16 kwietnia 2026 r. • NIS2
Wraz z wejściem w życie dyrektywy NIS2 cyberbezpieczeństwo nie jest już czymś, co zarząd może po prostu zlecić innym i o tym zapomnieć. Dyrektywa nakłada odpowiedzialność bezpośrednio na kierownictwo, a w określonych okolicznościach pociąga poszczególnych członków zarządu do osobistej odpowiedzialności. Niedocenianie tego faktu to nie tylko ryzyko dla organizacji, ale także osobiste ryzyko prawne.
Co mówi dyrektywa NIS2 o roli członków zarządu
Artykuł 20 dyrektywy NIS2 jest jednoznaczny: organy zarządzające organizacji objętych tą dyrektywą muszą zatwierdzać środki w zakresie cyberbezpieczeństwa i aktywnie nadzorować ich wdrażanie. To zasadnicza zmiana w porównaniu z pierwotną dyrektywą NIS1, zgodnie z którą w praktyce za cyberbezpieczeństwo odpowiadał głównie dział IT.
Dyrektywa NIS2 wymaga, żeby członkowie zarządu mieli wystarczającą wiedzę na temat zagrożeń związanych z cyberbezpieczeństwem, żeby mogli skutecznie wypełniać swoje obowiązki nadzorcze. Dyrektywa wyraźnie nakazuje nawet, żeby kadra kierownicza przeszła szkolenia w tej dziedzinie. Nie wystarczy tylko wyznaczyć CISO czy zlecić to zewnętrznej firmie zajmującej się bezpieczeństwem; ostateczna odpowiedzialność spoczywa na zarządzie.
Odpowiedzialność cywilna: co to oznacza w praktyce
W Holandii dyrektywa NIS2 została wdrożona w ustawie o cyberbezpieczeństwie (Cyberbeveiligingswet, Cbw). Ustawa ta wprowadza system odpowiedzialności wykraczający poza kary finansowe dla organizacji. Jeśli uda się wykazać rażące zaniedbanie ze strony członka zarządu, organ nadzorczy może tymczasowo zakazać tej osobie pełnienia funkcji kierowniczych. Środek ten dotyczy konkretnej osoby, a nie całej organizacji.
Mówiąc konkretnie, członek zarządu, który uporczywie nie zapewnia odpowiednich środków bezpieczeństwa cybernetycznego albo który zignorował lub zatuszował poważny incydent, może zostać tymczasowo odwołany ze stanowiska. Uprawnienie to zostało wyraźnie zaprojektowane jako środek mający skłonić członków zarządu do poważnego traktowania swoich obowiązków.
Przepis dotyczący odpowiedzialności osobistej zawarty w ustawie o cyberbezpieczeństwie ma zastosowanie tylko wtedy, gdy można wykazać rażące zaniedbanie ze strony konkretnego członka zarządu. Nie jest to automatyczna konsekwencja każdego incydentu, ale dotyczy wyłącznie sytuacji, w których zarząd w sposób systemowy nie wywiązał się ze swoich obowiązków nadzorczych.
Które organizacje podlegają tym przepisom
W dyrektywie NIS2 rozróżnia się podmioty kluczowe i istotne. Podmioty kluczowe to duże organizacje działające w sektorach o znaczeniu krytycznym, takich jak energetyka, transport, opieka zdrowotna, zaopatrzenie w wodę pitną oraz infrastruktura cyfrowa. Podmioty istotne to średniej wielkości organizacje z tych samych sektorów, a także z branż takich jak przemysł chemiczny, produkcja żywności oraz dostawcy usług cyfrowych.
