NIS2 i odpowiedzialność zarządu

Projekt ustawy o zmianach w krajowym systemie cyberbezpieczeństwa, opracowany przez Ministerstwo Cyfryzacji, jest nadal w fazie konsultacji. Choć budzi wiele emocji, kwestia odpowiedzialności zarządu (kierowników jednostek) za cyberbezpieczeństwo jest jednym z mniej kontrowersyjnych tematów.

Termin wdrożenia NIS2 to 17 października 2024 roku, więc Ministerstwo ma ograniczony czas na zakończenie prac nad ustawą.

Kto ponosi odpowiedzialność?

Zgodnie z projektem ustawy, to kierownicy podmiotów kluczowych i ważnych, w tym członkowie zarządu i wspólnicy, będą odpowiedzialni za zgodność działań firmy z wymogami NIS2. W przypadku braku wskazania konkretnej osoby odpowiedzialnej, obowiązki te spadną na cały zarząd.

Nie ma możliwości przeniesienia odpowiedzialności na inne osoby, np. szefa IT. Zarząd będzie musiał wyznaczyć konkretną osobę do nadzoru nad cyberbezpieczeństwem, jeśli nie chce, aby odpowiedzialność dotyczyła wszystkich.

Obowiązki zarządu

Do głównych zadań zarządu w zakresie cyberbezpieczeństwa będą należały:

  • Zgłaszanie podmiotu kluczowego lub ważnego do odpowiednich rejestrów,
  • Wyznaczenie osób do kontaktu z organami nadzorującymi,
  • Wdrożenie systemów bezpieczeństwa informacji,
  • Zarządzanie zgłaszaniem incydentów,
  • Organizacja szkoleń z zakresu cyberbezpieczeństwa dla personelu, w tym dla zarządu, co najmniej raz w roku,
  • Regularne audyty bezpieczeństwa IT (minimum co dwa lata).

Kary finansowe

W przypadku naruszeń obowiązków, zarząd może zostać ukarany grzywną, która może wynieść do 600% miesięcznego wynagrodzenia osoby odpowiedzialnej. Kary te mogą być nakładane, nawet jeśli problem został naprawiony, jeśli czas trwania lub skala naruszenia były znaczące.

Podsumowanie

Wprowadzenie NIS2 wymusi na organizacjach przemyślenie kwestii cyberbezpieczeństwa na poziomie zarządczym. Warto już teraz zaplanować szkolenia i wyznaczyć osoby odpowiedzialne za nadzór nad tym obszarem, aby przygotować się na nadchodzące zmiany. 

Zachęcamy do skorzystania z naszej oferty szkoleń – dopasowujemy je do branży i Twojego zespołu. Prowadzimy osobne spotkania dla członków zarządu, jak i dla całej kadry managerów. Skontaktuj się z nami: https://spiree.io/kontakt/