🚨 NIS2 już obowiązuje. Edukacja w zakresie bezpieczeństwa jest teraz wymagana przez prawo w UE.

Sprawdź zgodność
Rozpocznij bezpłatny okres próbny
Powrót do Centrum zasobów

NIS2 a odpowiedzialność zarządu: co każdy członek zarządu powinien wiedzieć

Wraz z wejściem w życie dyrektywy NIS2 cyberbezpieczeństwo nie jest już czymś, co zarząd może po prostu zlecić innym i o tym zapomnieć. Dyrektywa nakłada odpowiedzialność bezpośrednio na kierownictwo, a w określonych okolicznościach pociąga poszczególnych członków zarządu do osobistej odpowiedzialności. Niedocenianie tego faktu to nie tylko ryzyko dla organizacji, ale także osobiste ryzyko prawne.

Co mówi dyrektywa NIS2 o roli członków zarządu

Artykuł 20 dyrektywy NIS2 jest jednoznaczny: organy zarządzające organizacji objętych tą dyrektywą muszą zatwierdzać środki w zakresie cyberbezpieczeństwa i aktywnie nadzorować ich wdrażanie. To zasadnicza zmiana w porównaniu z pierwotną dyrektywą NIS1, zgodnie z którą w praktyce za cyberbezpieczeństwo odpowiadał głównie dział IT.

Dyrektywa NIS2 wymaga, żeby członkowie zarządu mieli wystarczającą wiedzę na temat zagrożeń związanych z cyberbezpieczeństwem, żeby mogli skutecznie wypełniać swoje obowiązki nadzorcze. Dyrektywa wyraźnie nakazuje nawet, żeby kadra kierownicza przeszła szkolenia w tej dziedzinie. Nie wystarczy tylko wyznaczyć CISO czy zlecić to zewnętrznej firmie zajmującej się bezpieczeństwem; ostateczna odpowiedzialność spoczywa na zarządzie.

Odpowiedzialność cywilna: co to oznacza w praktyce

W Holandii dyrektywa NIS2 została wdrożona w ustawie o cyberbezpieczeństwie (Cyberbeveiligingswet, Cbw). Ustawa ta wprowadza system odpowiedzialności wykraczający poza kary finansowe dla organizacji. Jeśli uda się wykazać rażące zaniedbanie ze strony członka zarządu, organ nadzorczy może tymczasowo zakazać tej osobie pełnienia funkcji kierowniczych. Środek ten dotyczy konkretnej osoby, a nie całej organizacji.

Mówiąc konkretnie, członek zarządu, który uporczywie nie zapewnia odpowiednich środków bezpieczeństwa cybernetycznego albo który zignorował lub zatuszował poważny incydent, może zostać tymczasowo odwołany ze stanowiska. Uprawnienie to zostało wyraźnie zaprojektowane jako środek mający skłonić członków zarządu do poważnego traktowania swoich obowiązków.

Przepis dotyczący odpowiedzialności osobistej zawarty w ustawie o cyberbezpieczeństwie ma zastosowanie tylko wtedy, gdy można wykazać rażące zaniedbanie ze strony konkretnego członka zarządu. Nie jest to automatyczna konsekwencja każdego incydentu, ale dotyczy wyłącznie sytuacji, w których zarząd w sposób systemowy nie wywiązał się ze swoich obowiązków nadzorczych.

Które organizacje podlegają tym przepisom

W dyrektywie NIS2 rozróżnia się podmioty kluczowe i istotne. Podmioty kluczowe to duże organizacje działające w sektorach o znaczeniu krytycznym, takich jak energetyka, transport, opieka zdrowotna, zaopatrzenie w wodę pitną oraz infrastruktura cyfrowa. Podmioty istotne to średniej wielkości organizacje z tych samych sektorów, a także z branż takich jak przemysł chemiczny, produkcja żywności oraz dostawcy usług cyfrowych.

Obowiązki na poziomie zarządu określone w art. 20 dotyczą obu kategorii. Różnica polega na intensywności nadzoru: podmioty o znaczeniu kluczowym mogą podlegać proaktywnym kontrolom przeprowadzanym przez właściwy organ, podczas gdy nadzór nad podmiotami ważnymi ma zasadniczo charakter reaktywny i jest uruchamiany na podstawie zgłoszeń lub zdarzeń.

