Výzva čelit ERTE po kybernetickém útoku

V posledních měsících se obětí počítačových útoků staly velké společnosti jako Iberdrola, Telefónica nebo Banco Santander. Počítačová kriminalita zdaleka neklesá, ale stále roste, což ohrožuje výrobu a práci tisíců pracovníků, a to jak ve velkých korporacích, tak v malých a středních podnicích. Ty jsou často používány jako brána k velkým společnostem v takzvaných útocích na dodavatelský řetězec.

V nejextrémnějších případech kybernetické útoky donutily některé korporace úplně zastavit svou činnost, což vyvolalo otázku, zda lze tyto incidenty považovat za vyšší moc pro zpracování dočasného souboru předpisů o zaměstnanosti (ERTE). V současné době zákon jasně nespecifikuje předpoklady, které by bylo možné do této kategorie zařadit; Rozsudek Nejvyššího soudu 908/2024 však podpořil možnost uplatnění ERTE vyšší moci v případě zastavení činnosti z důvodu kybernetického útoku.

I když se toto řešení může v určitých aspektech zdát užitečné, bylo by nutné ponořit se do tohoto konceptu hlouběji a ujasnit si, co přesně znamená „případ vyšší moci“. Do jaké míry je provádění úkolů v oblasti kybernetické bezpečnosti nebo přítomnost odborníka na zaměstnance dostatečné k prokázání, že útok byl skutečně nevyhnutelný?

Vrchní soud jako výchozí bod poukazuje na to, že pojem „vyšší moc“ (ex článek 1105 občanského zákoníku) označuje „události, které jsou sice předvídatelné, ale jsou nevyhnutelné, nepřekonatelné a neodolatelné, pokud je jejich příčina nezávislé a cizí vůli povinného subjektu.“ Dále objasňuje, že není nutné, aby nastala „nepředvídatelnost“, a postačuje, že i když je předvídatelná, událost je nevyhnutelná. Na druhou stranu Nejvyšší soud zdůrazňuje, že i když je vyšší moc tradičně spojována s přírodními událostmi, lze ji aplikovat i na události způsobené lidmi. Hlavní rozdíl mezi oběma příčinami je v tom, že první je vnější událost, mimo kontrolu společnosti a mimořádné povahy, zatímco druhá je příčinou zavedená, zvýhodněná nebo vyžadovaná okolnostmi, ale vždy běžná a dobrovolná. Některé z těchto lidských událostí však mohou předčit očekávání běžného vývoje, a protože se jim nelze vyhnout (nevyhnutelnost), lze je považovat za vyšší moc.

Kybernetický útok může zcela zastavit činnost, což vyvolává otázku, zda lze tyto incidenty považovat za vyšší moc pro zpracování ERTE.

V konečném důsledku SEPE nabídne společnostem podporu v nezaměstnanosti pouze v případě, že se prokáže, že útok byl nevyhnutelný a že byla přijata nezbytná opatření, aby se mu zabránilo. V praxi je velmi obtížné stanovit konkrétní seznam událostí, které lze považovat za vyšší moc. Jak tedy zajistíme, aby všechny společnosti zasažené kybernetickými útoky splňovaly stejná kritéria při žádosti o výhodu SEPE? Pouhá skutečnost najmout si služby kybernetické bezpečnosti by neměla stačit, protože incident mohl být doprovázen zjevnou nedbalostí. Kdo naopak hodnotí, zda společnost provedla due diligence a dodržela své závazky? Nepřineslo by to procesu složitost a zpoždění?

Jako vždy zůstává nejlepším způsobem, jak se této situaci vyhnout, investovat do kybernetické bezpečnosti, a to na veřejné i soukromé úrovni. Společnosti musí dodržovat bezpečnostní rámce a osvědčené postupy a také dodržovat různé platné předpisy: DORA, NIS2, GDPR a další. Čím více praktik kybernetické bezpečnosti budeme provádět, tím více budeme chráněni v případě incidentu a tím více dokumentace a argumentů můžeme použít k prokázání, že společnost odvedla svou práci.

Závěrem rozhodnutí Nejvyššího soudu zdůrazňuje důležitost investic do kybernetické bezpečnosti. Společnosti musí být proaktivní při ochraně svých systémů, a to nejen proto, aby zabránily útokům, ale také aby se vyhnuly dopadům na pracoviště, které z nich mohou vyplývat. Tento rozsudek představuje pokrok v obraně práv firem proti rozsáhlým kybernetickým útokům, i když neřeší složitost vyhodnocování toho, co je incident vyšší moci. Společnosti doporučujeme, aby pozorně sledovaly, jak se vyvíjí možnost uplatnění ERTE jako opatření ke zmírnění negativních důsledků kybernetického bezpečnostního incidentu. Nejlepší strategií však zůstává investice a prevence. Investice do robustních a aktuálních bezpečnostních opatření je nejlepším způsobem, jak minimalizovat riziko kybernetických útoků a zajistit kontinuitu podnikání.