Kontakt z nami
+48 780 151 246
04.12.2025
Dyrektywa NIS 2 zmienia podejście do cyberbezpieczeństwa również co do kwestii odpowiedzialności zarządu przedsiębiorstwa. Dotychczas kwestie, które często były delegowane, stają się pełnoprawną odpowiedzialnością zarządu. Wskazać należy, że brak stosowania się do wytycznych może mieć poważne konsekwencje finansowe oraz reputacyjne dla przedsiębiorstwa, jak również osobiste dla członka zarządu.
Obowiązki zarządu w świetle NIS 2
W związku ze wzrostem liczby incydentów i ataków na infrastrukturę krytyczną, UE zdecydowała, że kierownictwo musi aktywnie nadzorować jakość zabezpieczeń, a nie tylko zatwierdzać budżet, ale rozumieć ryzyka i podejmować świadome decyzje w tym zakresie. Odpowiedzialność za wykonywanie obowiązków w zakresie spełnienia wymogów NIS 2 ponosi kierownik podmiotu ważnego, bądź kluczowego, czyli najczęściej zarząd, bądź członek zarządu odpowiedzialny za kwestie cyberbezpieczeństwa. Jednocześnie, zgodnie z aktualnym projektem o zmianie ustawy o krajowym systemie cyberbezpieczeństwa, za nienależyte wykonanie obowiązków właściwe organy będą mogły nałożyć na członka zarządu karę pieniężną w maksymalnej wysokości 600% wielkości wynagrodzenia.
Zatwierdzanie i nadzorowanie zarządzania ryzykiem
Zarząd ma obowiązek aktywnie uczestniczyć w procesie oceny ryzyka, zatwierdzać polityki bezpieczeństwa, oceniać najważniejsze zagrożenia w organizacji i podejmować decyzje dotyczące inwestycji w zabezpieczenia. Nie jest zatem wystarczająca bierna akceptacja procedur, a wymagany jest ciągły i realny nadzór oraz zrozumienie skutków podejmowanych decyzji.
Nadzór nad wdrożeniem zabezpieczeń
NIS 2 wymaga, aby kierownictwo nadzorowało wdrożenie środków bezpieczeństwa, w tym przede wszystkim w zakresie:
W praktyce oznacza to konieczność regularnego raportowania na poziomie zarządu, przeglądu statusu zabezpieczeń i ocenę skuteczności wdrożonych rozwiązań.
Obowiązek szkolenia kierownictwa
Jednym z najważniejszych wprowadzonych obowiązków jest konieczność odbywania przez zarząd szkoleń z zakresu cyberbezpieczeństwa. Zarząd musi być w stanie rozumieć ryzyka, procesy techniczne oraz działania podejmowane podczas incydentu. Bez tej wiedzy nie są w stanie organizacja nie spełni wymagań NIS 2.
Raportowanie incydentów
NIS 2 wprowadza bardzo krótkie terminy raportowania incydentów – pierwsze zgłoszenie ma nastąpić w ciągu 24 godzin, natomiast pełny raport w 72 godziny. Kierownictwo jest zatem odpowiedzialne za zapewnienie, że organizacja potrafi zareagować w tych ramach czasowych i posiada odpowiednie procedury, zasoby i personel.
Odpowiedzialność osobista i sankcje
Jeżeli zostanie stwierdzone, że kierownictwo nie dopełniło obowiązków w zakresie cyberbezpieczeństwa, może ponieść odpowiedzialność osobistą. Wskazać należy, że mogą to być:
Nowa kultura organizacyjna w zakresie cyberbezpieczeństwa
Obecnie oczekuje się od kierownictwa stworzenia w firmie kultury bezpieczeństwa. Obejmuje to:
Podsumowanie
NIS 2 wprowadza realną odpowiedzialność zarządów za kwestie cyberbezpieczeństwa w przedsiębiorstwie. Kierownictwo musi podejmować świadome decyzje, szkolić się i aktywnie monitorować system bezpieczeństwa organizacji, gdyż za nienależyte wykonanie swoich obowiązków właściwe organy mogą nałożyć na członka zarządu karę pieniężną. Nowe przepisy nie są zatem jedynie formalnością, a od zarządów wymaga się wiedzy, zaangażowania i gotowości do reakcji na cyberzagrożenia.
