norppa.io
Przewodniki

Przewodnik NIS2 · 7 min

NIS2 a odpowiedzialność kierownictwa: co muszą wiedzieć zarząd i kadra zarządzająca

NIS2 robi coś, czego wcześniejsze przepisy o cyberbezpieczeństwie w większości nie robiły: kładzie cyberbezpieczeństwo wprost na biurku organu zarządzającego. Kierownictwo musi zatwierdzić środki zarządzania ryzykiem, nadzorować je i może ponosić osobistą odpowiedzialność w razie zaniedbań. Ten przewodnik wyjaśnia, czego dyrektywa oczekuje od zarządu i kadry zarządzającej, jakie pytania zadać zespołowi ds. bezpieczeństwa, jak wygląda dobre raportowanie i ile kosztuje błąd.

Najważniejsze punkty

  • Organy zarządzające muszą zatwierdzać i nadzorować środki zarządzania ryzykiem cyber — i mogą odpowiadać za zaniedbania (art. 20).
  • Kierownictwo musi odbyć szkolenie z cyberbezpieczeństwa; obowiązku nie można w pełni przekazać działowi IT.
  • Kary sięgają 10 mln € lub 2% światowego obrotu dla podmiotów kluczowych, 7 mln € lub 1,4% dla ważnych (art. 34).
  • Zarząd powinien oczekiwać zwięzłego raportowania opartego na dowodach — pokrycie, tempo naprawy i otwarte ryzyko — a nie corocznego zapewnienia.

Kierownictwo jest wskazane i odpowiedzialne

Zgodnie z artykułem 20 organ zarządzający podmiotu kluczowego lub ważnego musi zatwierdzić środki zarządzania ryzykiem cyber podmiotu i nadzorować ich wdrożenie. To nie jest formalność, którą można delegować: dyrektywa czyni kierownictwo odpowiedzialnym za to, by środki rzeczywiście funkcjonowały.

Co kluczowe, członkowie organów zarządzających mogą ponosić odpowiedzialność za naruszenia podmiotu. Ta odpowiedzialność jest zapisana w samej dyrektywie; jej konkretny kształt zależy od krajowej transpozycji. Cyberbezpieczeństwo jest więc kwestią ładu korporacyjnego, a nie tylko IT — należy do porządku obrad zarządu obok ryzyka finansowego i prawnego.

Cztery obowiązki organu zarządzającego

W praktyce oczekiwania dyrektywy co do ładu sprowadzają się do czterech rzeczy, które kierownictwo musi zrobić:

  • Zatwierdź środki — zatwierdź środki zarządzania ryzykiem (podstawa z art. 21) z wystarczającym zrozumieniem tego, co zatwierdzasz.
  • Nadzoruj wdrożenie — zapewnij, że środki są faktycznie wdrożone i skuteczne w czasie, z regularnym raportowaniem do zarządu.
  • Odbądź szkolenie — członkowie muszą odbyć szkolenie z cyberbezpieczeństwa, aby rozpoznawać ryzyka i oceniać adekwatność środków (art. 20(2)); podobne szkolenie należy zaoferować pracownikom.
  • Ponoś odpowiedzialność — weź odpowiedzialność za wynik. Odpowiedzialność za zaniedbania spoczywa na organie zarządzającym, a organy nadzoru mogą działać bezpośrednio wobec kierownictwa.

Pytania do zespołu ds. bezpieczeństwa

Aby sprawować nadzór, nie trzeba być inżynierem bezpieczeństwa. Zarząd może wypełnić znaczną część swojego obowiązku, zadając właściwe pytania i oczekując odpowiedzi opartych na dowodach:

Czy jesteśmy w zakresie jako podmiot kluczowy lub ważny — i którzy nasi klienci są, przenosząc na nas obowiązki przez umowy?
Czy mamy wdrożone środki z art. 21 i kiedy ten organ ostatnio je przeglądał i zatwierdził?
Czy dotrzymamy terminów zgłoszenia 24/72 godzin, jeśli incydent — także u dostawcy — wpłynie na nasze usługi?
Jak zarządzamy ryzykiem cyber dostawców i stron trzecich i jak udowodnilibyśmy to podczas kontroli nadzorczej?
Jakie są obecnie nasze najważniejsze otwarte ryzyka, i kto odpowiada za naprawę oraz do kiedy?

Jak wygląda dobre raportowanie do zarządu

Nadzór potrzebuje sygnału, a nie 60-stronicowego załącznika. Użyteczna linia raportowania NIS2 do zarządu jest krótka, porównywalna w czasie i oparta na dowodach:

Pokrycie

Jaki odsetek objętych dostawców i zasobów jest faktycznie monitorowany — niespodzianki biorą się z luk.

