Image

Odpowiedzialność członków zarządu w NIS2 – jak uniknąć ryzyka osobistego?

Odpowiedzialność członków zarządu w NIS2 – jak uniknąć ryzyka osobistego?

Unijna dyrektywa NIS2 znacząco zmienia podejście do odpowiedzialności za cyberbezpieczeństwo w organizacjach. Ostateczna odpowiedzialność za bezpieczeństwo informacji spoczywa na organie zarządzającym (zarządzie) podmiotu, a niewywiązanie się z nowych obowiązków może skutkować dotkliwymi sankcjami, w tym osobistą odpowiedzialnością decydentów. To kulturowa zmiana, gdzie cyberbezpieczeństwo przestaje być postrzegane wyłącznie jako problem działu IT, a staje się elementem nadzoru korporacyjnego, równie ważnym jak finanse czy zgodność z prawem. NIS2 wprowadza formalną odpowiedzialność najwyższej kadry kierowniczej za nieprzestrzeganie wymogów zarządzania ryzykiem cyber, zmuszając zarządy do włączenia cyberbezpieczeństwa na stałe do swojej agendy. W praktyce oznacza to, że każdy członek zarządu średniej lub dużej firmy objętej dyrektywą powinien zadać sobie pytanie „czy mamy nad tym kontrolę?”

 

Nowe obowiązki zarządu według art. 20 dyrektywy NIS2

Najważniejsze zmiany NIS2 dotyczą art. 20 dyrektywy, który wprost definiuje zadania i odpowiedzialność „organu zarządzającego” w obszarze cyberbezpieczeństwa. W praktyce za organ zarządzający uważa się zarząd spółki lub równoważne ciało decyzyjne. Do kluczowych obowiązków członków zarządu (podmiotów kluczowych i ważnych w rozumieniu NIS2) należą teraz m.in.:

– zatwierdzanie polityk i środków zarządzania ryzykiem cyber

Zarząd musi formalnie zatwierdzać wdrożenie środków technicznych i organizacyjnych służących spełnieniu wymogów bezpieczeństwa z art. 21 NIS2. Już nie wystarczy zdawkowa akceptacja budżetu IT – oczekuje się świadomej decyzji zatwierdzającej np. strategie cyberbezpieczeństwa, polityki bezpieczeństwa informacji, plany ciągłości działania itp.

– nadzór nad wdrożeniem i przestrzeganiem wymogów

Zarząd ma obowiązek nadzorować cały proces zarządzania ryzykiem cyber i zgodności z NIS2. Innymi słowy, powinien monitorować postępy, egzekwować realizację działań i upewniać się, że organizacja spełnia obowiązki (np. reaguje na incydenty, usuwa podatności, prowadzi wymagane dokumentacje). Wymaga to ustanowienia mechanizmów raportowania i kontroli wewnętrznej.

– osobista odpowiedzialność za naruszenia

Dyrektywa wskazuje, że członkowie zarządu mogą zostać pociągnięci do odpowiedzialności za naruszenie przepisów (np. zaniedbanie wymogów art. 21 dyrektywy). To oznacza, że organy nadzorcze będą mogły kierować sankcje nie tylko do firmy jako całości, ale bezpośrednio do osób zasiadających w zarządzie, jeśli stwierdzą, że doszło do zaniedbań z ich strony.

– obowiązkowe szkolenia z cyberbezpieczeństwa

Zarząd oraz osoby na najwyższym szczeblu kierowniczym muszą regularnie podnosić swoje kompetencje w zakresie cyberbezpieczeństwa poprzez szkolenia. Celem jest zapewnienie, że każdy dyrektor posiada wystarczającą wiedzę, by zidentyfikować zagrożenia i ocenić praktyki zarządzania ryzykiem we własnej organizacj. Co więcej, dyrektywa zachęca również do oferowania podobnych regularnych szkoleń pracownikom na niższych szczeblach.

W efekcie tych zmian cyberbezpieczeństwo staje się kwestią nadzoru korporacyjnego. Dla wielu zarządów będzie to nowość, gdyż dotąd delegowano te sprawy na poziom działu IT lub bezpieczeństwa. Teraz prawo wymusza, by zarząd osobiście angażował się w kwestie cyber i brał za nie odpowiedzialność, podobnie jak za finanse spółki czy zgodność z regulacjami. Jak podkreśla Komisja Europejska, ma to „przynieść cyberbezpieczeństwo do sali posiedzeń zarządu” i zagwarantować, że kierownictwo traktuje je priorytetowo.

 

Surowe sankcje finansowe i osobiste za brak zgodności z NIS2

Nowe obowiązki wprowadzone przez NIS2 idą w parze z realnymi konsekwencjami, zarówno dla organizacji, jak i dla członków zarządu. Dyrektywa przewiduje minimalne progi sankcji, które państwa członkowskie muszą wdrożyć, a także otwiera drogę do kar osobistych i w skrajnych przypadkach również odpowiedzialności karnej.


