Sodba VDSS Pdp 529/2024 je jasno izpostavila, da je za direktorske prevare primarno odgovorno podjetje, ki mora izvajati ukrepe zagotavljanja kibernetske varnosti. Brez dokazov o hudi malomarnosti delavca je podjetje tisto, ki nosi škodo. Novi zakon ZInfV-1 še dodatno krepi odgovornost poslovodstva za kibernetsko varnost. Kaj ta sodna praksa in zakonodajni okvir pomenita za poslovodstva in katere ukrepe morate sprejeti v podjetjih?
Direktorska prevara” ali “CEO fraud” (tudi Business Email Compromise – BEC) je primer socialnega inženiringa/spletne prevare, v kateri se kriminalci predstavljajo kot nekdo iz vodstva podjetja (npr. CEO ali CFO) in skušajo prevarati zaposlene, da izvedejo nepooblaščena plačila ali razkrijejo občutljive podatke.
Ti napadi oziroma goljufije so lahko zelo domiselne, prepričljive in ciljno usmerjene, zaradi česar so izjemno učinkovite in škodljive. Zaradi dostopnosti tehnologij umetne inteligence (AI) pričakujemo, da se bo ta negativni trend še stopnjeval. V svetu tako že sedaj poznamo primere tudi več 10-milijonskih nakazil kriminalcem, v Sloveniji pa javno znani primeri takšnih goljufij presegajo 100.000 €
Pri prevarah v višini več deset ali celo sto tisoč evrov več ne gre za spodrsljaje zaposlenih, ampak se pojavi vprašanje konkretne odgovornosti posameznika oziroma podjetja v primeru direktorske prevare.
Za slovenski poslovni prostor je januarja 2025 Višje delovno in socialno sodišče s sodbo VDSS Pdp 529/2024 jasno povedalo: odgovornost za kibernetsko varnost primarno nosi podjetje, ne posameznik, razen če so izpolnjeni izjemno strogi pogoji hude malomarnosti.
Sodišče je pritrdilo računovodkinji, ki je pod vplivom lažnih e-sporočil nakazala 100.000 €. Ker delodajalec ni dokazal, da je glede kibernetske varnosti storil vse, kar bi moral in zato zaposlena ni ravnala skrajno nepazljivo, je bil zahtevek za povračilo škode zavrnjen.
V praksi to pomeni, da je podjetje, ki nima dovolj jasnih pravil in nadzora, brez realnih pravnih vzvodov, da bi po incidentu zahtevalo povračilo stroškov od zaposlenih.
Kaj pomeni sodba VDSS Pdp 529/2024 za poslovodstva?
V spodnji tabeli v poslovnem jeziku pojasnjujemo, kaj sodba VDSS Pdp 529/2024 pomeni za podjetja oziroma odgovorne v podjetjih:
| Kaj pravi sodba (ekstrakt) | Poslovni prevod |
| 147. člen OZ & 177. člen ZDR-1: regres do delavca le ob dokazanem naklepu ali hudi malomarnosti. | Finger-pointing ne deluje. Dokazno breme in finančno tveganje ostaneta na strani podjetja. |
| Huda malomarnost = skrajna nepazljivost povprečno skrbnega računovodje. | Prag je zelo visok. Brez jasnih, vnaprej sprejetih pravil in kontrol je skoraj nedosegljiv. |
| Odsotnost disciplinskih ukrepov zmanjšuje verjetnost uspešne tožbe. | Proces + nadzor = obramba. Kar podjetje samo tolerira, sodišče težko prepozna kot “prepovedano ravnanje”. |
Odgovornost na podjetja dodatno prenaša tudi novi Zakon o informacijski varnosti (ZInfV-1)
Slovenski prenos direktive NIS-2 – Zakon o informacijski varnosti (ZInfV-1), sprejet maja 2025 – prinaša nove obveznosti za podjetja in predvsem nalaga še večjo odgovornost poslovodstvu. ZInfV-1 tako uvaja:
- dolžnost upravljanja kibernetskih tveganj na ravni uprave,
- zahtevo po dokazljivem naboru tehničnih in organizacijskih ukrepov,
- obvezno prijavo varnostnih incidentov v kratkih rokih.
