrony w razie roszczeń samej spółki wobec zarządu. Należy zachować szczególną ostrożność w odniesieniu do kar pieniężnych, których ubezpieczanie w Europie pozostaje niejednolite i bywa często sporne.

Kiedy Uruchamia Się Ochrona

Czy typowa polisa D&O może pokrywać koszty obrony członka zarządu w postępowaniu dotyczącym naruszenia obowiązków cyberbezpieczeństwa? Warto dopytać o moment uruchomienia ochrony: czy wystarczy kontrola organu, wezwanie do wyjaśnień, postępowanie administracyjne, decyzja o karze, czy dopiero roszczenie cywilne. Czy kancelaria widzi w praktyce spory o to, czy koszty prawników, audytów cyber, opinii technicznych i obsługi postępowania regulacyjnego mieszczą się w ochronie D&O?

Tak, polisa D&O może pokrywać te koszty. Obecnie polisy są konstruowane tak, aby chronić przed ryzykami wynikającymi z błędów w zarządzie i nadzorze – pod to ostatnie podchodzi ryzyko cyber. Jednakże, samo istnienie takiej możliwości nie oznacza, że ochrona działa automatycznie. Należy wnikliwie, każdorazowo analizować daną polisę, w tym Ogólne Warunki Ubezpieczenia (OWU) do niej odnoszące się.

Momentem uruchomienia ochrony zazwyczaj jest faktyczne wystąpienie z roszczeniem wobec członka zarządu. Często problematyczne jest jednak już np. wezwanie przez dany organ do złożenia przez członka zarządu wyjaśnień – tego zazwyczaj polisa nie obejmuje, ale jest to możliwość warta wynegocjowania.

Tak, widzi się coraz więcej sporów w tym zakresie. W praktyce takie spory nie będą raczej dotyczyły samej zasady, czy D&O ma finansować „koszty obrony”. Będą one koncentrować się na wyznaczeniu granicy odpowiedzialności, czyli momentu, gdzie kończą się ubezpieczone koszty obrony/dochodzenia, a zaczynają nieubezpieczalne koszty incydentu, remediacji zgodności lub koszty samej spółki. Ten obszar już dziś jest jednym z najbardziej typowych punktów spornych na styku D&O i polis cybernetycznych.

Gdzie Kończy Się D&O, a Zaczyna Cyberpolisa

Gdzie przebiega granica między polisą D&O a polisą cyber? Jeżeli spółka ma incydent ransomware, wyciek danych, błąd dostawcy IT albo awarię systemu, to cyberpolisa może obejmować koszty reakcji na incydent, a D&O odpowiedzialność menedżerów za brak nadzoru. Czy w praktyce te zakresy się uzupełniają, czy raczej powstają luki, w których ubezpieczyciel D&O odsyła do cyberpolisy, a cyberpolisa nie chroni osobistego majątku członka zarządu?

Cyberpolisa zazwyczaj obejmuje koszty reagowania na incydent – tzw. „gaszenia pożarów”, odtwarzania danych itp. Dzieli się często na:

• Ubezpieczenie chroniące ubezpieczoną organizację przed bezpośrednimi stratami wynikającymi z incydentu cybernetycznego, które może obejmować m.in. ochronę z tytułu przerwy w działalności, odtworzenia danych, cyberwymuszeń oraz kosztów reagowania na incydent (tzw. first-party).
• Ubezpieczenie zapewniające ochronę w odniesieniu do roszczeń zgłaszanych wobec organizacji przez klientów, kontrahentów, organy regulacyjne lub partnerów, wynikających z incydentów cybernetycznych, które ich dotknęły na skutek działań organizacji, zaniedbań lub naruszeń bezpieczeństwa danych (tzw. third-party).

Polisa D&O ma zazwyczaj charakter wyłącznie third-party. Obejmuje ona:

• Ochronę indywidualnych członków organów spółki w sytuacjach, gdy spółka nie jest w stanie zapewnić im zwolnienia z odpowiedzialności lub odszkodowania.
• Zwrot kosztów spółce z tytułu odszkodowań wypłaconych na rzecz tych osób.
• Odpowiedzialność samej spółki (w ograniczonym zakresie).

Polisa ta szeroko definiuje pojęcie roszczenia i może obejmować postępowania sądowe, postępowania prowadzone przez organy regulacyjne oraz postępowania karne.

Czy Karę Administracyjną Da Się Ubezpieczyć

Czy kary administracyjne lub sankcje osobiste wobec członków zarządu są w ogóle ubezpieczalne? Czy ubezpieczyciel może pokryć samą karę, czy tylko koszty obrony? Czy kancelaria spotkała się z odmowami wypłaty świadczenia ze względu na nieubezpieczalność sankcji publicznoprawnych, winę umyślną, rażące niedbalstwo albo naruszenie obowiązków ustawowych?

