Art. 20 NIS 2 + §38 BSIG

RACI dla NIS 2 w organizacji 60-osobowej

Na podstawie art. 20 NIS 2 organ zarządzający jest Accountable za środki zarządzania ryzykiem z mocy prawa. RACI to najtańszy sposób, aby upewnić się, że wszyscy pozostali wiedzą, co to oznacza w praktyce.

Simon OrzelSimon Orzel·

Po co RACI dla NIS 2

Większość zespołów Mittelstandu pomija macierz RACI, bo brzmi jak konsultancki teatr. W ramach NIS 2 nie jest ona opcjonalna w swej istocie. Art. 20 NIS 2 imiennie nakłada Accountability na organ zarządzający; macierz to po prostu najtańszy sposób, aby uczynić Accountable, Responsible, Consulted i Informed czytelnymi dla zespołu.

Organizacja 60-osobowa nie może pozwolić sobie na CISO, DPO, CCO, szefa działu prawnego i szefa IT jako pięć różnych osób. Jedna osoba zazwyczaj obejmuje dwie lub trzy role, a organ zarządzający obejmuje te z bezpośrednią osobistą odpowiedzialnością. RACI dokumentuje, jak ta konsolidacja działa bez naruszania dyrektywy.

Macierz ma największe znaczenie w dwóch momentach: gdy dołącza nowy menedżer i pyta, kto jest właścicielem którego obowiązku NIS 2, oraz gdy BSI żąda dowodów i musisz wykazać, że ktoś dokonał zatwierdzenia.

Gdzie spoczywa obowiązek
Dyrektywa nazywa stronę Accountable; transpozycja dodaje obowiązek szkoleniowy.

Art. 20(1) NIS 2 (odpowiedzialność organu zarządzającego)

Member States shall ensure that the management bodies of essential and important entities approve the cybersecurity risk-management measures taken by those entities in order to comply with Article 21, oversee its implementation and can be held liable for infringements by the entities of that Article.

'Approve' i 'oversee' to czynności Accountable w terminologii RACI. Organ zarządzający trzyma A niezależnie od tego, czy deleguje R. Delegowanie jest dozwolone, abdykacja nie.

§38 BSIG (szkolenie organu zarządzającego)

Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen haben an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Risikomanagementverfahren im Bereich der Cybersicherheit sowie ihrer Auswirkungen zu erwerben.

Szkolenie jest własnym obowiązkiem organu zarządzającego, niedelegowalnym. RACI pokazuje to jako Responsible ORAZ Accountable w wierszu organu zarządzającego.

Pięć podstawowych ról dla 60 pracowników
Minimalny zdolny do działania zestaw ról. Mniejsze podmioty konsolidują dalej; większe podmioty dodają specjalistów.

Organ zarządzający

CEO, Geschäftsführer, Vorstand. Accountable za środki z art. 21 z mocy prawa. Responsible za szkolenie z art. 20, zatwierdzenie budżetu, akceptację ryzyka powyżej uzgodnionego progu.

Lider IT lub CISO

Większość 60-osobowych podmiotów Mittelstandu nie ma CISO; lider IT pełni podwójną rolę. Responsible za techniczne wdrożenie środków, codzienne operacje, ocenę techniczną dostawców.

Inspektor ochrony danych (DPO)

Już obecny ze względu na GDPR. W ramach NIS 2 zazwyczaj jest właścicielem strony powiadamiania klientów (art. 23(2) NIS 2) oraz nakładania się naruszeń z art. 33 GDPR. Często w niepełnym wymiarze lub zewnętrzny.

HR

Responsible za szkolenie personelu zgodnie z ORP.3, procesy dostępu przy zatrudnieniu/zmianie stanowiska/odejściu, stronę danych osobowych pracowników w zarządzaniu dostawcami.

Zgodność lub dział prawny

Często zlecane na zewnątrz. Responsible za klauzule umowne z dostawcami z art. 21(2)(d), powiadomienia odbiorców z art. 23(2), korespondencję regulacyjną z BSI.