Kategoria Rozmiar Nadzór Maksymalna grzywna
Podmiot kluczowy Duże (ponad 250 pracowników lub obroty powyżej 50 mln) Proaktywny 10 milionów euro lub 2% globalnego obrotu
Ważny podmiot Średnie (od 50 do 250 pracowników) Reaktywny 7 milionów euro, czyli 1,4% globalnego obrotu

Czego tak naprawdę oczekuje się od dyrektorów

Prawo nie określa żadnych konkretnych wymagań technicznych wobec członków zarządu, ale nakłada na nich obowiązki organizacyjne i proceduralne. W praktyce sprowadzają się one do czterech zadań:

  • Zatwierdzanie polityki: zarząd musi formalnie przyjąć politykę cyberbezpieczeństwa i okresowo ją weryfikować, a nie tylko zapoznać się z nią dla wiadomości.
  • Przydzielanie środków: odpowiednie środki bezpieczeństwa wymagają zasobów. Zarząd jest odpowiedzialny za zapewnienie tych zasobów.
  • Sprawowanie nadzoru: muszą istnieć kanały komunikacji, które pozwolą zarządowi ocenić stan bezpieczeństwa organizacji, nawet bez specjalistycznej wiedzy technicznej.
  • Postępowanie po wystąpieniu incydentów: w przypadku poważnego incydentu zarząd musi aktywnie uczestniczyć w działaniach naprawczych i wypełnić obowiązek powiadomienia organów nadzorczych.

Obowiązek zgłoszenia i rola zarządu w tym zakresie

NIS2 nakłada surowe wymogi dotyczące zgłaszania poważnych incydentów. Wstępne zgłoszenie musi dotrzeć do właściwego organu w ciągu 24 godzin od wykrycia incydentu. Szczegółowe sprawozdanie należy przedłożyć w ciągu 72 godzin, a sprawozdanie końcowe – w ciągu miesiąca. Terminy te zakładają, że zarząd zostanie natychmiast poinformowany i będzie mógł szybko podjąć działania.

Kierownik, który nie wie, jak wyglądają wewnętrzne procedury eskalacji, albo dowiaduje się o poważnym incydencie dopiero kilka dni później, stwarza sobie niepotrzebne trudności. Zarówno merytoryczne, jak i prawne. Przestrzeganie obowiązku zgłaszania to przecież jedna z tych kwestii, które organy nadzorcze mogą stosunkowo łatwo zweryfikować.

Jak przygotować się do roli reżysera

Przygotowanie zaczyna się od zrozumienia sytuacji. Dyrektor nie musi być ekspertem od bezpieczeństwa, ale musi wiedzieć, jakie zagrożenia stoją przed organizacją, jakie środki zostały wdrożone i jak organizacja reaguje, gdy coś pójdzie nie tak. Wymaga to regularnych raportów dotyczących bezpieczeństwa na poziomie zarządu, jasnych procedur eskalacji oraz planu reagowania na incydenty, z którym zarząd jest zaznajomiony.

NIS2 wyraźnie wymaga też, żeby członkowie zarządu przeszli szkolenie z cyberbezpieczeństwa. Nie chodzi o to, żeby byli biegli w kwestiach technicznych, ale żeby potrafili ocenić ryzyko i przeanalizować politykę bezpieczeństwa. Organizacje, które traktują to poważnie, dokumentują też te szkolenia, żeby podczas audytu móc wykazać, że zarząd wywiązał się ze swoich obowiązków.

Świadomość zagrożeń bezpieczeństwa to często niedoceniany element tego łańcucha – i to nie tylko w przypadku pracowników. Dyrektor, który potrafi rozpoznać próbę phishingu, rozumie, jaka jest stawka, gdy pracownik tego nie potrafi. Guardey pomaga organizacjom wbudować tę świadomość na każdym szczeblu – od hali produkcyjnej po salę konferencyjną.

Zgodność z NIS2 zaczyna się właśnie tutaj

Zadbaj o kulturę bezpieczeństwa, zanim pojawią się organy nadzorcze.

Poproś o demo
Dinela Lokvancic
Dinela Lokvancic Specjalista ds. marketingu Dinela dba o aktualność informacji dotyczących firmy Guardey w Internecie. Tworzy treści, które sprawiają, że złożone tematy związane z cyberbezpieczeństwem stają się przystępne, oraz pomaga organizacjom zrozumieć, dlaczego szkolenia z zakresu świadomości bezpieczeństwa są ważne dla waszych zespołów.
Gotowy, żeby zacząć?

Dołącz do ponad 500 firm, które już chronią swoje zespoły dzięki Guardey

Rozpocznij bezpłatny 14-dniowy okres próbny
14 dni za darmo · Bez karty kredytowej · Pełny dostęp · Konfiguracja w 5 minut
Albo umów się na spersonalizowaną prezentację