Problematika odpovědnostního hlediska v oblasti kybernetické bezpečnosti je aktuální a ve společnosti stále diskutovanější téma, zejména pak na manažerské úrovni v obchodních korporacích. Vzhledem k neustále se rozvíjejícímu využívání moderních informačních technologií počet počítačových či kybernetických útoků neustále roste. Útočníci zpravidla útočí ze zahraničí a jsou natolik zkušení, že zvládnou proniknout i do systémů spravovaných státem a tyto systémy vyřadit z provozu či využít ke svému prospěchu. Prokázat odpovědnost a domoci se uhrazení vzniklé škody ve vztahu k samotným pachatelům počítačových útoků bývá velmi problematické. Prokázání odpovědnosti pachatele počítačového útoku je problematické nikoliv pouze z důvodu existence zahraničního prvku, ale předně z důvodu obtížné technické prokazatelnosti původcovství počítačových útoků. Pro právní praxi je nyní aktuální výzvou možnost dovození odpovědnosti za nedbalostní trestný čin nebo soukromoprávní delikt u koncového uživatele, například u zaměstnance obchodní korporace.
Právní úprava kybernetické bezpečnosti upravuje práva a povinnosti osob, a dále pravomoc a působnost orgánů veřejné moci v oblasti kybernetické bezpečnosti. Hlavním smyslem právní úpravy je ochrana funkčnosti kybernetického prostoru. Právní úprava v České republice, jakož i evropská legislativa nicméně nedopadá na koncového uživatele a nezakládá mu povinnosti, a tedy samozřejmě ani případné sankce za jejich porušení.
Pro založení odpovědnosti u koncových uživatelů je proto nezbytné postupovat dle standardních pravidel trestní či civilní odpovědnosti. V trestním právu lze při dodržení zásady subsidiarity trestní represe stíhat pouze nejzávažnější formy společensky nebezpečného jednání, a to především na základě aplikace skutkové podstaty trestné činu obecného ohrožení z nedbalosti dle § 274 trestního zákoníku, či dále na základě aplikace skutkové podstaty trestného činu poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti dle § 232 trestního zákoníku. Častěji však dojde k založení odpovědnosti u koncových uživatelů skrze soukromoprávní předpoklad upravený v § 2910 občanského zákoníku, podle kterého každá osoba včetně zaměstnance odpovídá za škodu, kterou způsobí svým zaviněným protiprávním jednáním.
Soukromé právo přitom považuje za zaviněné protiprávní jednání i takové jednání, které je vedeno v nevědomé nedbalosti tzv. „škůdce“. Jde o případy, kdy je škoda způsobena koncovým uživatelem, který škodit nechce, a dokonce ani nemusí vědět, že takové jednání v konečném důsledku vede ke vzniku škody, vědět to však může a má. Při výpočtu skutečné škody způsobené koncovým uživatelem nelze odhlédnout od skutečnosti, že tento nemůže být odpovědný za celkovou škodu způsobenou počítačovým útokem, ale ve smyslu § 2915 občanského zákoníku pouze za tu její část, která odpovídá míře jeho vlastního zavinění. V případě zaměstnance a škody způsobené nedbalostním jednáním pak samozřejmě bude platit zákonné omezení povinnosti k náhradě škody rovnající se maximálně čtyřapůlnásobku jeho průměrného měsíčního výdělku.
Uvedeme-li modelový příklad, ve kterém je koncovým uživatelem zaměstnanec obchodní korporace, bude pro splnění předpokladu zavinění rozhodující zejména skutečnost, zda došlo k porušení takových bezpečnostních opatření, která jsou srozumitelně nastavena v interním předpisu konkrétní obchodní korporace. Zaměstnanec, který při znalosti interních předpisů vědět má a může o tom, jak svůj systém zabezpečit (např. neotevírání neznámých příloh v e-mailu nebo nenavštěvování nedůvěryhodných webů) a umožní jeho zneužití počítačovým útokem, bude odpovědný za škodu, která je tímto počítačovým útokem způsobena.
Interní předpis obchodní korporace je závazný jednostranný akt ukládající zaměstnanci konkrétní povinnosti, které je zaměstnanec povinen dodržovat v průběhu pracovního procesu. Jak má takový interní předpis obchodní korporace ve světle výše uvedeného vypadat?
Interní předpis v oblasti kybernetické bezpečnosti musí precizně a srozumitelně popisovat bezpečnostní požadavky pro danou pracovní pozici. Zaměstnanec musí být schopen tyto bezpečnostní požadavky pochopit a dodržovat bez nutnosti dalšího studia nad rámec své kvalifikace. V interních předpisech lze upravit rovněž povinnost zaměstnance, která nespočívá v příkazu jednat určitým způsobem, ale naopak strpět určité jednání. Typicky půjde o stanovení možnosti zaměstnavatele v mezích zákona zasáhnout do osobnostních práv zaměstnance, zejména pak do jeho práva na soukromí. Do interních předpisů není naopak nutné uvádět povinnosti či zásady, jejichž znalost je s ohledem na typ pracovní pozice předpokládaná, např. stanovení zákazu psaní přístupových hesel na lísteček nalepený na viditelném místě na pracovišti. Nesplnění této povinnosti by bezesporu při vzniku škody počítačovým útokem vedlo k naplnění předpokladů nedbalostního zavinění a při splnění dalších předpokladů deliktního práva i k povinnosti uhradit vzniklou škodu.
