Kto za co odpowiada w NIS2/KSC – role, obowiązki i czego wymaga ustawa

kto odpowiada za cyberbezpieczeństwo NIS2 KSC schemat ról kierownik podmiotu obowiązki NIS2 KSC zarząd macierz ról i odpowiedzialności NIS2 KSC w firmie

„To w końcu zadanie dla informatyka czy dla zarządu?” – to jedno z najczęstszych pytań, jakie słyszymy na szkoleniach z NIS2/KSC. Odpowiedź zaskakuje wiele firm: za cyberbezpieczeństwo odpowiada przede wszystkim kierownictwo, a nie dział IT. Dyrektywa NIS2 i wdrażająca ją ustawa o krajowym systemie cyberbezpieczeństwa (KSC) jasno rozkładają role i obowiązki. W tym artykule tłumaczymy prostym językiem, kto za co odpowiada, czego konkretnie wymagają przepisy i jak rozdzielić zadania, żeby nic nie wisiało w próżni.

W skrócie: za cyberbezpieczeństwo formalnie odpowiada kierownik podmiotu (zarząd), a nie „informatyk”. Można delegować zadania, ale nie odpowiedzialność. Reszta to dobrze rozpisane role: osoba kontaktowa, zespół ds. bezpieczeństwa, właściciele systemów i dostawcy.

Jeśli dopiero ustalasz, czy w ogóle podlegasz pod przepisy, zacznij od artykułu Podmioty kluczowe i ważne NIS2/KSC – czy podlegam?. Cały podział ról i obowiązków pokazujemy na realnych dokumentach podczas szkolenia „KSC / NIS2 w praktyce – wymagania krok po kroku” – tak, żeby każdy wiedział, co należy do niego.

Kierownik podmiotu – tu zaczyna się odpowiedzialność

To najważniejsza zmiana w sposobie myślenia, jaką wprowadza NIS2/KSC. Odpowiedzialność za cyberbezpieczeństwo spoczywa na kierowniku podmiotu – czyli na zarządzie, dyrektorze, prezesie, wójcie. To nie jest funkcja techniczna. To rola decyzyjna i nadzorcza.

Co konkretnie należy do kierownika podmiotu?

  • Zatwierdzanie i nadzór nad środkami zarządzania ryzykiem – to kierownictwo akceptuje analizę ryzyka i decyduje o zabezpieczeniach.
  • Zapewnienie budżetu i zasobów – cyberbezpieczeństwo musi mieć ludzi i pieniądze, nie tylko dobre chęci.
  • Dbałość o wiedzę – kierownictwo samo musi przejść szkolenie i zadbać, by przeszli je pracownicy.
  • Odpowiedzialność za zgodność – to kierownik podmiotu odpowiada, gdy obowiązki nie są realizowane.

Kluczowe: odpowiedzialności kierownika podmiotu nie można przenieść na dział IT ani na zewnętrzną firmę. Można im powierzyć zadania, ale w razie kontroli to kierownictwo tłumaczy się z nadzoru. Dlatego decyzje – budżet, role, zatwierdzenie polityk – warto mieć udokumentowane.

Osoba kontaktowa – łącznik z organem i CSIRT

Drugą formalną rolą jest osoba do kontaktu wyznaczona do komunikacji z organem właściwym i z zespołem CSIRT. To do niej trafiają pisma, to ona zgłasza dane podmiotu i pośredniczy w sprawach urzędowych. W mniejszych organizacjach bywa to ta sama osoba, która prowadzi temat na co dzień, ale rola musi być wskazana wprost – z imienia, nie „ktoś z biura”.

Dane tej osoby trzeba zgłosić i aktualizować. Brak rejestracji albo nieaktualne dane kontaktowe to jeden z najczęstszych, a zupełnie niepotrzebnych, powodów problemów podczas kontroli.

Zespół i właściciele systemów – kto wykonuje pracę

Poniżej poziomu zarządu zaczyna się praca operacyjna. Tu nie ma jednego, narzuconego ustawą schematu – ważne, by zadania miały właścicieli. Z naszego doświadczenia przy wdrożeniach dobrze sprawdza się taki podział:

  • Koordynator / pełnomocnik ds. bezpieczeństwa – prowadzi temat na co dzień, utrzymuje dokumentację, pilnuje terminów.
  • Właściciele systemów i usług – osoby odpowiedzialne za konkretne aplikacje, serwery, procesy; znają je najlepiej i oceniają ich ryzyko.
  • Zespół reagowania na incydenty – wie, jak wykryć, sklasyfikować i zgłosić incydent (także w nocy i w weekend).
  • Dział IT / dostawca IT – wdraża środki techniczne, ale wykonuje, a nie odpowiada za całość.

Najczęstszy błąd to założenie „informatyk się tym zajmie”. Informatyk wdroży MFA czy kopie zapasowe, ale nie zdecyduje o budżecie, nie oceni ryzyka biznesowego i nie weźmie odpowiedzialności za zgodność całej organizacji.

Dostawcy – odpowiedzialność, która wychodzi poza firmę

NIS2/KSC patrzy też na łańcuch dostaw. Odpowiadasz nie tylko za siebie, ale i za to, jak ryzyko wnoszą dostawcy mający dostęp do Twoich systemów. To oznacza ocenę dostawców krytycznych i zapisanie wymagań cyberbezpieczeństwa w umowach z nimi – jak zabezpieczają dane, jak zgłaszają incydenty, co dzieje się po zakończeniu współpracy. To często pomijana, a ważna część obowiązków, którą szerzej ujmujemy wśród wymagań NIS2 i ustawy o KSC.

