RACI dla NIS 2 w organizacji 60-osobowej
Na podstawie art. 20 NIS 2 organ zarządzający jest Accountable za środki zarządzania ryzykiem z mocy prawa. RACI to najtańszy sposób, aby upewnić się, że wszyscy pozostali wiedzą, co to oznacza w praktyce.
Po co RACI dla NIS 2
Większość zespołów Mittelstandu pomija macierz RACI, bo brzmi jak konsultancki teatr. W ramach NIS 2 nie jest ona opcjonalna w swej istocie. Art. 20 NIS 2 imiennie nakłada Accountability na organ zarządzający; macierz to po prostu najtańszy sposób, aby uczynić Accountable, Responsible, Consulted i Informed czytelnymi dla zespołu.
Organizacja 60-osobowa nie może pozwolić sobie na CISO, DPO, CCO, szefa działu prawnego i szefa IT jako pięć różnych osób. Jedna osoba zazwyczaj obejmuje dwie lub trzy role, a organ zarządzający obejmuje te z bezpośrednią osobistą odpowiedzialnością. RACI dokumentuje, jak ta konsolidacja działa bez naruszania dyrektywy.
Macierz ma największe znaczenie w dwóch momentach: gdy dołącza nowy menedżer i pyta, kto jest właścicielem którego obowiązku NIS 2, oraz gdy BSI żąda dowodów i musisz wykazać, że ktoś dokonał zatwierdzenia.
Art. 20(1) NIS 2 (odpowiedzialność organu zarządzającego)
Member States shall ensure that the management bodies of essential and important entities approve the cybersecurity risk-management measures taken by those entities in order to comply with Article 21, oversee its implementation and can be held liable for infringements by the entities of that Article.
'Approve' i 'oversee' to czynności Accountable w terminologii RACI. Organ zarządzający trzyma A niezależnie od tego, czy deleguje R. Delegowanie jest dozwolone, abdykacja nie.
§38 BSIG (szkolenie organu zarządzającego)
Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen haben an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Risikomanagementverfahren im Bereich der Cybersicherheit sowie ihrer Auswirkungen zu erwerben.
Szkolenie jest własnym obowiązkiem organu zarządzającego, niedelegowalnym. RACI pokazuje to jako Responsible ORAZ Accountable w wierszu organu zarządzającego.
Organ zarządzający
CEO, Geschäftsführer, Vorstand. Accountable za środki z art. 21 z mocy prawa. Responsible za szkolenie z art. 20, zatwierdzenie budżetu, akceptację ryzyka powyżej uzgodnionego progu.
Lider IT lub CISO
Większość 60-osobowych podmiotów Mittelstandu nie ma CISO; lider IT pełni podwójną rolę. Responsible za techniczne wdrożenie środków, codzienne operacje, ocenę techniczną dostawców.
Inspektor ochrony danych (DPO)
Już obecny ze względu na GDPR. W ramach NIS 2 zazwyczaj jest właścicielem strony powiadamiania klientów (art. 23(2) NIS 2) oraz nakładania się naruszeń z art. 33 GDPR. Często w niepełnym wymiarze lub zewnętrzny.
HR
Responsible za szkolenie personelu zgodnie z ORP.3, procesy dostępu przy zatrudnieniu/zmianie stanowiska/odejściu, stronę danych osobowych pracowników w zarządzaniu dostawcami.
Zgodność lub dział prawny
Często zlecane na zewnątrz. Responsible za klauzule umowne z dostawcami z art. 21(2)(d), powiadomienia odbiorców z art. 23(2), korespondencję regulacyjną z BSI.
| Macierz RACI | Organ zarządzający | Lider IT lub CISO | Inspektor ochrony danych (DPO) | HR | Zgodność lub dział prawny |
|---|---|---|---|---|---|
| Rejestracja w BSI na podstawie §33 BSIG | A | R | C | I | C |
| Polityka bezpieczeństwa informacji na podstawie art. 21(2)(a) | A | R | C | C | C |
| Obsługa incydentów na podstawie art. 21(2)(b) | A | R | C | I | C |
| Ciągłość działania na podstawie art. 21(2)(c) | A | R | I | C | I |
| Bezpieczeństwo łańcucha dostaw na podstawie art. 21(2)(d) | A | C | C | I | R |
| Szkolenie organu zarządzającego na podstawie art. 20(2) + §38 BSIG | A and R | I | C | C | C |
| Szkolenie uświadamiające dla całego personelu na podstawie art. 21(2)(g) | A | C | C | R | I |
| Zgłaszanie incydentów na podstawie art. 23 + §32 BSIG | A | R | C | I | C |
| Powiadomienie odbiorcy na podstawie art. 23(2) NIS 2 | A | C | R | I | C |
| Aktualizacja rejestracji na podstawie §33(5) BSIG (termin 2 tygodni) | A | R | I | C | C |
RACI zawodzi, gdy zespoły traktują A i R jako to samo. Na podstawie art. 20 NIS 2 organ zarządzający trzyma A z mocy prawa. Nie może delegować A. Może i musi delegować R, często do lidera IT lub DPO, lecz odpowiedzialność wciąż kończy się przy organie zarządzającym.
Praktyczna konsekwencja: gdy audyt pyta 'kto zatwierdził tę akceptację ryzyka?', odpowiedź nie może brzmieć 'lider IT'. Musi to być członek organu zarządzającego, z imienia i nazwiska, wraz z datą. Lider IT wykonuje; organ zarządzający podpisuje.
Umowa z MSP nie przenosi A na MSP. Art. 20 pozostaje przy twoim organie zarządzającym. Odpowiedzialność za wykonanie może spoczywać przy MSP, lecz tylko w ramach umowy, która definiuje, co robi on na podstawie art. 21(2)(d).
Macierz RACI zyskuje szóstą kolumnę: zewnętrzny MSP. Pełni on rolę R w wierszach technicznych, a Consulted w wierszach dotyczących polityk. Kolumna Accountable nigdy nie opuszcza twojego organu zarządzającego.
- Dyrektywa (UE) 2022/2555 (NIS 2), art. 20, art. 21, art. 23, www.eur-lex.europa.eu
- Ustawa o Federalnym Urzędzie ds. Bezpieczeństwa Informacji (BSIG), §32, §33, §38, www.gesetze-im-internet.de
- BSI IT-Grundschutz ORP.3 (świadomość i szkolenie), www.bsi.bund.de
- Cooperation Group Common Notification Templates (przyjęte 26 maja 2026 r.) w sprawie przepływów pracy zgłaszania
Ta strona udostępnia ustrukturyzowane wytyczne oparte na publicznie dostępnych źródłach (Dyrektywa NIS 2, BSIG, BSI IT-Grundschutz, szablony Cooperation Group). Nie stanowi ona porady prawnej w rozumieniu §2 RDG. W sprawie konkretnego projektu RACI w twoim podmiocie skonsultuj się z wykwalifikowanym doradcą. Stan na 2026-06-04.