Przejdź do treści głównej
NIS2Certify
Powrót do przeglądu

NIS2 i osobista odpowiedzialność zarządu: co musi wiedzieć każdy dyrektor

Autor: NIS2Certify
nis2odpowiedzialnosc-zarzadugovernanceartykul-20dyrektorzy

Większość regulacji dotyczących cyberbezpieczeństwa jest skierowana do organizacji. NIS2 idzie o krok dalej: jest skierowana do Ciebie osobiście jako członka zarządu.

Artykuł 20 Dyrektywy NIS2 nakłada odpowiedzialność za cyberbezpieczeństwo jednoznacznie na organ zarządzający. Jeśli Twoja organizacja nie wdroży odpowiednich środków cyberbezpieczeństwa, Ty — jako indywidualny dyrektor — możesz zostać pociągnięty do osobistej odpowiedzialności.

Co dokładnie mówi artykuł 20?

Czy NIS2 Dotyczy Twojej Organizacji?
1
Czy Twoja organizacja działa w sektorze kluczowym lub ważnym (energia, transport, ochrona zdrowia, infrastruktura cyfrowa itp.)?
TakNie
2
Czy Twoja organizacja zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót przekraczający 10 milionów euro?
TakNie
3
Czy Twoja organizacja jest dostawcą infrastruktury krytycznej lub kwalifikowanym dostawcą usług zaufania?
TakNie
NIS2 nie dotyczy bezpośrednio Twojej organizacji.
NIS2 dotyczy Twojej organizacji jako podmiotu kluczowego lub ważnego.
!
NIS2 może dotyczyć Twojej organizacji — skonsultuj się z prawnikiem w celu potwierdzenia statusu.
Dotyczy
Możliwe zastosowanie
Nie dotyczy

1. Zatwierdzać środki zarządzania ryzykiem

Zarząd musi formalnie zatwierdzić środki z artykułu 21 — polityki bezpieczeństwa, oceny ryzyka, plany reagowania na incydenty i alokację zasobów.

2. Nadzorować wdrażanie

Samo zatwierdzenie nie wystarczy. Zarząd musi aktywnie nadzorować, czy zatwierdzone środki są faktycznie wdrażane.

3. Ponosić osobistą odpowiedzialność

Jeśli organizacja nie przestrzega obowiązków NIS2, poszczególni członkowie zarządu mogą ponosić osobistą odpowiedzialność: osobiste kary finansowe, tymczasowy zakaz pełnienia funkcji kierowniczych, publiczne ujawnienie.

4. Odbyć szkolenie z cyberbezpieczeństwa

Członkowie zarządu muszą odbyć szkolenie, aby identyfikować ryzyka i oceniać adekwatność wdrożonych środków.

Dlaczego to jest inne niż pozostałe regulacje?

RODONIS2
Kto odpowiada?OrganizacjaOrganizacja i poszczególni członkowie zarządu
Konsekwencje osobiste?RzadkoWyraźnie przewidziane
Szkolenie zarządu?Nie wymaganeTak — obowiązkowe
Aktywny nadzór?DorozumianyWyraźnie wymagany

Kary

Dla organizacji

  • Podmioty kluczowe: do 10 mln € lub 2% światowego rocznego obrotu
  • Podmioty ważne: do 7 mln € lub 1,4% światowego rocznego obrotu

Dla poszczególnych członków zarządu

  • Osobiste kary finansowe — niezależne od kar korporacyjnych
  • Tymczasowy zakaz pełnienia funkcji kierowniczych
  • Szkoda reputacyjna — publiczne ujawnienie
  • Odpowiedzialność cywilna — możliwe pozwy ze strony akcjonariuszy

Obrona „nie wiedziałem" nie działa

NIS2 wyraźnie wymaga szkolenia i aktywnego nadzoru. Nieświadomość nie jest realną obroną.

Co powinni teraz zrobić członkowie zarządu?

  1. Zrozumieć swoje obowiązki — artykuły 20 i 21 dyrektywy NIS2
  2. Ocenić obecną sytuację — jakie środki z artykułu 21 są wdrożone?
  3. Odbyć szkolenie z cyberbezpieczeństwa — pod NIS2 nie jest opcjonalne
  4. Sformalizować nadzór — regularne raporty cyberbezpieczeństwa dla zarządu
  5. Zatwierdzać polityki bezpieczeństwa — stały punkt porządku obrad
  6. Przydzielić odpowiednie zasoby — niewystarczający budżet = współodpowiedzialność
  7. Dokumentować wszystko — decyzje zarządu, szkolenia, wdrożone środki
  8. Monitorować ryzyka łańcucha — rozumieć kluczowe zależności od dostawców

Zacznij od bezpłatnego quickscanu NIS2

Nasz bezpłatny quickscan NIS2 ocenia Twoją gotowość we wszystkich 10 kategoriach środków artykułu 21. Podziel się wynikami z zarządem.

Czytaj też

Zrób bezpłatny quickscan →

    NIS2 i osobista odpowiedzialność zarządu: co musi wiedzieć każdy dyrektor — NIS2Certify