Szkolenie organu zarządzającego w NIS 2 na podstawie Artykułu 20(2)
NIS 2 mówi, że sam organ zarządzający musi zostać przeszkolony w zakresie cyberbezpieczeństwa. Nie CISO. Nie kierownik IT. Zarząd, dyrektorzy zarządzający, osoby, które zatwierdzają środki zarządzania ryzykiem na podstawie Artykułu 20(1).
Wersja skrócona
Artykuł 20 NIS 2 to artykuł dotyczący ładu korporacyjnego. Ustęp 1 mówi, że organ zarządzający musi zatwierdzić środki zarządzania ryzykiem, nadzorować ich wdrażanie i może zostać pociągnięty do osobistej odpowiedzialności, jeśli tego nie zrobi. Ustęp 2 dodaje element szkoleniowy: sam organ zarządzający odbywa szkolenie, a podmiot oferuje regularne szkolenia całemu personelowi.
Szkolenie nie podlega delegowaniu. Dyrektywa wprost wskazuje organ zarządzający. Wysłanie CISO na kurs nie zwalnia z obowiązku. Osoby, które zatwierdzają środki z Artykułu 21, potrzebują wystarczającej wiedzy, aby rozumieć, co zatwierdzają.
Niemcy wprowadzają tę regułę do prawa krajowego poprzez §38(3) BSIG. Brzmienie odzwierciedla dyrektywę. Ta strona omawia Artykuł 20(2), praktyczny obowiązek oraz niemiecką transpozycję w tej kolejności.
Artykuł 20(2) dyrektywy NIS 2 (2022/2555)
Member States shall ensure that the members of the management bodies of essential and important entities are required to follow training, and shall require essential and important entities to offer similar training to their employees on a regular basis, in order that they gain sufficient knowledge and skills to enable them to identify risks and assess cybersecurity risk-management practices and their impact on the services provided by the entity.
To jest reguła źródłowa. Wskazuje organ zarządzający z nazwy i wiąże treść szkolenia z identyfikacją ryzyka, oceną ryzyka, praktykami zarządzania cyberbezpieczeństwem oraz wpływem na usługi świadczone przez podmiot. Tworzy także obowiązek szkolenia personelu dla podmiotów kluczowych i ważnych.
Rozporządzenie wykonawcze Komisji (UE) 2024/2690
CIR ustanawia wymogi techniczne i metodyczne dla środków z Artykułu 21(2). Nie obejmuje Artykułu 20.
W przeciwieństwie do Artykułu 21, Artykuł 20 nie ma rozporządzenia wykonawczego. Wzorcem jest tekst dyrektywy. Organy krajowe i ENISA uzupełniają szczegóły praktyczne; nie ma sekcji CIR, na którą można by wskazać.
§38(3) BSIG (Niemcy)
Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie von Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.
§38 BSIG znajduje się w ustawie wdrażającej NIS2 (NIS2UmsuCG) i obowiązuje od 2026 roku. Jest niemieckim operacyjnym punktem zakotwiczenia dla osobistego obowiązku szkolenia. §38(1) i (2) BSIG dodają obowiązek zatwierdzenia oraz element osobistej odpowiedzialności. Rejestracja na podstawie §33 BSIG była wymagana do 6 marca 2026.
Sam organ zarządzający odbywa szkolenie
Członkowie organu zarządzającego muszą zostać przeszkoleni. Osobiście. Dyrektywa używa liczby mnogiej ('członkowie'), więc każdy dyrektor zarządzający, każdy członek zarządu z odpowiedzialnością operacyjną jest objęty zakresem. Dowód zapisania na szkolenie i jego ukończenia to minimum prawne. Platforma przechowuje oba.
Podmiot oferuje szkolenie całemu personelowi
Podmiot musi regularnie oferować szkolenia swoim pracownikom. 'Regularnie' nie jest zdefiniowane; normą operacyjną na podstawie Grundschutz ORP.3 jest cyklicznie raz w roku. Świadomość dla wszystkich, szkolenie specyficzne dla ról dla personelu IT. Obowiązek dotyczy całej załogi, nie tylko zespołu technicznego.
Treść obejmuje ryzyko plus praktyki zarządzania plus wpływ na usługi
Dyrektywa wymienia cztery bloki treści: identyfikacja ryzyka, ocena ryzyka, rozumienie praktyk zarządzania cyberbezpieczeństwem, rozumienie wpływu na usługi świadczone przez podmiot. Ogólna symulacja phishingu nie obejmuje wszystkich czterech. Kurs na poziomie zarządczym tak.
Osobisty obowiązek organu zarządzającego (Artykuł 20(1) i 20(2))
Organ zarządzający nie może delegować tego CISO, kierownikowi IT ani inspektorowi ochrony danych. Artykuł 20(1) wiąże obowiązek zatwierdzenia z organem zarządzającym. Artykuł 20(2) wiąże obowiązek szkolenia z tymi samymi osobami. Oba są ze sobą połączone z zamysłem. Powód: jeśli zatwierdzasz środki zarządzania ryzykiem, musisz rozumieć, co zatwierdzasz.