Czego wymaga NIS2/KSC – obowiązki w pigułce

Role to jedno, ale za nimi stoją konkretne wymagania, które ktoś musi zrealizować. W dużym uproszczeniu przepisy oczekują, że podmiot:

ObszarCo trzeba miećCzyja to głównie rola
Zarządzanie ryzykiemanaliza ryzyka, rejestr ryzyk, plan postępowaniakoordynator + zatwierdza kierownik podmiotu
Środki techniczneMFA, kopie zapasowe, monitoring, aktualizacjedział IT / dostawca IT
Obsługa incydentówproces wykrywania, klasyfikacji i zgłaszaniazespół reagowania + osoba kontaktowa
Łańcuch dostawocena dostawców, klauzule w umowachwłaściciele umów + zakupy
Ciągłość działaniaplany ciągłości i odtwarzania, testywłaściciele systemów
Świadomośćszkolenia dla pracowników i kierownictwakierownik podmiotu zapewnia, HR wspiera

Pełną listę obowiązków technicznych i organizacyjnych opisaliśmy osobno w artykule o wymaganiach NIS2 i ustawy o KSC – tutaj świadomie skupiamy się na tym, kto te wymagania ma realizować.

Jak rozdzielić role, żeby to działało

Sama lista ról nic nie da, jeśli zostanie w prezentacji. Z praktyki ponad 300 projektów wdrożeniowych i audytowych proponujemy prostą kolejność:

  1. Wskaż kierownika podmiotu – formalnie, na piśmie. To fundament całej odpowiedzialności.
  2. Wyznacz osobę kontaktową i zgłoś jej dane do właściwego organu.
  3. Przypisz właścicieli do systemów, usług i obszarów ryzyka.
  4. Opisz, kto obsługuje incydent – łącznie z zastępstwami na noce i weekendy.
  5. Zapisz to w jednym miejscu – macierz ról i odpowiedzialności, do której każdy ma dostęp.

Dokładnie taką macierz ról, wzory dokumentów i przykładowy podział zadań omawiamy na szkoleniu „KSC / NIS2 w praktyce – wymagania krok po kroku”. Prowadzimy uczestnika od analizy luk po gotowość do kontroli – tak, żeby nikt nie został sam z dokumentacją.

Najczęstsze pytania o role i odpowiedzialność w NIS2/KSC

Kto odpowiada za cyberbezpieczeństwo w NIS2/KSC?

Formalnie odpowiada kierownik podmiotu, czyli zarząd, dyrektor lub inna osoba kierująca organizacją. To kierownictwo zatwierdza środki zarządzania ryzykiem, zapewnia budżet i nadzoruje realizację obowiązków. Dział IT wykonuje zadania techniczne, ale nie przejmuje odpowiedzialności za zgodność.

Czy odpowiedzialność można przenieść na firmę zewnętrzną?

Nie. Zadania (np. wdrożenie zabezpieczeń czy monitoring) można powierzyć dostawcy, ale odpowiedzialność za nadzór i zgodność pozostaje po stronie kierownika podmiotu. W razie kontroli to organizacja, a nie dostawca, tłumaczy się z realizacji obowiązków.

Kto to jest osoba kontaktowa i czy trzeba ją wyznaczyć?

To osoba wskazana do komunikacji z organem właściwym i CSIRT. Jej wyznaczenie i zgłoszenie danych jest obowiązkiem – brak rejestracji lub nieaktualne dane to częsty powód problemów podczas kontroli. W mniejszych firmach może to być ta sama osoba, która prowadzi temat operacyjnie.

Czy zarząd musi przejść szkolenie z NIS2/KSC?

Tak. Przepisy wprost wymagają, by kierownictwo posiadało wiedzę pozwalającą rozpoznawać ryzyka i nadzorować zarządzanie nimi, oraz by zapewniło szkolenia pracownikom. Wiedza kierownictwa nie jest dodatkiem – to element wymaganego nadzoru.

Chcesz jasno rozdzielić role i przejść wdrożenie spokojnie? Sprawdź program szkolenia „KSC / NIS2 w praktyce – wymagania krok po kroku” – pokażemy, kto za co odpowiada i co przygotować, żeby kontrola nie była problemem.

To również może cię zainteresować

terminy zgłoszenia incydentu NIS2 KSC 24 72 godziny zgłaszanie incydentu do CSIRT proces krok po kroku rejestr incydentów bezpieczeństwa NIS2 KSC dokumentacja

Gdy dzieje się incydent, zegar tyka od pierwszej minuty. NIS2/KSC nakłada na firmy obowiązek zgłaszania poważnych incydentów do właściwego zespołu CSIRT – i robią to...

Tabela identyfikacji aspektów środowiskowych ISO 14001 dla firmy produkcyjnej i transportowej

Identyfikacja aspektów środowiskowych to jeden z pierwszych kroków budowania systemu ISO 14001. I jeden z tych, które budzą najwięcej wątpliwości: od czego zacząć? Co w...

Certyfikat ISO 14001 jako wymóg przetargowy w zamówieniach publicznych – strona SIWZ z kryterium środowiskowym

Krótka odpowiedź: ISO 14001 nie jest obowiązkową normą wynikającą z polskiego ani unijnego prawa. To certyfikacja dobrowolna. Ale – i to jest duże 'ale’ –...