Osobista odpowiedzialność organu zarządzającego w ramach NIS 2
Artykuł 20 dyrektywy NIS 2 przypisuje organowi zarządzającemu trzy obowiązki: zatwierdzić środki zarządzania ryzykiem cyberbezpieczeństwa, nadzorować ich wdrożenie i przejść szkolenie. Krajowe prawo spółek przekształca naruszenie tych obowiązków w osobiste roszczenie wobec danej osoby.
Co faktycznie mówi Artykuł 20
Artykuł 20 dyrektywy (UE) 2022/2555 nakłada obowiązek cyberbezpieczeństwa na organ zarządzający każdego podmiotu kluczowego i ważnego. Organ zarządzający musi zatwierdzić środki zarządzania ryzykiem wymagane przez Artykuł 21, musi nadzorować ich wdrożenie i może zostać pociągnięty do odpowiedzialności za naruszenia Artykułu 21 przez podmiot.
Artykuł 20(2) dodaje odrębny obowiązek: członkowie organu zarządzającego muszą przejść szkolenie, aby zdobyć wystarczającą wiedzę do identyfikowania ryzyk i oceniania praktyk zarządzania ryzykiem cyberbezpieczeństwa. Dyrektywa zachęca również do podobnego szkolenia dla pracowników.
Są to obowiązki osoby fizycznej, a nie spółki. NIS 2 sama nie tworzy prywatnego roszczenia wobec członka zarządu, ale podnosi standard postępowania, względem którego krajowe prawo spółek mierzy zachowanie członka zarządu. W Niemczech tym standardem jest Sorgfaltspflicht z §43 GmbHG i §93 AktG.
Dyrektywa UE
Państwa członkowskie zapewniają, aby organy zarządzające podmiotów kluczowych i ważnych zatwierdzały środki zarządzania ryzykiem cyberbezpieczeństwa podejmowane przez te podmioty w celu zachowania zgodności z Artykułem 21, nadzorowały ich wdrożenie i mogły zostać pociągnięte do odpowiedzialności za naruszenia tego Artykułu przez podmioty.
Artykuł 20(1) NIS 2 (dyrektywa (UE) 2022/2555). Obowiązek jest przypisany bezpośrednio organowi zarządzającemu, a nie spółce jako odrębnej osobie prawnej.
Rozporządzenie wykonawcze UE
Podmioty kluczowe i ważne ustanawiają, stosują i utrzymują odpowiednie ramy zarządzania ryzykiem cyberbezpieczeństwa, określające polityki, procesy, procedury i role istotne dla zarządzania ryzykami cyberbezpieczeństwa.
Rozporządzenie wykonawcze Komisji (UE) 2024/2690, Załącznik sekcja 1. Rozporządzenie wiąże wąską kategorię infrastruktury cyfrowej i dostawców usług cyfrowych wymienionych w Artykule 1; dla wszystkich innych sektorów jest punktem odniesienia jakości, a nie wiążącym standardem.
Transpozycja krajowa
Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen die von diesen Einrichtungen zur Einhaltung ihrer Pflichten nach §30 zu ergreifenden Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen.
§38(1) BSIG (w brzmieniu nadanym w NIS2UmsuCG, niemieckiej ustawie wdrażającej NIS 2). §38(3) wymaga, aby organ zarządzający przeszedł regularne szkolenie. Zaczep dla osobistej odpowiedzialności tkwi w ogólnym prawie spółek, do którego odsyła §38, a nie w samym §38.
Zatwierdzić, nadzorować, szkolić
Artykuł 20(1) wymaga, aby organ zarządzający zatwierdził środki z Artykułu 21 i nadzorował wdrożenie. Artykuł 20(2) wymaga szkolenia. Oba obowiązki przypisane są indywidualnemu członkowi organu zarządzającego.
Niemiecka transpozycja
§38 BSIG powtarza obowiązek zatwierdzania, nadzoru i szkolenia w prawie niemieckim. §38 sam nie podaje kwoty odszkodowania; definiuje standard postępowania. Sankcje finansowe tkwią w §65 BSIG i kierowane są przeciwko podmiotowi, a nie członkowi zarządu.
Sorgfaltspflicht jako most do odpowiedzialności
§43 GmbHG wymaga, aby Geschäftsführer dochował staranności rozważnego przedsiębiorcy, a §43(2) czyni go solidarnie odpowiedzialnym wobec spółki za szkodę spowodowaną naruszeniem obowiązku. §93 AktG ustanawia równoważny standard dla Vorstandu spółki Aktiengesellschaft. Niedopełnienie obowiązku z Artykułu 20 staje się dowodem na naruszenie Sorgfaltspflicht.
Osobista odpowiedzialność biegnie wobec spółki, a nie wobec osób trzecich
Roszczenia z §43 GmbHG i §93 AktG to roszczenia spółki wobec jej własnego członka zarządu. Stają się skuteczne, gdy organ nadzorczy, wspólnicy, syndyk masy upadłościowej lub następcze kierownictwo zdecyduje się je dochodzić. NIS 2 nie tworzy bezpośredniego roszczenia regulatorów ani poszkodowanych osób trzecich wobec danej osoby; tworzy leżące u podstaw naruszenie.
