Наслідки невідповідності нормативним вимогам
Регуляторний ландшафт постійно змінюється, оскільки регулятори щоразу реагують на нові технології та загрози. У таких умовах ведення бізнесу може бути досить складним. Штрафи та санкції можуть завдати серйозної шкоди підприємству та призвести до його зупинки. У цій статті ми розповімо вам, що таке невідповідність вимогам, і розглянемо, що може означати для вашого бізнесу недбалість у дотриманні правових норм, згідно з якими має працювати ваша компанія.
Що таке невідповідність у бізнесі?
Суть невідповідності, очевидно, полягає в підтвердженому факті невиконання юридичною особою обов'язків або вимог, які продиктовані нормативними документами, стандартами, що застосовуються до цієї особи, або безпосередньо контролюючими органами. Порушення відбувається кожного разу, коли компанія не виконує вимоги. Найменші деталі можуть привернути увагу регулюючих органів, особливо якщо компанія працює в суворо регульованих галузях, таких як фінанси, охорона здоров’я, будівництво, енергетика та транспорт.
Чимало законів, які, на перший погляд, містять лише спеціалізовані положення, містять і вимоги до ІТ-підрозділів. Якщо говорити конкретніше, то з точки зору інформаційної безпеки це можуть бути правила забезпечення конфіденційності, безпеки зберігання та передачі інформації, вимоги до працівників і керівництва, наявність певних технічних засобів і технологій тощо. Отже, для того, щоб бізнес міг діяти в рамках правових норм, потрібно приділяти достатньо уваги стану інформаціної безпеки.
Загальні наслідки невідповідності нормативним вимогам
Можна визначити основні наслідки, з якими рано чи пізно зіткнеться бізнес у разі недотримання нормативних вимог. Давайте розглянемо їх ближче.
Штрафи, зменшення доходу
Компанії, які не дотримуються правил, можуть бути оштрафовані. У деяких випадках штрафи можуть досягати десятків мільйонів доларів. Також компанія внаслідок санкцій може втратити частину доходу. Водночас це один із головних факторів дотримання нормативних вимог.
Зіпсована репутація
Нехтування нормативними документами, втрата конфіденційної інформації про клієнтів або партнерів і негативне висвітлення в ЗМІ можуть завдати непоправної шкоди діловій репутації, а також підірвати довіру до компанії чи бренду та обмежити потенційні можливості. Також у підприємства можуть виникнути труднощі із залученням інвестицій та утриманням цінних кадрів. Це далекосяжні наслідки, які в гіршому випадку можуть призвести до припинення бізнесу.
Аудити
Якщо регулятори підозрюють будь-які порушення, вони можуть вимагати ретельної перевірки бізнес-процесів, документації та звітів. Аудит – це завжди об’ємна і тривала процедура, яка вимагає фінансових витрат і уваги співробітників, що в свою чергу також негативно позначається на доходах компанії.
Перерва в бізнесі
У кращому випадку переривання бізнес-процесів може бути частковим, але в цьому випадку продуктивність бізнесу знизиться. Якщо невідповідність нормам трапляється часто або має серйозний характер, компанія може бути змушена призупинити діяльність. Іноді це може бути фатальним для бізнесу.
Покладання на акціонерів або директорів корпорації особистої відповідальності за дії або борги корпорації
Багато компаній розроблено таким чином, що існує юридичне відокремлення між фактичною юридичною особою, її активами та пасивами, а також власниками бізнесу та його керівництвом. Проте, якщо порушення закону було серйозним або мало тяжкі наслідки, суд може вирішити, що бенефіціари або керівництво компанії повинні нести персональну відповідальність.
Юридичні дії
Позови проти бізнесу є поширеними, якщо компанія недбало виконує свої зобов’язання. Як зазначалося вище, суд може притягнути до відповідальності власників підприємства та його керівництво. Ця відповідальність може не обмежуватися фінансовою компенсацією і може доходити до позбавлення волі.
Втрата бізнесу
У зв'язку з недотриманням правових норм регулятори можуть вжити таких радикальних заходів, як зобов'язання організації припинити діяльність і повністю ліквідувати бізнес. Це може статися, якщо компанія має серйозні проблеми із законом або часто допускає правопорушення.
Наслідки недотримання певних законів і стандартів
GDPR
GDPR — це дуже складний законодавчий акт, який суворо дотримується в ЄС. У разі невідповідності GDPR наслідки можуть бути такими:
1. Попередження — у разі потенційного порушення;
2. Штраф до 20 мільйонів євро, або 4% від загального річного обороту бізнесу в усьому світі, догана або заборона обробки даних — якщо було скоєно правопорушення.
При цьому в разі правопорушення наслідки можуть поєднуватися. Наприклад, крім заборони на обробку персональних даних, як додатковий захід правового захисту може бути накладено штраф. Також варто зазначити, що закон враховує, що компанії можуть бути організовані як група. Тому оштрафувати можуть всю групу, якщо одне з підприємств порушило GDPR. Відповідно, розмір штрафу буде враховувати їх загальний річний оборот по всьому світу.
