Art. 20 + Art. 27 NIS 2 · §33(5) + §38 + §65 BSIG

Zmiana organu zarządzającego — bezpieczne przekazanie odpowiedzialności za NIS 2

Gdy CEO lub Geschäftsführer odchodzi, obowiązek szkoleniowy z §38 BSIG nie odchodzi razem z nim. Przy przekazaniu muszą się wydarzyć trzy rzeczy, albo osobista odpowiedzialność przejdzie w najgorszy sposób.

Simon OrzelSimon Orzel·

Dlaczego przekazanie jest najczęściej przeoczanym momentem NIS 2

Większość podmiotów przygotowuje się na dzień, w którym NIS 2 pierwszy raz ich dotyczy. Niewiele przygotowuje się na dzień, w którym osoba będąca właścicielem wdrożenia przekazuje je dalej. To moment, w którym osobista odpowiedzialność z §38 BSIG po cichu przechodzi, w którym dane rejestracyjne BSI się dezaktualizują i w którym podpisane akceptacje ryzyka stają się osierocone.

Na podstawie art. 20 NIS 2 organ zarządzający 'może zostać pociągnięty do odpowiedzialności' za naruszenia. Odpowiedzialność przylega do roli, a nie do osoby. Nowy Geschäftsführer dziedziczy wszystko, co zatwierdził odchodzący, w tym ryzyka, o których nigdy go nie poinformowano. Protokół przekazania istnieje po to, aby ta odprawa odbyła się na piśmie.

Nie istnieje osobne rozporządzenie dotyczące przekazania NIS 2. Obowiązki pochodzą z trzech miejsc: zasada aktualizacji w ciągu 2 tygodni z §33(5) BSIG dla danych rejestracyjnych, obowiązek szkoleniowy z §38 BSIG dla nowego członka organu zarządzającego oraz ogólny obowiązek zatwierdzania i nadzoru z art. 20 NIS 2, który przechodzi w chwili, gdy nowa osoba podpisuje powołanie.

Trzy obowiązki, które aktywują się w dniu przekazania
Żaden z nich nie jest opcjonalny, wszystkie trzy mogą zostać przeoczone w zgiełku zmiany CEO.

Art. 20(1) NIS 2 + §38 BSIG (szkolenie)

Member States shall ensure that the management bodies of essential and important entities can be held liable for infringements by the entities of Article 21. The members of the management bodies shall be required to follow training in order to gain sufficient knowledge.

Odpowiedzialność i obowiązek szkoleniowy przylegają w dniu, w którym nowy członek organu zarządzającego zostaje zarejestrowany, a nie w dogodnym późniejszym terminie. W dyrektywie nie ma okresu karencji.

§33(5) BSIG + art. 27(2) NIS 2 (aktualizacja rejestru)

Wesentliche und wichtige Einrichtungen teilen dem Bundesamt Änderungen der für die Registrierung erforderlichen Angaben innerhalb von zwei Wochen mit.

Termin dwóch tygodni. Osoba kontaktowa zarejestrowana w BSI jest kanałem, przez który docierają żądania dotyczące incydentów, ostrzeżenia i zawiadomienia nadzorcze. Nieaktualna osoba kontaktowa oznacza, że zapytania BSI po cichu zawodzą.

Art. 20(1) NIS 2 (ciągłość zatwierdzania)

The management bodies of essential and important entities shall approve the cybersecurity risk-management measures taken by those entities and shall oversee its implementation.

'Approve' to obowiązek ciągły. Zatwierdzenia podpisane przez odchodzącego CEO wiążą podmiot, lecz nowy CEO staje się odpowiedzialny za ich nadzór od pierwszego dnia. Nie może zrzec się tego, o czym go nie poinformowano, więc odprawa musi odbyć się przy przekazaniu.

Co musi znaleźć się w pakiecie przekazania
Cztery artefakty. Istnieją już, jeżeli podmiot prowadzi ISMS; przekazanie po prostu czyni je widocznymi dla nowego członka organu zarządzającego.

Dokumentacja szkolenia z §38 BSIG (odchodzący)

Dowód ukończenia dla odchodzącego członka organu zarządzającego. Własne szkolenie z §38 dla nowego członka musi zostać zorganizowane osobno i bezzwłocznie.

Podpisane akceptacje ryzyka

Każdy wpis w rejestrze ryzyka, który odchodzący CEO zaakceptował (zamiast ograniczyć), jest teraz obowiązkiem, który dziedziczy nowy CEO. Przejrzyj je przy przekazaniu, nie odkrywaj ich podczas audytu.

Mapa zależności od dostawców

Którzy dostawcy niosą ryzyko NIS 2 na podstawie art. 21(2)(d). Nowy CEO musi wiedzieć, kogo nie może szybko wypowiedzieć, kto ponosi odpowiedzialność umowną, czyj przegląd jest przeterminowany.