Sorgfaltspflicht jest mierzona względem praktyki branżowej
Niemieckie sądy oceniają Sorgfaltspflicht względem tego, co rozważny przedsiębiorca na tym samym stanowisku i w tym samym sektorze by zrobił. NIS 2 wraz z rozporządzeniem wykonawczym definiuje teraz część tego punktu odniesienia dla cyberbezpieczeństwa. Organ zarządzający, który ignoruje środki z Artykułu 21, działa wbrew standardowi, który jest teraz zapisany w ustawie.
Wytyczne BSI
Bundesamt für Sicherheit in der Informationstechnik (BSI) ujmuje §38 BSIG jako niedelegowalny obowiązek kierownictwa. Handreichung zur Geschäftsleitungs-Schulung (kwiecień 2026, v1.0) jest wkładem badawczym, a nie wiążącym programem; opisuje jednak merytoryczną treść, którą BSI oczekuje, że organ zarządzający będzie znał.
Niemieckie orzecznictwo prawa spółek
Bundesgerichtshof od dawna utrzymuje na gruncie §43 GmbHG, że Geschäftsführer musi tak zorganizować spółkę, aby obowiązki prawne były faktycznie wypełniane, w tym poprzez ustanowienie linii raportowania i nadzoru. NIS 2 precyzuje jeden z tych obowiązków prawnych w szczegółach.
Wytyczne techniczne ENISA dotyczące wdrażania
Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) publikuje wytyczne techniczne dotyczące wdrażania środków z Artykułu 21 NIS 2 i mapuje je na ISO 27001, NIST CSF 2.0, ETSI 319 401 i CEN/TS 18026. Wytyczne są niewiążące, ale są tekstem referencyjnym, który audytorzy i sądy traktują jako stan wiedzy technicznej.
Oddelegowaliśmy cyberbezpieczeństwo do CISO, więc organ zarządzający jest zwolniony.
Artykuł 20(1) nakłada obowiązek zatwierdzania i nadzoru na sam organ zarządzający. Wykonanie operacyjne można oddelegować, ale obowiązków zatwierdzenia środków i nadzoru nad wdrożeniem nie. Orzecznictwo §43 GmbHG traktuje niedopełnienie organizacyjne jako pierwotne naruszenie przez Geschäftsführera, niezależnie od tego, komu powierzono zadania operacyjne.
Jeśli Geschäftsführer nie jest techniczny, obowiązek nie może go dotyczyć osobiście.
Artykuł 20(2) wymaga, aby członkowie organu zarządzającego przeszli szkolenie dające im wystarczającą wiedzę do oceniania praktyk zarządzania ryzykiem cyberbezpieczeństwa. Brak wiedzy specjalistycznej to dokładnie to, co adresuje Artykuł 20(2); nie jest obroną przed §43 GmbHG.
Ubezpieczenie D&O pokrywa każdą odpowiedzialność z NIS 2.
Polisy D&O zazwyczaj odpowiadają na roszczenia spółki wobec członka zarządu z §43 GmbHG lub §93 AktG, gdzie ląduje naruszenie z Artykułu 20. Polisy regularnie wykluczają kary regulacyjne (np. kary na poziomie podmiotu z §65 BSIG), działania umyślne i świadome naruszenia. Wyłączenia, udział własny i przesłanki ochrony są zależne od polisy i są tu opisane, a nie z góry przesądzone.
W praktyce obowiązek z Artykułu 20 wytwarza trzy artefakty. Pisemne zatwierdzenie środków zarządzania ryzykiem z Artykułu 21 przez organ zarządzający. Zapis nadzoru, który pokazuje, że organ zarządzający otrzymywał aktualizacje statusu i reagował. Zapis szkolenia dla każdego członka organu zarządzającego.
Audytorzy, ubezpieczyciele oraz, w niekorzystnym scenariuszu, następcze kierownictwo lub syndyk masy upadłościowej będą szukać tych trzech artefaktów. Ich brak jest tym, co przekuwa obowiązek z Artykułu 20 w roszczenie z §43 GmbHG.
Platforma modeluje obowiązek z Artykułu 20 jako kategorię GOV w rejestrze obowiązków NIS 2. Zatwierdzenie środków zarządzania ryzykiem opiera się na wymaganiu zatwierdzenia (sign-off) przypisanym organowi zarządzającemu. Nadzór to ślad audytowy obejmujący wymagania z Artykułu 21. Szkolenie jest śledzone na członka wraz z dowodem ukończenia.
Merytoryczne pytanie, czy sąd stwierdziłby naruszenie Sorgfaltspflicht w danej sprawie, jest pytaniem dla radcy prawnego. Platforma wytwarza zapis dokumentacyjny, na podstawie którego rozstrzyga się pytanie prawne.
- Dyrektywa (UE) 2022/2555 (NIS 2), Artykuł 20 i Artykuł 21. Źródło: EUR-Lex.
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690, Załącznik sekcja 1. Źródło: EUR-Lex.
- BSI-Gesetz, §38 (obowiązek nadzoru organów zarządzających) i §65 (sankcje). Źródło: gesetze-im-internet.de.
- §43 GmbHG (Sorgfaltspflicht Geschäftsführera). Źródło: gesetze-im-internet.de.
- §93 AktG (Sorgfaltspflicht Vorstandu). Źródło: gesetze-im-internet.de.
- BSI Handreichung zur Geschäftsleitungs-Schulung nach §38(3) BSIG, v1.0 (kwiecień 2026). Niewiążący wkład badawczy. Źródło: bsi.bund.de.
- Wytyczne techniczne ENISA dotyczące wdrażania środków zarządzania ryzykiem NIS 2. Źródło: enisa.europa.eu.