Materiał Partnera: ISW
Nie inaczej jest w UE, w tym Polsce, gdzie nadchodzące zmiany prawne, takie jak dyrektywa NIS2 oraz nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), zmuszają zarządy spółek objętych nowymi przepisami do bardziej aktywnej roli w obszarze cyberbezpieczeństwa.
Na mocy tych regulacji członkowie zarządów są zobowiązani do przeprowadzenia samodzielnej oceny, czy ich organizacja podlega wymogom NIS2/UKSC (tzw. samorejestracja). Jeśli tak jest, zarządy są zobowiązane m.in. wdrażać i nadzorować systemy bezpieczeństwa informacji, zatwierdzać budżet na cyberbezpieczeństwo, przydzielać zadania, a także szkolić siebie oraz personel.
Odpowiedzialność zarządu nie kończy się na delegowaniu zadań. Nawet jeśli za wdrażanie polityk bezpieczeństwa odpowiada dedykowany specjalista, to zarząd wciąż ponosi pełną odpowiedzialność za skutki niedopełnienia obowiązków w obszarze cyberbezpieczeństwa – komentuje Katarzyna Berbeć, dyrektor ds. strategii i rozwoju w ICsec SA. Oznacza to, że członkowie zarządów muszą być nie tylko świadomi cyberzagrożeń, ale także aktywnie angażować się w tworzenie strategii cyberbezpieczeństwa – podkreśla.
Dyrektywa NIS2 i nowelizacja UKSC nakładają na zarządy obowiązek monitorowania i zatwierdzania działań w zakresie cyberbezpieczeństwa. Niedopełnienie obowiązków może skutkować konsekwencjami dla członków zarządów wynikającymi z przepisów ogólnych (KSH, kodeks karny) oraz szczególnych, jak planowana nowela UKSC.
Zgodnie z nowelą UKSC firmy niespełniające wymogów mogą zostać ukarane grzywną do 10 milionów euro lub 2% obrotów rocznych dla podmiotów kluczowych, a dla podmiotów ważnych – do 7 milionów euro lub 1,4% obrotów. Dodatkowo zarządy mogą ponieść osobiste konsekwencje, z karami sięgającymi 600% ich miesięcznego wynagrodzenia.
Dyrektywa NIS2 wprowadza szereg nowych obowiązków dotyczących m.in. systematycznego zarządzania ryzykiem, wdrażania procedur ciągłości działania oraz zapewnienia ochrony łańcucha dostaw. Przepisy zalecają, aby w realizacji tych obowiązków stosować uznane standardy, dobre praktyki. W jednym z projektów noweli UKSC wprost proponowano implementację norm ISO 27001 (bezpieczeństwo informacji) oraz ISO 22301 (ciągłość działania).
O cyberbezpieczeństwo zadbać będą musiały również firmy niepodlegające wprost wymogom regulacyjnym, a należące do łańcucha dostaw takich firm. Zarządy muszą zrozumieć, że cyberbezpieczeństwo to nie tylko kwestia ochrony własnej firmy, ale także odpowiedzialność wobec całego ekosystemu biznesowego. Budowanie cyberodporności wymaga nie tylko inwestycji w technologie, ale także zmiany podejścia na poziomie zarządczym, w tym włączenia cyberbezpieczeństwa w strategię organizacji.
Materiał Partnera: ISW
