RACI pro NIS 2 v šedesátičlenné organizaci
Podle čl. 20 NIS 2 je řídicí orgán ze zákona Odpovědný za opatření pro řízení rizik. RACI je nejlevnější způsob, jak zajistit, aby všichni ostatní věděli, co to v praxi znamená.
Proč RACI pro NIS 2
Většina týmů Mittelstandu matici RACI vynechává, protože zní jako konzultantské divadlo. Podle NIS 2 není duchem volitelná. Čl. 20 NIS 2 klade Odpovědnost (Accountability) jmenovitě na řídicí orgán; matice je jen nejlevnější způsob, jak učinit Accountable, Responsible, Consulted a Informed pro tým srozumitelnými.
Šedesátičlenná organizace si nemůže dovolit CISO, DPO, CCO, vedoucího právního oddělení a vedoucího IT jako pět různých lidí. Jedna osoba obvykle pokrývá dvě nebo tři role a řídicí orgán pokrývá ty s přímou osobní odpovědností. RACI dokumentuje, jak ta konsolidace funguje, aniž by porušovala směrnici.
Matice je nejdůležitější ve dvou okamžicích: když nastoupí nový manažer a ptá se, kdo vlastní kterou povinnost NIS 2, a když BSI požaduje důkazy a vy potřebujete ukázat, že to někdo podepsal.
Čl. 20(1) NIS 2 (odpovědnost řídicího orgánu)
Členské státy zajistí, aby řídicí orgány zásadních a důležitých subjektů schvalovaly opatření k řízení rizik kybernetické bezpečnosti přijatá těmito subjekty za účelem dosažení souladu s článkem 21, dohlížely na jejich zavedení a mohly nést odpovědnost za porušení tohoto článku těmito subjekty.
'Schvalovat' a 'dohlížet' jsou v termínech RACI činnosti Accountable. Řídicí orgán drží A bez ohledu na to, zda deleguje R. Delegování je povoleno, abdikace nikoli.
§38 BSIG (školení řídicího orgánu)
Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen haben an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Risikomanagementverfahren im Bereich der Cybersicherheit sowie ihrer Auswirkungen zu erwerben.
Školení je vlastní povinnost řídicího orgánu, nedelegovatelná. RACI to ukazuje jako Responsible A ZÁROVEŇ Accountable v řádku řídicího orgánu.
Řídicí orgán
CEO, Geschäftsführer, Vorstand. Ze zákona Accountable za opatření podle čl. 21. Responsible za školení podle čl. 20, schválení rozpočtu, přijetí rizika nad dohodnutou prahovou hodnotou.
Vedoucí IT nebo CISO
Většina šedesátičlenných subjektů Mittelstandu nemá CISO; vedoucí IT zastává dvojroli. Responsible za technické zavedení opatření, každodenní provoz, technické posouzení dodavatelů.
Pověřenec pro ochranu osobních údajů (DPO)
Již zaveden pro GDPR. Podle NIS 2 obvykle vlastní stranu oznamování zákazníkům (čl. 23(2) NIS 2) a překryv s porušením podle čl. 33 GDPR. Často na částečný úvazek nebo externí.
HR
Responsible za školení personálu ORP.3, procesy přístupu při nástupu/přesunu/odchodu, stranu osobních údajů o zaměstnancích v rámci řízení dodavatelů.
Shoda nebo právní oddělení
Často outsourcováno. Responsible za smluvní doložky s dodavateli podle čl. 21(2)(d), oznámení příjemcům podle čl. 23(2), regulační korespondenci s BSI.
| Matice RACI | Řídicí orgán | Vedoucí IT nebo CISO | Pověřenec pro ochranu osobních údajů (DPO) | HR | Shoda nebo právní oddělení |
|---|---|---|---|---|---|
| Registrace u BSI podle §33 BSIG | A | R | C | I | C |
| Zásady informační bezpečnosti podle čl. 21(2)(a) | A | R | C | C | C |
| Řešení incidentů podle čl. 21(2)(b) | A | R | C | I | C |
| Kontinuita provozu podle čl. 21(2)(c) | A | R | I | C | I |
| Bezpečnost dodavatelského řetězce podle čl. 21(2)(d) | A | C | C | I | R |
| Školení řídicího orgánu podle čl. 20(2) + §38 BSIG | A a R | I | C | C | C |
| Školení povědomí pro veškerý personál podle čl. 21(2)(g) | A | C | C | R | I |
| Oznámení incidentu podle čl. 23 + §32 BSIG | A | R | C | I | C |
| Oznámení příjemcům podle čl. 23(2) NIS 2 | A | C | R | I | C |
| Aktualizace registrace podle §33(5) BSIG (dvoutýdenní lhůta) | A | R | I | C | C |
RACI selhává, když týmy zacházejí s A a R jako se stejnou věcí. Podle čl. 20 NIS 2 drží řídicí orgán A ze zákona. Nemůže A delegovat. Může a musí delegovat R, často na vedoucího IT nebo DPO, ale konečná odpovědnost stále zůstává u řídicího orgánu.
Praktický důsledek: když se audit ptá 'kdo podepsal toto přijetí rizika?', odpověď nemůže být 'vedoucí IT'. Musí to být člen řídicího orgánu, jmenovitě, s datem. Vedoucí IT vykonává; řídicí orgán podepisuje.
Uspořádání s MSP nepřesouvá A na MSP. Čl. 20 zůstává u vašeho řídicího orgánu. Odpovědnost za vykonání může spočívat u MSP, ale pouze uvnitř smlouvy, která definuje, co dělají podle čl. 21(2)(d).
Matice RACI dostává šestý sloupec: externí MSP. Sedí jako R v technických řádcích, jako Consulted v řádcích zásad. Sloupec Accountable nikdy neopustí váš řídicí orgán.
- Směrnice (EU) 2022/2555 (NIS 2), čl. 20, čl. 21, čl. 23, www.eur-lex.europa.eu
- Zákon o spolkovém úřadu pro informační bezpečnost (BSIG), §32, §33, §38, www.gesetze-im-internet.de
- BSI IT-Grundschutz ORP.3 (povědomí a školení), www.bsi.bund.de
- Společné oznamovací šablony skupiny pro spolupráci (přijaté 26. května 2026) k pracovním postupům hlášení
Tato stránka poskytuje strukturovaný návod na základě veřejně dostupných zdrojů (směrnice NIS 2, BSIG, BSI IT-Grundschutz, šablony skupiny pro spolupráci). Nepředstavuje právní poradenství ve smyslu §2 RDG. Pro konkrétní návrh RACI ve vašem subjektu se obraťte na kvalifikovaného poradce. Stav k 2026-06-04.