W obszarze cyberbezpieczeństwa, polisa D&O przede wszystkim sfinansuje koszty obrony i udziału w postępowaniu dotyczącym naruszenia. Poza zakresem ochrony D&O najczęściej pozostają sankcje o charakterze karnym lub karnoskarbowym nakładane na osoby fizyczne. Ubezpieczenia dedykowane ryzykom karnoskarbowym (KKS) również koncentrują się przede wszystkim na pokrywaniu kosztów obrony i wsparciu w postępowaniu, natomiast możliwość finansowania samych kar jest zasadniczo bardzo ograniczona.

W praktyce spotyka się odmowy wypłaty świadczenia lub co najmniej spory z ubezpieczycielem dotyczące zakresu ochrony, zwłaszcza gdy chodzi o sankcje publicznoprawne, kary administracyjne, umyślne naruszenie prawa, świadome naruszenie obowiązków lub zachowanie kwalifikowane jako rażące niedbalstwo. Najmniej kontrowersji dotyczy zwykle finansowania kosztów obrony, natomiast pokrycie samej kary pozostaje znacznie bardziej problematyczne i często zależy od klauzuli „o ile prawnie ubezpieczalne”, prawa właściwego dla polisy oraz oceny, czy dana sankcja ma charakter kompensacyjny, czy represyjny (rzadziej objęte ubezpieczeniem). W praktyce spory koncentrują się nie tylko na tym, czy ochrona istnieje, ale również kiedy wygasa – np. po stwierdzeniu winy umyślnej, oszustwa, świadomego naruszenia obowiązków lub naruszenia warunków polisy.

Spokojny Sen z Polisą w Szufladzie?

Czy członek zarządu spółki objętej KSC/NIS2, który dziś śpi spokojnie, bo ma polisę D&O, może się boleśnie rozczarować po pierwszym poważnym incydencie cybernetycznym?

Jednym słowem – tak. Polisa ma chronić, jednak nie zwalnia z przestrzegania obowiązków ustawowych nałożonych na chroniony przez nią podmiot. Nie pokryje ona kosztów samego incydentu (to raczej domena cyberpolisy), ani nie zadziała „automatycznie” – dopiero po spełnieniu jej warunków, kiedy podmiot nią ubezpieczony właściwie i z należytą starannością wykonywał swoje obowiązki.

Podsumowanie

Z rozmowy płynie jeden zasadniczy wniosek: polisa D&O bywa traktowana jak parasol, który rozłoży się sam w razie kłopotów – a tak nie jest. Ochrona ma charakter „third party” i co do zasady obejmuje koszty obrony oraz udziału w postępowaniu, nie zaś koszt samego incydentu, który pozostaje domeną cyberpolisy.

W polskiej praktyce widać już, że ryzyka osobistej odpowiedzialności zarządów materializują się najpierw na gruncie RODO i compliance, a dopiero w kolejnych latach będą przenosić się na obszar cyberbezpieczeństwa. NIS2 tylko przyspieszy ten proces. W praktyce oznacza to, że zarządy powinny traktować polisy D&O i cyberpolisy jako uzupełniające się elementy ochrony, a nie zamienniki. Kluczowe jest nie tylko posiadanie ubezpieczenia, ale znajomość jego zakresu, wyłączeń i momentu uruchomienia ochrony. Bez tego nawet dobrze dobrana polisa może nie zadziałać wtedy, gdy będzie najbardziej potrzebna.

Wyniki Biznes Fakty:

• Nie zakładaj, że polisa D&O automatycznie pokryje wszystkie szkody związane z incydentem cybernetycznym. Konieczna jest dokładna analiza zakresu polisy, wyłączeń i definicji zdarzenia ubezpieczeniowego.
• Rozważ zakup dedykowanej polisy cybernetycznej obok polisy D&O. Pozwoli to na kompleksowe zabezpieczenie firmy przed szerokim spektrum ryzyk związanych z cyberbezpieczeństwem, obejmując zarówno koszty reakcji na incydent, jak i potencjalne kary administracyjne.
• Zidentyfikuj konkretne osoby odpowiedzialne za cyberbezpieczeństwo w strukturze firmy. Dyrektywa NIS2 kładzie nacisk na osobistą odpowiedzialność kadry zarządzającej, dlatego jasne określenie ról i obowiązków jest kluczowe dla prawidłowego zarządzania ryzykiem.
• Regularnie aktualizuj wiedzę na temat obowiązków wynikających z dyrektywy NIS2 i KSC. Zmieniające się przepisy i dynamiczny rozwój zagrożeń wymagają bieżącego monitorowania i dostosowywania polityki bezpieczeństwa firmy.
• Szkól kadrę zarządzającą w zakresie cyberbezpieczeństwa. NIS2 narzuca obowiązek szkoleń dla kierownictwa. Dobrze przeszkolony zarząd jest w stanie lepiej oceniać ryzyka i podejmować świadome decyzje.

Szczegóły można znaleźć na stronie internetowej : mojafirma.infor.pl