Kontakt z nami
+48 780 151 246
4 grudnia, 2025
Dyrektywa NIS 2 zmienia podejście do cyberbezpieczeństwa również co do kwestii odpowiedzialności zarządu przedsiębiorstwa. Dotychczas kwestie, które często były delegowane, stają się pełnoprawną odpowiedzialnością zarządu. Wskazać należy, że brak stosowania się do wytycznych może mieć poważne konsekwencje finansowe oraz reputacyjne dla przedsiębiorstwa, jak również osobiste dla członka zarządu.
W związku ze wzrostem liczby incydentów i ataków na infrastrukturę krytyczną, UE zdecydowała, że kierownictwo musi aktywnie nadzorować jakość zabezpieczeń, a nie tylko zatwierdzać budżet, ale rozumieć ryzyka i podejmować świadome decyzje w tym zakresie. Odpowiedzialność za wykonywanie obowiązków w zakresie spełnienia wymogów NIS 2 ponosi kierownik podmiotu ważnego, bądź kluczowego, czyli najczęściej zarząd, bądź członek zarządu odpowiedzialny za kwestie cyberbezpieczeństwa. Jednocześnie, zgodnie z aktualnym projektem o zmianie ustawy o krajowym systemie cyberbezpieczeństwa, za nienależyte wykonanie obowiązków właściwe organy będą mogły nałożyć na członka zarządu karę pieniężną w maksymalnej wysokości 600% wielkości wynagrodzenia.
Zarząd ma obowiązek aktywnie uczestniczyć w procesie oceny ryzyka, zatwierdzać polityki bezpieczeństwa, oceniać najważniejsze zagrożenia w organizacji i podejmować decyzje dotyczące inwestycji w zabezpieczenia. Nie jest zatem wystarczająca bierna akceptacja procedur, a wymagany jest ciągły i realny nadzór oraz zrozumienie skutków podejmowanych decyzji.
NIS 2 wymaga, aby kierownictwo nadzorowało wdrożenie środków bezpieczeństwa, w tym przede wszystkim w zakresie:
W praktyce oznacza to konieczność regularnego raportowania na poziomie zarządu, przeglądu statusu zabezpieczeń i ocenę skuteczności wdrożonych rozwiązań.
Jednym z najważniejszych wprowadzonych obowiązków jest konieczność odbywania przez zarząd szkoleń z zakresu cyberbezpieczeństwa. Zarząd musi być w stanie rozumieć ryzyka, procesy techniczne oraz działania podejmowane podczas incydentu. Bez tej wiedzy nie są w stanie organizacja nie spełni wymagań NIS 2.
NIS 2 wprowadza bardzo krótkie terminy raportowania incydentów – pierwsze zgłoszenie ma nastąpić w ciągu 24 godzin, natomiast pełny raport w 72 godziny. Kierownictwo jest zatem odpowiedzialne za zapewnienie, że organizacja potrafi zareagować w tych ramach czasowych i posiada odpowiednie procedury, zasoby i personel.
Jeżeli zostanie stwierdzone, że kierownictwo nie dopełniło obowiązków w zakresie cyberbezpieczeństwa, może ponieść odpowiedzialność osobistą. Wskazać należy, że mogą to być:
Obecnie oczekuje się od kierownictwa stworzenia w firmie kultury bezpieczeństwa. Obejmuje to:
NIS 2 wprowadza realną odpowiedzialność zarządów za kwestie cyberbezpieczeństwa w przedsiębiorstwie. Kierownictwo musi podejmować świadome decyzje, szkolić się i aktywnie monitorować system bezpieczeństwa organizacji, gdyż za nienależyte wykonanie swoich obowiązków właściwe organy mogą nałożyć na członka zarządu karę pieniężną. Nowe przepisy nie są zatem jedynie formalnością, a od zarządów wymaga się wiedzy, zaangażowania i gotowości do reakcji na cyberzagrożenia.
