Cyberatak na Herbapol – aspekty prawne incydentu i rekomendacje dla firm

W lipcu 2025 roku media obiegła informacja o poważnym ataku hakerskim na jedną z najbardziej rozpoznawalnych polskich marek – Herbapol. Przestępcy zaszyfrowali kluczowe dane firmy i zażądali okupu w zamian za ich odblokowanie. Choć tego typu incydenty stają się coraz powszechniejsze, skala i cel ataku pokazują, że zagrożone są nie tylko globalne korporacje, ale także duże i średnie przedsiębiorstwa działające na rynku krajowym.

Co warto wiedzieć o konsekwencjach prawnych tego rodzaju ataku oraz jakie działania może – i powinna – podjąć zaatakowana firma?

Atak typu ransomware polega na zaszyfrowaniu danych ofiary przez cyberprzestępców i zablokowaniu do nich dostępu. Sprawcy żądają okupu, najczęściej w kryptowalutach, w zamian za klucz deszyfrujący. Takie działania nie tylko paraliżują funkcjonowanie firmy, ale także niosą ze sobą szereg poważnych skutków prawnych.

Zgodnie z RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679), jeśli w wyniku cyberataku dochodzi do naruszenia ochrony danych osobowych, administrator danych ma obowiązek:

• zgłosić incydent do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) – nie później niż w ciągu 72 godzin od momentu stwierdzenia naruszenia,
• informować osoby, których dane dotyczą, jeśli istnieje wysokie ryzyko naruszenia ich praw lub wolności,
• udokumentować incydent, niezależnie od tego, czy podlega on zgłoszeniu.

Polskie prawo nie reguluje wprost kwestii płacenia okupu w cyberprzestępstwach, jednak decydowanie się na przekazanie środków napastnikom wiąże się z dużym ryzykiem:

• brak gwarancji odzyskania danych,
• potencjalne konsekwencje podatkowe i księgowe,
• możliwe uznanie płatności za finansowanie przestępczości zorganizowanej, zwłaszcza w świetle przepisów o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu,
• reputacyjne straty i naruszenie zaufania publicznego.

Zamiast płacić okup, rekomendowane jest skorzystanie z usług specjalistów od cyberbezpieczeństwa oraz zawiadomienie odpowiednich organów ścigania.

W przypadku ataku ransomware mamy do czynienia z poważnym przestępstwem. Zgodnie z art. 287 § 1 Kodeksu karnego, kto bez uprawnienia wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych, podlega karze do 5 lat pozbawienia wolności. W przypadku działania w zorganizowanej grupie przestępczej lub na szkodę wielu podmiotów, kary mogą być znacznie surowsze.

Zaatakowana firma powinna:

• złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa,
• zabezpieczyć dowody cyfrowe (np. logi systemowe, e-maile, komunikaty z żądaniem okupu),
• współpracować z organami ścigania oraz zespołami ds. reagowania na incydenty (np. CERT Polska).

Po incydencie tego rodzaju każda firma powinna dokonać dokładnego przeglądu i aktualizacji polityki bezpieczeństwa IT. Kluczowe elementy to:

• stosowanie backupów offline,
• regularne aktualizacje oprogramowania,
• kontrola dostępu do danych,
• szkolenia dla pracowników z zakresu cyberbezpieczeństwa,
• wdrożenie planów reagowania na incydenty.

Kancelarie prawne specjalizujące się w ochronie danych osobowych i cyberbezpieczeństwie odgrywają istotną rolę w skutecznym zarządzaniu kryzysem. Zakres wsparcia może obejmować m.in.:

• analizę prawną skutków ataku i obowiązków wynikających z RODO,
• reprezentację przed PUODO i organami ścigania,
• negocjacje z ubezpieczycielem (jeśli firma posiada ubezpieczenie cyber),
• doradztwo przy komunikacji kryzysowej,
• pomoc w sporządzaniu i wdrażaniu procedur bezpieczeństwa.

Atak na firmę Herbapol przypomina o tym, jak istotne jest kompleksowe podejście do bezpieczeństwa danych i ciągłości działania. Każda organizacja, niezależnie od wielkości, powinna być przygotowana na scenariusz ataku hakerskiego – zarówno pod względem technicznym, jak i prawnym.

Masz pytania – napisz do nas!

Potrzebujesz pomocy prawnej przy prowadzeniu działalności? Skontaktuj się z naszą kancelarią – zapewniamy kompleksową obsługę prawną przedsiębiorców.