Osobista odpowiedzialność zarządów, kierowników i dyrektorów za cyberbezpieczeństwo zarządów — co zmienia NIS2 dla zarządów firm, spółek komunalnych i kierownictwa administracji publicznej?

Nowe przepisy w zakresie cyberbezpieczeństwa istotnie zmieniają sposób postrzegania odpowiedzialności za bezpieczeństwo systemów informatycznych. Cyberbezpieczeństwo przestaje być wyłącznie zagadnieniem technicznym, a staje się elementem zarządzania strategicznego i nadzoru kierowniczego. Odpowiedzialność przesuwa się z poziomu specjalistów technicznych na poziom decyzyjny — zarządów spółek i kierowników jednostek publicznych.

Cyberbezpieczeństwo jako element nadzoru zarządczego

Nowe przepisy wzmacniają rolę kierownictwa w systemowym zarządzaniu ryzykiem cyberbezpieczeństwa. Zarząd lub kierownictwo podmiotu ma obowiązek nie tylko formalnie wdrożyć środki bezpieczeństwa, lecz także zatwierdzać rozwiązania organizacyjne i techniczne, monitorować ich skuteczność oraz zapewnić odpowiednie zasoby finansowe i kadrowe. Oznacza to konieczność realnego nadzoru nad systemem bezpieczeństwa — od identyfikacji zagrożeń, przez reagowanie na incydenty, po ciągłe doskonalenie procedur. Cyberbezpieczeństwo staje się elementem zarządzania organizacją, podobnie jak zarządzanie finansami czy ryzykiem operacyjnym.

W praktyce zmienia to sposób funkcjonowania wielu lokalnych podmiotów. Zarządy spółek objętych nowymi przepisami, w tym spółek komunalnych, a także kierownicy jednostek samorządu terytorialnego, muszą aktywnie uczestniczyć w procesie zarządzania ryzykiem, a nie jedynie delegować zadania do działów technicznych.

Odpowiedzialność osobista kierownictwa

Jednym z najbardziej doniosłych elementów regulacji jest wprowadzenie osobistej odpowiedzialności członków kierownictwa za niewłaściwe zarządzanie cyberbezpieczeństwem. Jeśli podmiotem objętym nowymi regulacjami kieruje organ wieloosobowy i nie wskazano osoby odpowiedzialnej, za cyberbezpieczeństwo odpowiadać będą wszyscy członkowie tego organu. (Art. 8c ust. 2). Należy wskazać, że odpowiedzialność za będzie trwać nawet gdy obowiązki powierzone zostaną innej osobie. (art. 8c ust. 3). Odpowiedzialność ta może przybrać różne formy — od sankcji finansowych, przez konsekwencje administracyjne i reputacyjne. Kara finansowa na kierownika może wynieść do 300% wynagrodzenia (liczonego jak ekwiwalent urlopowy). (Art. 73a ust. 4).

Wśród potencjalnych sankcji przewiduje się również możliwość czasowego zawieszenia w wykonywaniu funkcji kierowniczych lub zarządczych w podmiocie objętym regulacją, do czasu usunięcia uchybień lub zaprzestania naruszeń. (Art. 53 ust. 9 pkt 6). Należy tutaj wyraźnie zaznaczyć, że ten środek nie może być zastosowany wobec podmiotów z sektora publicznego.

To rozwiązanie stanowi istotną zmianę jakościową — cyberbezpieczeństwo przestaje być obszarem „technicznego ryzyka”, a staje się elementem odpowiedzialności osobistej kadry zarządzającej, porównywalnym z odpowiedzialnością za naruszenia finansowe czy organizacyjne.
W praktyce oznacza to, że brak właściwego nadzoru nad systemem bezpieczeństwa może mieć bezpośrednie konsekwencje dla portfeli, wizerunku i pozycji zawodowej menedżerów. Wsparcie specjalistów, takich jak Cyberpolex, pozwala na minimalizację tych ryzyk poprzez profesjonalne wdrożenie wymogów prawnych i technicznych.

Nowy standard zarządzania

Członkowie zarządu nie muszą być ekspertami z zakresu IT, lecz powinni rozumieć skalę ryzyka, zapewnić odpowiedni nadzór oraz aktywnie uczestniczyć w procesie zarządzania bezpieczeństwem. W realiach lokalnych organizacji powinno to oznaczać fundamentalną zmianę podejścia — od reaktywnego reagowania na incydenty do świadomego i systemowego zarządzania ryzykiem. Nowe regulacje pokazują wyraźnie, że cyberbezpieczeństwo nie jest już wyłącznie domeną informatyków. To kwestia odpowiedzialności osób podejmujących decyzje.

„To sprawa działu IT” — najczęstsze błędne założenie

W praktyce największym ryzykiem może być utrzymywanie dotychczasowego modelu zarządzania, w którym cyberbezpieczeństwo traktowane jest jako wyłączna odpowiedzialność działu IT. Nowe regulacje podważają takie podejście. Delegowanie zadań technicznych nie oznacza delegowania odpowiedzialności. Kierownictwo musi posiadać wiedzę o poziomie ryzyka, rozumieć konsekwencje incydentów oraz posiadać mechanizmy kontroli nad obszarem bezpieczeństwa. W przeciwnym razie organizacja może stworzyć jedynie pozorny system ochrony — oparty na dokumentacji, która nie przekłada się na realne działania.

Dodatkowym obszarem ryzyka staje się zarządzanie bezpieczeństwem w łańcuchu dostaw. Podmioty objęte regulacją muszą uwzględniać bezpieczeństwo swoich partnerów i dostawców usług cyfrowych, co w praktyce oznacza konieczność nowych procedur weryfikacji i nadzoru.

Co to oznacza dla samorządów i spółek komunalnych

Zmiany dotyczą nie tylko sektora prywatnego. Szczególne znaczenie mogą mieć dla jednostek samorządu terytorialnego oraz podmiotów świadczących usługi publiczne — wodociągów, transportu miejskiego, gospodarki odpadami, lokalnej energetyki czy podmiotów ochrony zdrowia.
Wójt, burmistrz, prezydent miasta czy starosta jako kierownik jednostki odpowiada za organizację systemu zarządzania ryzykiem, a nie tylko za jego formalne ustanowienie. Obejmuje to m.in.:
- zapewnienie procedur reagowania na incydenty,
- nadzór nad bezpieczeństwem usług świadczonych mieszkańcom,
- kontrolę poziomu zabezpieczeń u dostawców usług IT,
- zapewnienie szkoleń i podnoszenia świadomości pracowników,
- regularne przeglądy skuteczności przyjętych rozwiązań.

Dla wielu jednostek może to oznaczać konieczność zmiany podejścia organizacyjnego oraz zwiększenia nakładów finansowych na bezpieczeństwo cyfrowe.