Tempo naprawy

Średni czas usunięcia ustaleń krytycznych i wysokich — trend liczy się bardziej niż pojedyncza liczba.

Otwarte ryzyko

Bieżące ustalenia krytyczne/wysokie oraz udokumentowane, zaakceptowane ryzyka — NIS2 oczekuje zarządzanego ryzyka, nie zera ustaleń.

Gotowość na incydenty

Czy terminy zgłoszeń da się dotrzymać i czy je przećwiczono, także dla incydentów spowodowanych przez dostawców?

Ile kosztuje błąd — i sukces

Kary na podstawie artykułu 34 sięgają do 10 milionów € lub 2% całkowitego rocznego światowego obrotu (kwota wyższa) dla podmiotów kluczowych oraz do 7 milionów € lub 1,4% dla ważnych. Organy nadzoru mogą też wydawać wiążące instrukcje, nakazać ujawnienie incydentów oraz — w przypadku podmiotów kluczowych — tymczasowo zawiesić funkcje kierownicze. Dla kierownictwa ekspozycja reputacyjna i osobista odpowiedzialność mogą ważyć więcej niż sama grzywna.

Zrobione dobrze, chodzi często mniej o nowy wydatek niż o przekierowanie istniejących kontroli: środki z art. 21 w dużej mierze pokrywają się z kontrolami, które wiele organizacji już prowadzi (ISO 27001, ciągłość działania, kontrola dostępu). Zmiana wymuszona przez NIS2 prowadzi od jednorazowego zapewnienia do ciągłego, opartego na dowodach zarządzania — co sprawia też, że raportowanie nadzorcze jest naprawdę informacyjne, a nie formalne.

Źródło: Dyrektywa (UE) 2022/2555 (NIS2), artykuły 20 i 34 — sprawdź krajową ustawę wdrażającą, aby poznać dokładne przepisy o odpowiedzialności i szkoleniach w Twoim kraju.

Jak pomaga norppa.io

norppa.io zamienia ryzyko cyber dostawców i stron trzecich w dowody, których zarząd może realnie użyć: czytelny wynik ryzyka na dostawcę, ustalenia przypisane do artykułów NIS2 oraz miesięczny raport zarządczy zaprojektowany dla kierownictwa, a nie dla inżynierów.

Pokrycie, historia napraw i otwarte ryzyko są widoczne na pierwszy rzut oka, z pełną eksportowalną ścieżką audytu — dzięki temu kierownictwo może wykazać aktywny nadzór, a te same dowody odpowiadają na pytania organu nadzoru.

Daj zarządowi dowody, nie deklaracje

Zobacz zarządczy raport o dostawcy — wynik ryzyka, mapowanie NIS2 i dowody — w dwie minuty.

Zobacz przykładowy raport

Powiązane przewodniki

NIS2 i wymóg łańcucha dostaw — co oznacza w praktyce

NIS2 zobowiązuje podmioty kluczowe i ważne do oceny cyberryzyk w łańcuchu dostaw. Poziomy dostawców, ryzyko czwartej strony, obowiązek zgłoszenia z Art. 23 i na co zwracają uwagę audytorzy.

NIS2 Art. 21(2) — lista kontrolna bezpieczeństwa dla dostawców

Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.

Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2

Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.

Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości

Ustal, czy NIS2 dotyczy Ciebie: dwie kategorie, sektory z załączników I/II, progi wielkości, wyjątki niezależne od wielkości i jak łańcuch dostaw wciąga Cię nawet bez wyznaczenia.

Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon

O co pytać dostawców zgodnie z art. 21 ust. 2 lit. d), jak punktować odpowiedzi i reagować na luki, dlaczego samoocena wymaga weryfikacji, oraz darmowy szablon.

NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie

Czym różnią się i pokrywają dwa reżimy UE, dlaczego DORA to lex specialis dla podmiotów finansowych, który dotyczy Ciebie, i co oba oznaczają dla ryzyka stron trzecich.

Zgłaszanie incydentów NIS2: terminy 24 i 72 godzin wyjaśnione

Czym jest istotny incydent, harmonogram z artykułu 23 (wczesne ostrzeżenie 24 h, zgłoszenie 72 h, raport końcowy w miesiąc) i kiedy incydent dostawcy staje się Twoim obowiązkiem.

ISO 27001 a NIS2: co Twój SZBI już obejmuje — i luki, których nie

Jeśli masz ISO 27001: co przenosi się na NIS2, a co nie — ustawowe zgłaszanie incydentów, odpowiedzialność kierownictwa, rejestracja i ciągłe zapewnienie łańcucha dostaw — oraz jak zamknąć lukę.