Własność reagowania na incydenty

Kto ma dostęp do portalu, kto zatwierdza zgłoszenia, kto jest wyznaczonym oficerem zgłaszającym. Nazwiska, dane kontaktowe, łańcuch eskalacji. To dokument, który wyciąga się o 03:00 podczas incydentu.

Trzy kroki w pierwszych dwóch tygodniach
Dwutygodniowe okno z §33(5) BSIG dyktuje rytm. Traktuj dzień 1 nowego członka organu zarządzającego jako dzień 1 zegara.

Krok 1 — Zaktualizuj rejestrację w BSI

Za pośrednictwem portalu BSI na podstawie §33(5) BSIG: nowa osoba kontaktowa, rola, dane kontaktowe. Dwa tygodnie od daty powołania. Użyj istniejącego certyfikatu organizacyjnego ELSTER, który nie zmienia się, gdy zmienia się organ zarządzający.

Krok 2 — Zaplanuj szkolenie z §38 BSIG

Nowy członek jest zobowiązany do odbycia szkolenia z zarządzania ryzykiem w cyberbezpieczeństwie. W BSIG nie ma sztywnego terminu, lecz 'unverzüglich' (bez zbędnej zwłoki) na podstawie §38(2). Zaplanuj w ciągu pierwszego kwartału nowej roli.

Krok 3 — Potwierdź ponownie lub zastąp zatwierdzenia odchodzącego

Przeprowadź nowego członka przez rejestr ryzyka i mapę dostawców. Jego własny podpis pod tym, co chce zachować, osobna decyzja co do tego, co chce ponownie rozważyć. Udokumentuj datę odprawy.

Trzy rzeczy, które po cichu idą źle
Wszystkie trzy to ciche awarie. Wychodzą na jaw dopiero, gdy uderza incydent lub audyt.

  • Kontakt w BSI nigdy nieaktualizowany

    Dwutygodniowy zegar z §33(5) biegnie w tle ruchliwej zmiany. Pominięta aktualizacja oznacza, że kontaktem incydentowym BSI jest osoba, która już nie pracuje w podmiocie. Narażenie na grzywnę na podstawie §65 BSIG plus w najgorszym przypadku niepowodzenie zgłoszenia incydentu.

  • Akceptacje ryzyka odziedziczone na ślepo

    Nowy CEO podpisuje powołanie, z mocy prawa staje się odpowiedzialny za ryzyka zaakceptowane przez poprzednika. Bez odprawy nie może bronić stanowiska podczas audytu. Odprawa przy przekazaniu jest pomostem.

  • Szkolenie z §38 zaplanowane 'na później'

    Nie ma konkretnego terminu, więc się przeciąga. Mijają lata. Przy następnym nadzorze BSI prosi o dowód, a go nie ma. Zaplanuj w ciągu pierwszego kwartału, a nie 'gdy będzie czas'.

Co się dzieje, gdy przekazanie jest nieformalne

Trzy tryby awarii się kumulują. Po pierwsze, rejestracja w BSI jest nieaktualna, więc zgłoszenie incydentu nie dociera do nikogo. Po drugie, nowy CEO nie ma odprawy w sprawie ryzyk, które odziedziczył, więc obrona podczas audytu się załamuje. Po trzecie, brakuje szkolenia z §38, co jest odrębnym naruszeniem na podstawie §38(3) BSIG.

Każdy z tych trzech uruchamia tę samą ścieżkę egzekucyjną: zawiadomienie nadzorcze na podstawie art. 32 NIS 2, możliwą grzywnę na podstawie §65 BSIG, osobiste narażenie członka organu zarządzającego, który podpisał bez sprawdzenia. Niczego z tego nie da się odwrócić poprzez odprawę z mocą wsteczną.

Źródła
  • Dyrektywa (UE) 2022/2555 (NIS 2), art. 20, art. 27, art. 32, www.eur-lex.europa.eu
  • Ustawa o Federalnym Urzędzie ds. Bezpieczeństwa Informacji (BSIG), §33(5), §38, §65, www.gesetze-im-internet.de
  • BSI handreichung zu §38 BSIG (kwiecień 2026, wersja 1.0), www.bsi.bund.de
  • Ustawa wdrażająca NIS-2 i wzmacniająca cyberbezpieczeństwo (NIS2UmsuCG)

Ta strona udostępnia ustrukturyzowane wytyczne oparte na publicznie dostępnych źródłach (Dyrektywa NIS 2, BSIG, BSI Handreichung §38). Nie stanowi ona porady prawnej w rozumieniu §2 RDG. Narażenie członków organu zarządzającego na osobistą odpowiedzialność jest kwestią prawną dla dopuszczonego do wykonywania zawodu prawnika. Stan na 2026-06-04.

Przeprowadź czyste przekazanie przed następną zmianą
Platforma wytwarza pakiet przekazania z przypomnieniem o aktualizacji rejestru, trackerem szkolenia z §38 oraz szablonem odprawy z akceptacji ryzyka.
Zaloguj się do platformy