Obowiązki na poziomie zarządu określone w art. 20 dotyczą obu kategorii. Różnica polega na intensywności nadzoru: podmioty o znaczeniu kluczowym mogą podlegać proaktywnym kontrolom przeprowadzanym przez właściwy organ, podczas gdy nadzór nad podmiotami ważnymi ma zasadniczo charakter reaktywny i jest uruchamiany na podstawie zgłoszeń lub zdarzeń.
| Kategoria | Rozmiar | Nadzór | Maksymalna grzywna |
|---|---|---|---|
| Podmiot kluczowy | Duże (ponad 250 pracowników lub obroty powyżej 50 mln) | Proaktywny | 10 milionów euro lub 2% globalnego obrotu |
| Ważny podmiot | Średnie (od 50 do 250 pracowników) | Reaktywny | 7 milionów euro, czyli 1,4% globalnego obrotu |
Czego tak naprawdę oczekuje się od dyrektorów
Prawo nie określa żadnych konkretnych wymagań technicznych wobec członków zarządu, ale nakłada na nich obowiązki organizacyjne i proceduralne. W praktyce sprowadzają się one do czterech zadań:
- Zatwierdzanie polityki: zarząd musi formalnie przyjąć politykę cyberbezpieczeństwa i okresowo ją weryfikować, a nie tylko zapoznać się z nią dla wiadomości.
- Przydzielanie środków: odpowiednie środki bezpieczeństwa wymagają zasobów. Zarząd jest odpowiedzialny za zapewnienie tych zasobów.
- Sprawowanie nadzoru: muszą istnieć kanały komunikacji, które pozwolą zarządowi ocenić stan bezpieczeństwa organizacji, nawet bez specjalistycznej wiedzy technicznej.
- Postępowanie po wystąpieniu incydentów: w przypadku poważnego incydentu zarząd musi aktywnie uczestniczyć w działaniach naprawczych i wypełnić obowiązek powiadomienia organów nadzorczych.
Obowiązek zgłoszenia i rola zarządu w tym zakresie
NIS2 nakłada surowe wymogi dotyczące zgłaszania poważnych incydentów. Wstępne zgłoszenie musi dotrzeć do właściwego organu w ciągu 24 godzin od wykrycia incydentu. Szczegółowe sprawozdanie należy przedłożyć w ciągu 72 godzin, a sprawozdanie końcowe – w ciągu miesiąca. Terminy te zakładają, że zarząd zostanie natychmiast poinformowany i będzie mógł szybko podjąć działania.
Kierownik, który nie wie, jak wyglądają wewnętrzne procedury eskalacji, albo dowiaduje się o poważnym incydencie dopiero kilka dni później, stwarza sobie niepotrzebne trudności. Zarówno merytoryczne, jak i prawne. Przestrzeganie obowiązku zgłaszania to przecież jedna z tych kwestii, które organy nadzorcze mogą stosunkowo łatwo zweryfikować.
Jak przygotować się do roli reżysera
Przygotowanie zaczyna się od zrozumienia sytuacji. Dyrektor nie musi być ekspertem od bezpieczeństwa, ale musi wiedzieć, jakie zagrożenia stoją przed organizacją, jakie środki zostały wdrożone i jak organizacja reaguje, gdy coś pójdzie nie tak. Wymaga to regularnych raportów dotyczących bezpieczeństwa na poziomie zarządu, jasnych procedur eskalacji oraz planu reagowania na incydenty, z którym zarząd jest zaznajomiony.
NIS2 wyraźnie wymaga też, żeby członkowie zarządu przeszli szkolenie z cyberbezpieczeństwa. Nie chodzi o to, żeby byli biegli w kwestiach technicznych, ale żeby potrafili ocenić ryzyko i przeanalizować politykę bezpieczeństwa. Organizacje, które traktują to poważnie, dokumentują też te szkolenia, żeby podczas audytu móc wykazać, że zarząd wywiązał się ze swoich obowiązków.
Świadomość zagrożeń bezpieczeństwa to często niedoceniany element tego łańcucha – i to nie tylko w przypadku pracowników. Dyrektor, który potrafi rozpoznać próbę phishingu, rozumie, jaka jest stawka, gdy pracownik tego nie potrafi. Guardey pomaga organizacjom wbudować tę świadomość na każdym szczeblu – od hali produkcyjnej po salę konferencyjną.
Zgodność z NIS2 zaczyna się właśnie tutaj
Zadbaj o kulturę bezpieczeństwa, zanim pojawią się organy nadzorcze.