Kary finansowe dla organizacji mogą sięgać bardzo wysokich kwot. Dla podmiotów kluczowych (najważniejsze sektory, np. energetyka, transport, bankowość, zdrowie, infrastruktura cyfrowa) NIS2 wymaga ustanowienia maksymalnej kary na poziomie co najmniej 10 mln euro lub 2% globalnego rocznego obrotu – w zależności, która wartość jest wyższa. Dla podmiotów ważnych (istotne, ale nie kluczowe sektory, np. usługi cyfrowe, produkcja żywności, przemysł chemiczny) pułap kary to co najmniej 7 mln euro lub 1,4% obrotu. Ostateczne wysokości kar będą zależeć od prawa krajowego – dyrektywa podaje minima, a państwa mogą ustalić wyższe. Przykładowo, polski projekt ustawy implementującej NIS2 przewiduje, że za naruszenie obowiązków z zakresu cyberbezpieczeństwa firma (podmiot) może zostać ukarana administracyjnie, nawet jeśli naruszenie już ustało, biorąc pod uwagę m.in. czas trwania i skutki incydentu.


Kary dla osób zarządzających to zupełnie nowy element. Organ nadzorczy będzie mógł ukarać bezpośrednio członka zarządu za zaniedbania, niezależnie od kar nałożonych na samą spółkę. Możliwe sankcje osobiste obejmują m.in.:

– grzywny pieniężne dla menedżerów

Nowe przepisy krajowe umożliwią nakładanie kar finansowych bezpośrednio na członków zarządu, nawet jeśli firma już usunęła naruszenia. W Polsce przewidziano maksymalną grzywnę do 600% miesięcznego wynagrodzenia danej osoby. Tak wysoka sankcja ma działać odstraszająco i przypominać, że osobiste zaniedbania mogą słono kosztować.

– czasowe zawieszenie lub zakaz pełnienia funkcji

Przy poważnych lub powtarzających się uchybieniach, regulatorzy będą mogli czasowo zawiesić członka zarządu lub zakazać mu pełnienia funkcji kierowniczych w podmiotach objętych NIS2. Szczególnie dotyczy to firm z sektorów kluczowych, gdzie ryzyko systemowe jest największe.

– upublicznienie informacji o naruszeniu i osobach odpowiedzialnych

Organ regulacyjny może nakazać podanie do publicznej wiadomości informacji o stwierdzonym naruszeniu oraz wskazanie osób za nie odpowiedzialnych. Innymi słowy, nazwisko członka zarządu, który zaniedbał obowiązki, może zostać publicznie ujawnione wraz z opisem uchybienia.

– odpowiedzialność karna

Choć NIS2 nie tworzy katalogu przestępstw, wymaga od państw zapewnienia skutecznej egzekucji obowiązków. Polski projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa  wprost wskazuje na możliwość pociągnięcia członka zarządu do odpowiedzialności karnej za rażące zaniedbania, np. zaniechanie nadzoru, fałszowanie informacji czy niezgłoszenie incydentu. W skrajnych przypadkach może to oznaczać postępowanie karne wobec menedżera.

 

Wszystkie powyższe środki mają na celu jedno, tj. skłonić zarządy do aktywnego zaangażowania się w kwestie cyberbezpieczeństwa i niepozostawiania ich wyłącznie ekspertom technicznym. W praktyce oznacza to konieczność ustanowienia odpowiednich struktur nadzoru, mechanizmów zgodności i kultury odpowiedzialności. Dla członków zarządów stanowi to jasny sygnał, że nieznajomość lub ignorowanie nowych obowiązków może ich osobiście drogo kosztować.

 

 

Dobre praktyki nadzoru nad cyberbezpieczeństwem w zarządzie według NIS2

Dyrektywa NIS2 wymaga, by zarządy nie tylko formalnie zatwierdzały środki bezpieczeństwa, ale również sprawowały aktywny i udokumentowany nadzór. Poniżej zestaw rekomendowanych praktyk, które pomagają wypełnić ten obowiązek i ograniczyć ryzyko osobiste decydentów.

1. Włącz cyberbezpieczeństwo do ładu korporacyjnego

Traktuj cyberzagrożenia jak każde inne ryzyko strategiczne, tj. zdefiniuj poziom akceptowalnego ryzyka, uwzględnij cyber w politykach oraz w Enterprise Risk Management. Komitety ds. ryzyka i audytu powinny obejmować swoim zakresem także bezpieczeństwo informacji.