ZInfV-1 tako jasno določa, da je poslovodstvo odgovorno za izvajanje ukrepov za obvladovanje kibernetskih tveganj. Kot smo pojasnili, je s tem usklajena tudi sodna praksa: »naredi-in-poglej-kaj-bo« pristopi so preteklost.
Iz opisane sodne prakse in zakonodajnega okvirja tako lahko sklepamo, da v kontekstu direktorske prevare (CEO-fraud) ZInfV-1 nalaga konkretne globe za pomanjkljive ukrepe in osebno odgovornost uprave. Če organizacija ne more dokazati, da:
- ima določen postopek,
- ga dosledno izvaja in nadzira,
- hrani dokazljivo revizijsko sled,
potem bo po incidentu plačalo dvakrat: najprej goljufom, nato še globe oz. stroške sodnih postopkov.
Kako naj podjetja ukrepate proti direktorskim prevaram (CEO fraud)?
Tehnologije umetne inteligence bodo kriminalcem še olajšalea izvajanje direktorskih prevar. Zato je ključno, da v organizacijah sprejmete ukrepe za zmanjšanje tveganj.
NIL vam kot vodilno podjetje na področju kibernetske varnosti v Sloveniji lahko pomaga znižati poslovna tveganja iz naslova direktorskih prevar in širšega vidika informacijske varnosti .
Konkretno lahko z našimi storitvami in rešitvami naslovimo vse točke, ki jih je v sodbi VDSS Pdp 529/2024 izpostavilo sodišče in jih zahteva ZInfV-1
1. Jasni postopki in tehnične kontrole:
- Svetovanje pri opredelitvi ključnih procesov vezanih na informacijsko varnost
- Varovanje e-pošte vključno z napredno analitiko in filtriranjem BEC-sporočil.
- Upravljanje identitet, MFA (večfaktorsko overjanje) in upravljanje administratorskih dostopov (PAM).
- Sistemi za zaznavo in odziv na varnostne incidente (SOC/MDR)
- Ofenzivna varnost, preverjanje varnostne odpornosti, phishing kampanje
2. Vzpostavitev in vzdrževanje kulture varnosti
- Izobraževanje in ozaveščanje zaposlenih, phishing simulacije.
- Preverjanje odpornosti na incident
3. Dokazljiva skladnost
- Analize skladnosti z direktivo NIS-2, uredbo DORA in priprava na obvezno poročanje pristojni skupini CSIRT.
Zaključna misel za vodstva
Preprečevanje direktorskih prevar/CEO-fraud ter tudi vseh drugih kibernetskih napadov je cenejše od kakršnegakoli poskusa prenašanja odgovornosti po incidentu.
NIL-ove storitve na področju kibernetske odpornosti in skladnosti so zasnovane ravno zato, da lahko ta dokazni prag samozavestno dosežete.
Za več informacij in preverjanje, ali vaši poslovni procesi zdržijo sodni (in NIS-2) stres-test, nas kontaktirajte. Z veseljem vam bomo odgovorili na vprašanja.
Kako NIL podpira vašo skladnost z NIS2 & DORA?
Kaj ti regulative kot sta NIS2 in DORA pravzaprav pomenijo v praksi in kaj podjetja zares morate narediti? V predavanju je Branko Miličević skozi prizmo konkretnih varnostnih rešitev in procesov pojasnil pot do doseganja skladnosti z najnovejšimi regulativnimi zahtevami. Prav tako je predstavil nekatere uspešne primere rešitev iz prakse, ki tudi vam lahko služijo kot vzor za doseganje ne le skladnosti, ampak tudi učinkovitega obvladovanja kibernetskih tveganj.