Якщо ваш бізнес діє в рамках GDPR, проконсультуйтеся з експертами з кібербезпеки, щоб дізнатися, чи відповідає ваш бізнес вимогам, або підтвердити це. Звертаємо увагу, що у експертів ESKA є спеціальні інструменти, які дозволяють автоматизувати та спростити процес збору доказів відповідності GDPR.
Що таке GDPR та як дотримуватись вимог Регламенту?
PCI DSS
Штрафи за недотримання вимог PCI DSS можуть становити від 5 000 до 100 000 доларів на місяць, залежно від розміру компанії, а також ступеня та серйозності порушення. Карткові компанії, які, власне, і запровадили цей стандарт, стягують штрафи. Цікаво, що навіть якщо компанія повністю відповідає всім вимогам стандарту, це не гарантує їй повного захисту, і емітенти карток все одно можуть оштрафувати компанію, хоч і в меншому розмірі.
Крім того, можуть бути застосовані додаткові санкції, наприклад, підвищення ставок платіжних систем і банків, компенсації клієнтам і т. д. Також не варто забувати про непрямі наслідки, які не виходять за рамки вимог стандарту, наприклад як погіршення відносин з банками, втрата довіри та негативний вплив на репутацію компанії.
HIPAA
Недотримання вимог HIPAA може призвести до штрафів у розмірі від 100 до 50 000 доларів США за кожне порушення. Максимальний штраф становить 1,5 мільйона доларів за календарний рік порушення. Закон чітко визначає, як змінюється розмір штрафу, всього чотири рівні:
Перший рівень: компанія не знала і не могла знати про порушення. У цьому випадку розмір штрафу коливається від 1000 до 50 000 доларів США за випадок.
Другий рівень: компанія знала про інцидент або виявила недостатню обачність, діяла з свідомою недбалістю. Штраф коливається від 1000 до 50 000 доларів за кожен випадок.
Третій рівень: компанія діяла з умисною недбалістю. Штраф також коливається від 1000 до 50 000 доларів США за інцидент.
Четвертий рівень: компанія діяла з умисною недбалістю та не усунула порушення. Мінімальний штраф становить 50 тисяч доларів.
Порушення у сфері охорони здоров'я зазвичай карається досить суворо. У всіх випадках максимальний штраф може досягати 1,5 мільйона доларів.
SOX
Закон Сарбейнса-Окслі, крім положень, що стосуються фінансових відділів, бухгалтерів і аудиторів, також містить вимоги до ІТ-відділів. Санкції за невиконання цих вимог можуть включати штрафи, а також виключення компанії з публічних фондових бірж і анулювання страхових полісів D&O. Крім того, згідно із законом, високопосадовці компанії, які надали неправильну документацію для сертифікації відповідності SOX, можуть бути оштрафовані на 5 мільйонів доларів США та ув’язнені на строк до 20 років.
ISO 27001
Оскільки ISO 27001 є добровільним стандартом, він не передбачає жодних значних санкцій за недотримання вимог стандарту. Однак якщо компанія отримала сертифікат ISO 27001 і не відповідає вимогам стандарту, її можуть позбавити сертифікату. При цьому аудитори описують невідповідності, надають докази проблеми та підсумовують, які дії повинна вжити організація, щоб відновити сертифікацію.
Це може статися ненавмисно, наприклад, якщо компанія впроваджує нові політики або інструменти безпеки, або наймає співробітників, але не забезпечує їх навчання навичкам відповідно до стандарту.
Щоб цього не сталося, ви можете найняти досвідчених фахівців, які перевірять, як організована ваша система безпеки. До речі, спеціалісти ESKA використовують автоматизовані інструменти, які прискорюють та полегшують процес сертифікації. Також наша команда може з нуля підготувати вашу компанію до аудиту та отримання сертифікату ISO 27001.
Що таке ISO 27001, огляд процедури як отримати відповідність швидко та легко.
Як залишатися відповідним нормативним вимогам?
Через те, що сучасне законодавство, що регулює діяльність компаній, часто містить величезну кількість вимог, підприємствам буває важко розібратися в правовому полі. Зокрема, це стосується сильно регульованих галузей. Проте учасники бізнесу повинні чітко розуміти свої зобов'язання, щоб не потрапити в ще більш складні умови. Як ми вже говорили вище, наслідки можуть бути різними, значними і тяжкими. Багатомільйонні штрафи за витік інформації та недотримання вимог у банківській та фінансовій сферах є нормальним явищем.
Таким чином, незалежно від розміру вашого бізнесу, ви повинні подбати про пом’якшення ризиків і переконатися, що ваші практики та підходи до інформаційної безпеки є комплексними та надійними. Регулярно перевіряйте ступінь інформаційної безпеки вашої компанії та будьте в курсі останніх змін у правовому полі, а також у сфері інформаційних технологій.
Ви також можете заручитися підтримкою фахівців для вирішення проблем, пов'язаних з кібербезпекою. Якщо у Вас залишилися питання, зв'яжіться з нами будь-яким зручним для Вас способом або залиште свої контактні дані в спеціальній формі на нашому сайті, щоб ми могли призначити зручний час для консультації.