NIS2.it.com
Powrót do bloga
Zarządzanie
NIS2 artykuł 20: 5 obowiązków zarządu, których nie można delegować

NIS2 artykuł 20: 5 obowiązków zarządu, których nie można delegować

9 min czytania
AD

Alexandre Durand

Dyrektor redakcyjny — Ekspert ds. cyberbezpieczeństwa

Poniedziałek rano. Zarząd otrzymuje pismo z NASK: Twoja organizacja jest sklasyfikowana jako podmiot kluczowy według NIS2. Artykuł 20 dyrektywy 2022/2555 ma teraz zastosowanie. I, w przeciwieństwie do wcześniejszych regulacji, ta odpowiedzialność nie może zostać delegowana.

Co dokładnie mówi artykuł 20

Artykuł 20 dyrektywy 2022/2555 zobowiązuje organy zarządzające podmiotów kluczowych i ważnych do zatwierdzania środków zarządzania ryzykiem cyberbezpieczeństwa, nadzorowania ich wdrażania i ponoszenia odpowiedzialności w przypadku nieprzestrzegania. Członkowie zarządu muszą również regularnie odbywać szkolenia, aby ocenić ryzyka cybernetyczne. Artykuł 32(6) pozwala właściwym organom tymczasowo zakazać wykonywania funkcji zarządczych w przypadku poważnych lub powtarzających się uchybień.

Obowiązek 1: zatwierdzić środki zarządzania ryzykiem

Zarząd musi formalnie zatwierdzić politykę zarządzania ryzykiem w protokołach. Brak możliwości delegowania: rada dyrektorów lub równoważny organ podpisuje. Dziesięć minimalnych środków z artykułu 21 (analiza ryzyka, zarządzanie incydentami, ciągłość działania, bezpieczeństwo łańcucha dostaw, MFA, szyfrowanie, szkolenie) musi być zbadanych i zatwierdzonych.

Obowiązek 2: nadzorować wdrażanie

Kwartalne raportowanie do zarządu dotyczące wskaźników dashboard: liczba incydentów, poziom łatkowania, pokryte krytyczne aktywa, wyniki audytu. CISO raportuje, ale zarząd kontroluje.

Obowiązek 3: odbyć szkolenie

NIS2 Compliance Study 2025 wyznacza benchmark 4 do 8 godzin szkolenia rocznie dla członków zarządu. Cel: być w stanie ocenić ryzyka cybernetyczne, nie stać się ekspertem technicznym.

Obowiązek 4: przydzielić odpowiednie zasoby

Referencje Gartner 2024: budżet cyberbezpieczeństwa 8 do 12% budżetu IT dla regulowanych sektorów. Niedofinansowanie jest interpretowane przez NASK jako uchybienie zarządu.

Obowiązek 5: być osobiście odpowiedzialnym

Artykuł 32(6) dyrektywy 2022/2555: właściwe organy mogą tymczasowo zakazać wykonywania funkcji zarządczych. Artykuł 34: kary do 10 mln EUR lub 2% światowego obrotu. Odpowiedzialność karna i cywilna pozostaje za pośrednictwem polskiego prawa.

Lista kontrolna dla audytu NASK

Protokoły zarządu zatwierdzające środki zarządzania ryzykiem. Certyfikaty szkoleń członków zarządu. Kwartalny dashboard cyberbezpieczeństwa. Formalna polityka budżetowa. Notatki decyzji zarządu. Rejestr cyberdecyzji na poziomie zarządu.

*Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej.*

Artykuł ma wyłącznie charakter informacyjny i nie stanowi porady prawnej.