Macierz RACI: 10 obowiązków NIS 2 × 5 ról
Czytaj każdy wiersz: A to Accountable (tu kończy się odpowiedzialność), R to Responsible (wykonuje pracę), C to Consulted, I to Informed.
Macierz RACIOrgan zarządzającyLider IT lub CISOInspektor ochrony danych (DPO)HRZgodność lub dział prawny
Rejestracja w BSI na podstawie §33 BSIGARCIC
Polityka bezpieczeństwa informacji na podstawie art. 21(2)(a)ARCCC
Obsługa incydentów na podstawie art. 21(2)(b)ARCIC
Ciągłość działania na podstawie art. 21(2)(c)ARICI
Bezpieczeństwo łańcucha dostaw na podstawie art. 21(2)(d)ACCIR
Szkolenie organu zarządzającego na podstawie art. 20(2) + §38 BSIGA and RICCC
Szkolenie uświadamiające dla całego personelu na podstawie art. 21(2)(g)ACCRI
Zgłaszanie incydentów na podstawie art. 23 + §32 BSIGARCIC
Powiadomienie odbiorcy na podstawie art. 23(2) NIS 2ACRIC
Aktualizacja rejestracji na podstawie §33(5) BSIG (termin 2 tygodni)ARICC
Accountable a Responsible: najczęstsza pułapka

RACI zawodzi, gdy zespoły traktują A i R jako to samo. Na podstawie art. 20 NIS 2 organ zarządzający trzyma A z mocy prawa. Nie może delegować A. Może i musi delegować R, często do lidera IT lub DPO, lecz odpowiedzialność wciąż kończy się przy organie zarządzającym.

Praktyczna konsekwencja: gdy audyt pyta 'kto zatwierdził tę akceptację ryzyka?', odpowiedź nie może brzmieć 'lider IT'. Musi to być członek organu zarządzającego, z imienia i nazwiska, wraz z datą. Lider IT wykonuje; organ zarządzający podpisuje.

Co się zmienia, jeżeli twoje IT jest zlecone na zewnątrz

Umowa z MSP nie przenosi A na MSP. Art. 20 pozostaje przy twoim organie zarządzającym. Odpowiedzialność za wykonanie może spoczywać przy MSP, lecz tylko w ramach umowy, która definiuje, co robi on na podstawie art. 21(2)(d).

Macierz RACI zyskuje szóstą kolumnę: zewnętrzny MSP. Pełni on rolę R w wierszach technicznych, a Consulted w wierszach dotyczących polityk. Kolumna Accountable nigdy nie opuszcza twojego organu zarządzającego.

Źródła
  • Dyrektywa (UE) 2022/2555 (NIS 2), art. 20, art. 21, art. 23, www.eur-lex.europa.eu
  • Ustawa o Federalnym Urzędzie ds. Bezpieczeństwa Informacji (BSIG), §32, §33, §38, www.gesetze-im-internet.de
  • BSI IT-Grundschutz ORP.3 (świadomość i szkolenie), www.bsi.bund.de
  • Cooperation Group Common Notification Templates (przyjęte 26 maja 2026 r.) w sprawie przepływów pracy zgłaszania

Ta strona udostępnia ustrukturyzowane wytyczne oparte na publicznie dostępnych źródłach (Dyrektywa NIS 2, BSIG, BSI IT-Grundschutz, szablony Cooperation Group). Nie stanowi ona porady prawnej w rozumieniu §2 RDG. W sprawie konkretnego projektu RACI w twoim podmiocie skonsultuj się z wykwalifikowanym doradcą. Stan na 2026-06-04.

Chcesz RACI dostosowane do twojej liczby pracowników?
Zaloguj się, a platforma wytworzy startową macierz RACI na podstawie twojego sektora, liczby pracowników i wybranych przez ciebie obowiązków.