Proporcjonalność obowiązuje poprzez Artykuł 21(1)
Artykuł 21(1) mówi, że środki cyberbezpieczeństwa muszą być 'odpowiednie do występującego ryzyka', z uwzględnieniem wielkości, ekspozycji, prawdopodobieństwa, dotkliwości, stanu wiedzy oraz kosztu. Wymóg szkolenia czyta się przez ten sam pryzmat. 60-osobowy Stadtwerk potrzebuje poważnego, udokumentowanego szkolenia; nie potrzebuje wielotygodniowego programu dla kadry kierowniczej. Czego dyrektywa nie dopuszcza, to brak szkolenia.
BSI / §38(3) BSIG
Niemcy kopiują brzmienie dyrektywy niemal dosłownie w §38(3) BSIG. Handreichung BSI do §38 (kwiecień 2026) to wyłącznie niewiążący materiał badawczy, a nie program nauczania. BSI nie prowadzi schematu akredytacji szkoleń z Artykułu 20. Dowód zapisania na szkolenie plus jego ukończenia to minimum prawne.
ENISA Technical Implementation Guidance
TIG opracowane przez ENISA obejmuje środki z Artykułu 21. Artykuł 20 znajduje się poza zakresem TIG, ponieważ nie ma tu CIR do wdrożenia. ENISA cytuje Artykuł 20 w swoich szerszych materiałach o NIS 2, ale nie wydała formalnych kryteriów szkoleniowych.
Krajowe ustawy transponujące
Każde państwo członkowskie transponowało Artykuł 20(2) (Holandia: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Ten sam obowiązek, te same bloki treści. Różne kanały zgłoszeń i różne organy nadzorujące. Żadne z nich również nie prowadzi organu akredytacyjnego dla szkoleń z Artykułu 20.
Delegowaliśmy to naszemu CISO.
Nie możesz. Artykuł 20(2) wprost wskazuje 'członków organów zarządzających'. Wysłanie CISO na kurs nie zwalnia z obowiązku. CISO może prowadzić program, wybrać dostawcę, opracować treść. Szkolenie, którego wymaga dyrektywa, dotyczy osób, które zatwierdzają na podstawie Artykułu 20(1).
Przeprowadziliśmy moduł podnoszenia świadomości bezpieczeństwa, więc organ zarządzający jest objęty.
Szkolenie podnoszące świadomość użytkowników to nie szkolenie zarządcze. Artykuł 20(2) wymienia cztery bloki treści: identyfikacja ryzyka, ocena ryzyka, rozumienie praktyk zarządzania cyberbezpieczeństwem, rozumienie wpływu na usługi. 'Nie klikaj linków phishingowych' nie jest na tej liście. Organ zarządzający potrzebuje szkolenia z praktyk zarządzania, a nie z zachowań użytkowników.
Nasze ubezpieczenie D&O pokrywa osobistą odpowiedzialność, więc szkolenie jest opcjonalne.
Nie pokrywa. §38(2) BSIG tworzy osobistą odpowiedzialność za naruszenie obowiązków zarządczych z §38. Ubezpieczenie to coś, co dodajesz na wierzch. Nie usuwa ono podstawowego obowiązku, a samo szkolenie jest tym, co zmniejsza podstawowe ryzyko naruszenia. Pominięcie szkolenia podnosi odpowiedzialność, nie obniża jej.
Nie ma organu akredytującego szkolenia z Artykułu 20. Nie jest wymagany żaden schemat DAkkS, żaden znak TÜV, żadna certyfikacja Wielkiej Czwórki. Artykuł 20(2) wskazuje zapisanie na szkolenie i jego ukończenie. To jest minimum prawne. Wszystko poza tym jest opcjonalne i wynika z ryzyka, a nie z prawa.
Co sprawdza się w niemieckim Mittelstand: ustrukturyzowany kurs obejmujący cztery bloki treści (identyfikacja ryzyka, ocena ryzyka, praktyki zarządzania, wpływ na usługi), zapisanie odnotowane imiennie dla każdego członka organu zarządzającego, dowód ukończenia przechowywany ze ścieżką audytu, odświeżanie w regularnym rytmie. To wytrzymuje na gruncie Artykułu 20(2). Pokrywa się to także z §38(3) BSIG oraz z własnym ujęciem BSI w Handreichung do §38.
Zbudowaliśmy kurs CEO dokładnie do tego. Kurs obejmuje cztery bloki treści wskazane w Artykule 20(2): identyfikacja ryzyka, ocena ryzyka, praktyki zarządzania cyberbezpieczeństwem oraz wpływ na usługi świadczone przez podmiot. Każda lekcja jest krótka. Kurs jest stworzony dla dyrektorów zarządzających, a nie dla inżynierów bezpieczeństwa.
Platforma odnotowuje zapisanie imiennie dla każdego członka organu zarządzającego, rejestruje dowód ukończenia i przechowuje oba w ścieżce audytu. Ten sam zapis spełnia oczekiwanie dokumentacyjne §38(3) BSIG. Kurs jest darmowy, podobnie jak platforma, na której się opiera.
- Directive (EU) 2022/2555 (NIS 2), Article 20 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- BSI Act (BSIG), §38 as amended by the NIS2 Implementation and Cybersecurity Strengthening Act (NIS2UmsuCG)
- BSI Handreichung zur Geschäftsleitungsschulung nach §38(3) BSIG, v1.0, 17 April 2026 (non-binding)
- ENISA NIS 2 materials on management responsibilities — enisa.europa.eu
- IT-Grundschutz ORP.3 (Awareness and Training)