Změna řídicího orgánu: bezpečný přenos odpovědnosti za NIS 2
Když CEO nebo Geschäftsführer odejde, povinnost školení podle §38 BSIG s ním neodejde. Při předání se musí stát tři věci, jinak se osobní odpovědnost přenese tím nejhorším způsobem.
Proč je předání nejvíce přehlíženým okamžikem NIS 2
Většina subjektů se připravuje na den, kdy se na ně NIS 2 poprvé vztáhne. Málokdo se připravuje na den, kdy osoba, která implementaci vlastní, ji předá dál. To je okamžik, kdy se osobní odpovědnost podle §38 BSIG tiše přenáší, kde data registrace u BSI zastarávají a kde se podepsaná přijetí rizik stávají osiřelými.
Podle čl. 20 NIS 2 řídicí orgán 'může nést odpovědnost' za porušení. Odpovědnost se připíná k roli, nikoli k osobě. Nastupující Geschäftsführer dědí vše, co odcházející schválil, včetně rizik, o kterých nebyl nikdy informován. Protokol o předání existuje proto, aby k tomuto informování došlo na záznamu.
Neexistuje žádné samostatné nařízení o předání NIS 2. Povinnosti pocházejí ze tří míst: dvoutýdenní pravidlo aktualizace podle §33(5) BSIG pro registrační data, povinnost školení podle §38 BSIG pro nového člena řídicího orgánu a obecná povinnost schvalování a dohledu podle čl. 20 NIS 2, která přechází v okamžiku, kdy nová osoba podepíše jmenování.
Čl. 20(1) NIS 2 + §38 BSIG (školení)
Členské státy zajistí, aby řídicí orgány zásadních a důležitých subjektů mohly nést odpovědnost za porušení článku 21 těmito subjekty. Členové řídicích orgánů jsou povinni absolvovat školení, aby získali dostatečné znalosti.
Odpovědnost a povinnost školení se připínají v den, kdy je nový člen řídicího orgánu zaregistrován, nikoli k pohodlnějšímu pozdějšímu datu. Ve směrnici neexistuje žádné ochranné období.
§33(5) BSIG + čl. 27(2) NIS 2 (aktualizace registru)
Wesentliche und wichtige Einrichtungen teilen dem Bundesamt Änderungen der für die Registrierung erforderlichen Angaben innerhalb von zwei Wochen mit.
Dvoutýdenní lhůta. Kontaktní osoba zaregistrovaná u BSI je kanál, kterým přicházejí žádosti o incidenty, výstrahy a dohledová oznámení. Zastaralá kontaktní osoba znamená, že dotazy BSI tiše selžou.
Čl. 20(1) NIS 2 (kontinuita schvalování)
Řídicí orgány zásadních a důležitých subjektů schvalují opatření k řízení rizik kybernetické bezpečnosti přijatá těmito subjekty a dohlížejí na jejich zavedení.
'Schvalovat' je trvalá povinnost. Schválení podepsaná odcházejícím CEO subjekt zavazují, ale nastupující CEO se stává odpovědným za dohled nad nimi od prvního dne. Nemohou se zříci toho, o čem nebyli informováni, takže k informování musí dojít při předání.
Záznamy o školení podle §38 BSIG (odcházející)
Doklad o dokončení pro odcházejícího člena řídicího orgánu. Vlastní školení nového člena podle §38 musí být zařízeno samostatně a neprodleně.
Podepsaná přijetí rizik
Každý záznam v registru rizik, který odcházející CEO přijal (namísto zmírnění), je nyní povinností, kterou nastupující CEO dědí. Přezkoumejte je při předání, nezjišťujte je při auditu.
Mapa závislostí na dodavatelích
Kteří dodavatelé nesou riziko NIS 2 podle čl. 21(2)(d). Nastupující CEO potřebuje vědět, koho nemůže rychle vypovědět, kdo nese smluvní odpovědnost, kdo je po termínu přezkumu.
Vlastnictví reakce na incidenty
Kdo má přístup k portálu, kdo podepisuje oznámení, kdo je určeným pracovníkem pro hlášení. Jména, kontaktní údaje, eskalační řetězec. To je dokument, který se vytahuje ve 03:00 během incidentu.
Krok 1: Aktualizovat registraci u BSI
Přes portál BSI podle §33(5) BSIG: nová kontaktní osoba, role, kontaktní údaje. Dva týdny od data jmenování. Použijte stávající organizační certifikát ELSTER, ten se při změně řídicího orgánu nemění.
Krok 2: Naplánovat školení podle §38 BSIG
Nový člen je povinen absolvovat školení v řízení rizik kybernetické bezpečnosti. V BSIG není pevná lhůta, ale 'unverzüglich' (bez zbytečného odkladu) podle §38(2). Naplánujte v rámci prvního čtvrtletí nové role.
Krok 3: Znovu potvrdit nebo nahradit odcházející schválení
Proveďte nového člena registrem rizik a mapou dodavatelů. Jeho vlastní podpis na čemkoli, co si chce ponechat, samostatné rozhodnutí o čemkoli, co si chce přehodnotit. Zdokumentujte datum brífinku.
Kontakt u BSI nikdy neaktualizován
Dvoutýdenní lhůta podle §33(5) běží v pozadí rušného přechodu. Zmeškaná aktualizace znamená, že kontaktem BSI pro incidenty je osoba, která už v subjektu nepracuje. Vystavení pokutě podle §65 BSIG plus v nejhorším případě selhání oznámení o incidentu.
Přijetí rizik zděděna naslepo
Nastupující CEO podepíše jmenování, ze zákona se stává odpovědným za rizika přijatá předchůdcem. Bez brífinku nemohou pozici obhájit při auditu. Brífink při předání je tím mostem.
Školení podle §38 naplánováno 'na později'
Neexistuje konkrétní lhůta, takže se odkládá. Roky plynou. Při příštím dohledu BSI žádá o doklad a žádný není. Naplánujte v rámci prvního čtvrtletí, nikoli 'až bude čas'.
Tři režimy selhání se sčítají. Za prvé, registrace u BSI je zastaralá, takže oznámení o incidentu nikoho nezastihne. Za druhé, nastupující CEO nemá brífink o rizicích, která zdědil, takže obrana při auditu se hroutí. Za třetí, chybí školení podle §38, což je samostatné porušení podle §38(3) BSIG.
Každé ze tří spouští stejnou cestu vymáhání: dohledové oznámení podle čl. 32 NIS 2, možná pokuta podle §65 BSIG, osobní vystavení člena řídicího orgánu, který podepsal bez kontroly. Nic z toho není zpětným brífinkem vratné.
- Směrnice (EU) 2022/2555 (NIS 2), čl. 20, čl. 27, čl. 32, www.eur-lex.europa.eu
- Zákon o spolkovém úřadu pro informační bezpečnost (BSIG), §33(5), §38, §65, www.gesetze-im-internet.de
- BSI handreichung k §38 BSIG (duben 2026, verze 1.0), www.bsi.bund.de
- Zákon o implementaci NIS-2 a posílení kybernetické bezpečnosti (NIS2UmsuCG)
Tato stránka poskytuje strukturovaný návod na základě veřejně dostupných zdrojů (směrnice NIS 2, BSIG, BSI Handreichung §38). Nepředstavuje právní poradenství ve smyslu §2 RDG. Vystavení osobní odpovědnosti členů řídicího orgánu je právní otázka pro advokáta s oprávněním. Stav k 2026-06-04.