2. Powołaj komitet ds. cyberbezpieczeństwa lub wyznacz „cyber-referenta” w zarządzie

Wyznacz osobę odpowiedzialną za nadzór nad cyberbezpieczeństwem lub stwórz komitet cyber na poziomie zarządu/rady. To wzmacnia nadzór i pozwala uniknąć rozmycia odpowiedzialności także w kontekście polskich przepisów.

3. Regularne, cykliczne raporty dla zarządu

Cykliczne (np. kwartalne) raporty CISO/CIO powinny zawierać incydenty, wskaźniki bezpieczeństwa, poziom zgodności z NIS2 i rekomendacje decyzyjne. Zarząd podejmuje świadome decyzje, posiadając aktualny obraz sytuacji.

4. Protokołowanie i formalne uchwały

Protokół i uchwała to dowód, że zarząd sprawuje realny nadzór. Każda decyzja dot. bezpieczeństwa, tj. polityki, budżet, plan działań, powinna być udokumentowana i zatwierdzona w sposób formalny.

5. Jasna struktura odpowiedzialności

Określ, kto za co odpowiada, od zarządu po zespół techniczny. Matryca RACI porządkuje nadzór, ale nie zwalnia zarządu z odpowiedzialności, więc warto to jasno zasygnalizować w strukturze wewnętrznej.

6. Niezależne audyty i ocena zgodności

Co najmniej co dwa lata przeprowadzaj kompleksowy audyt bezpieczeństwa. Regularne testy, benchmarki i kontrole zgodności dają zarządowi rzetelne podstawy do podejmowania decyzji oraz dowód staranności.

7. Sprawny plan reagowania i procedury eskalacji

Zarząd powinien znać ogólny plan postępowania w razie incydentu i wiedzieć, kiedy oraz jak jest informowany. Uproszczone, realistyczne procedury eskalacji pomagają uniknąć chaosu w sytuacjach krytycznych.

8. Dokumentuj wszystko i demonstruj należytą staranność

Certyfikaty szkoleń, raporty, decyzje, zatwierdzone budżety – wszystko powinno być udokumentowane. To tarcza ochronna dla zarządu na wypadek kontroli lub odpowiedzialności osobistej po incydencie.

 

Podsumowując, zarząd musi stworzyć ramy governance dla cyberbezpieczeństwa i aktywnie w nich uczestniczyć. NIS2 nie narzuca dokładnie jak to zrobić – pozostawia organizacjom pewną elastyczność. Jednak praktyki opisane powyżej odpowiadają oczekiwaniom regulatorów i stanowią rozsądne minimum, by móc powiedzieć, że „nasz zarząd faktycznie sprawuje nadzór nad cyberbezpieczeństwem”.

 

Obowiązkowe szkolenia NIS2 dla kadry zarządzającej – jak je zorganizować?

Dyrektywa NIS2 wprowadza jeden z najbardziej wymiernych obowiązków dla zarządów, tj. regularne szkolenia z cyberbezpieczeństwa. Nie chodzi tu o techniczną ekspertyzę, lecz o zdolność rozumienia cyberzagrożeń, ryzyk i ich wpływu na działalność firmy. Świadomy nadzór wymaga podstawowej wiedzy i aktualnej perspektywy.

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa przewiduje co najmniej jedno szkolenie rocznie dla każdego członka zarządu podmiotu kluczowego lub ważnego. Szkolenie powinno być formalnie potwierdzone, np. certyfikatem, listą obecności lub protokołem. W praktyce warto jednak pójść dalej i wdrożyć model oparty na cyklicznych, krótszych sesjach uzupełnianych raz do roku szkoleniem strategicznym.

Najlepiej sprawdzają się szkolenia zamknięte, szyte na miarę organizacji, z odniesieniem do jej specyfiki, branży i ryzyk. Treści powinny być przygotowane przez eksperta (wewnętrznego lub zewnętrznego), który zna realia firmy i/lub sektora, w którym działa firma. Wysoka skuteczność wymaga interaktywności, w tym scenariuszy, sesji Q&A, wspólnej analizy przypadków. Szkolenie powinno dotyczyć aspektów strategicznych, tj. odpowiedzialności zarządu, mechanizmów reagowania, zarządzania incydentami i decyzji w kryzysie.

Równie ważna, jak treść, jest dokumentacja. Brak potwierdzenia udziału w szkoleniu może zostać uznany za naruszenie obowiązków członka zarządu. Dlatego każda sesja powinna być udokumentowana i przechowywana jako dowód należytej staranności.

Zarząd odpowiada także za kulturę organizacyjną, w tym system szkoleń pracowniczych. Artykuł 20 NIS2 zobowiązuje państwa do promowania budowania świadomości w firmach. W praktyce warto wdrożyć regularne szkolenia z cyberhigieny i phishingu, testy socjotechniczne oraz kampanie edukacyjne, dopasowane do działów. Rolą zarządu jest zapewnienie budżetu i wsparcia dla takich działań, także przez osobisty przykład.

Podsumowując, szkolenia przestały być dobrą praktyką, a stały się wymogiem prawa. Przemyślany, udokumentowany i cykliczny program szkoleniowy zarządu to dziś kluczowy element ograniczania osobistej odpowiedzialności i jeden z najlepszych dowodów faktycznego nadzoru nad cyberbezpieczeństwem.

 

Jak ograniczyć ryzyko osobiste wynikające z NIS2? – praktyczne rekomendacje dla menedżerów

Perspektywa osobistej odpowiedzialności może niepokoić wielu członków zarządów. Jednak odpowiednie działania prewencyjne pozwolą znacząco zredukować ryzyko, że kiedykolwiek znajdziemy się na celowniku regulatora. Oto podsumowanie rekomendacji, które każdy menedżer wyższego szczebla powinien rozważyć, by chronić siebie i swoją firmę w obliczu NIS2:

– Poznaj swoje obowiązki i zadbaj o zgodność (compliance)

Zdobądź podstawową wiedzę o wymogach NIS2 i sprawdź, czy organizacja przeprowadziła analizę luk i ma plan wdrożeniowy. Jeśli nie, zainicjuj to, np. zlecając audyt zgodności. Monitoruj postępy, pytaj o raporty, interesuj się terminami ustawowymi.

– Zapewnij odpowiednie zasoby i budżet

Bezpieczeństwo wymaga inwestycji. Jeśli pojawiają się potrzeby zgłaszane przez CISO lub dział IT, więc potraktuj je priorytetowo. Regulator nie uzna braku środków za usprawiedliwienie, a raczej za zaniedbanie.

– Korzystaj z wiedzy ekspertów

Nie musisz być techniczny, musisz być świadomy. Miej przy sobie doświadczonego CISO, konsultuj się z zewnętrznymi doradcami, korzystaj z niezależnych ocen. Zbuduj relację z firmą reagującą na incydenty, gdzie czas zawsze będzie kluczowy.

– Ubezpiecz się (mądrze)

Zaktualizuj polisę Directors & Officers pod kątem ryzyk cyber i sprawdź, czy obejmuje wsparcie prawne i koszty doradcze. Rozważ dodatkową polisę cyber, która może pokryć koszty incydentu i skrócić czas powrotu do normalności.

– Buduj kulturę bezpieczeństwa w organizacji

Stwórz środowisko, w którym ryzyka są omawiane otwarcie, a zgłaszanie incydentów nie grozi sankcją. Ustal KPI związane z bezpieczeństwem, nagradzaj czujność, wymagaj zaangażowania od wszystkich szczebli organizacji.

– Bądź przygotowany na najgorsze (plan B)

Zadbaj o procedury kryzysowe i ich znajomość, także osobistą. Przygotuj plan komunikacji, listy kontaktowe, dostęp awaryjny. Regularnie analizuj i aktualizuj te procedury po incydentach lub symulacjach.

– Angażuj się osobiście i regularnie

Twoje zainteresowanie tematem to najlepsze zabezpieczenie. Zadawaj pytania, uczestnicz w szkoleniach, czytaj raporty. Zaangażowany zarząd podejmuje lepsze decyzje i skuteczniej chroni firmę oraz siebie.

 

Podsumowanie

Dyrektywa NIS2 stawia przed zarządami wyzwanie, ale i szansę. Wyzwanie, bo wymusza na nich wejście w obszar dotąd często im obcy, narzucając nowe obowiązki i ryzyko osobiste. Szansę, bo dzięki temu firmy będą lepiej chronione przed cyberatakami, a incydenty nie będą już wynikiem ignorancji czy braku wsparcia ze strony kierownictwa. Dla członków zarządów oznacza to konieczność poszerzenia horyzontów, tj. zdobycia wiedzy, ustanowienia nowych zasad nadzoru, wzięcia współodpowiedzialności za techniczne (pozornie) kwestie.

Jak pokazaliśmy, istnieją konkretne kroki, które można podjąć już teraz, aby uniknąć ryzyka osobistego, tj. od wprowadzenia regularnych raportów i procedur, przez własne szkolenie się, po budowanie kultury bezpieczeństwa.

Warto zadać sobie refleksyjne pytanie „czy nasz zarząd naprawdę ma nad tym kontrolę?” Jeśli odpowiedź brzmi „nie do końca” lub „nie jestem pewien” – to wyraźny sygnał, że pora działać. NIS2 może budzić obawy wśród kadry kierowniczej, ale przy odpowiednim podejściu stanie się motorem pozytywnych zmian, które finalnie zabezpieczą zarówno organizację, jak i jej decydentów.