Instruirea organului de conducere conform NIS 2 în temeiul Articolului 20(2)
NIS 2 spune că organul de conducere însuși trebuie să fie instruit în materie de securitate cibernetică. Nu CISO. Nu șeful IT. Consiliul, administratorii, persoanele care aprobă măsurile de gestionare a riscurilor în temeiul Articolului 20(1).
Pe scurt
Articolul 20 NIS 2 este articolul privind guvernanța. Alineatul 1 spune că organul de conducere trebuie să aprobe măsurile de gestionare a riscurilor, să supravegheze punerea lor în aplicare și poate fi tras la răspundere personală dacă nu o face. Alineatul 2 adaugă componenta de instruire: organul de conducere însuși urmează o instruire, iar entitatea oferă instruire periodică întregului personal.
Instruirea nu poate fi delegată. Directiva numește în mod specific organul de conducere. Trimiterea CISO la un curs nu îndeplinește obligația. Persoanele care aprobă măsurile din Articolul 21 au nevoie de suficiente cunoștințe pentru a înțelege ce semnează.
Germania transpune această normă în legislația națională prin §38(3) BSIG. Formularea reflectă directiva. Această pagină parcurge Articolul 20(2), obligația practică și transpunerea germană, în această ordine.
Articolul 20(2) din Directiva NIS 2 (2022/2555)
Statele membre se asigură că membrii organelor de conducere ale entităților esențiale și importante sunt obligați să urmeze o instruire și impun entităților esențiale și importante să ofere periodic o instruire similară angajaților lor, astfel încât aceștia să dobândească suficiente cunoștințe și competențe care să le permită să identifice riscurile și să evalueze practicile de gestionare a riscurilor de securitate cibernetică și impactul acestora asupra serviciilor furnizate de entitate.
Aceasta este norma-sursă. Numește organul de conducere în mod explicit și leagă conținutul instruirii de identificarea riscurilor, evaluarea riscurilor, practicile de gestionare a securității cibernetice și impactul asupra serviciilor entității. De asemenea, creează obligația de instruire a personalului pentru entitățile esențiale și importante.
Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei
CIR stabilește cerințe tehnice și metodologice pentru măsurile din Articolul 21(2). Nu acoperă Articolul 20.
Spre deosebire de Articolul 21, Articolul 20 nu are un regulament de punere în aplicare. Textul directivei este standardul. Autoritățile naționale și ENISA completează detaliile practice; nu există o secțiune a CIR la care să se facă trimitere.
§38(3) BSIG (Germania)
Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie von Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.
§38 BSIG se află în interiorul legii de punere în aplicare a NIS2 (NIS2UmsuCG) și este în vigoare începând cu 2026. Este ancora operativă germană pentru obligația personală de instruire. §38(1) și (2) BSIG adaugă obligația de aprobare și componenta de răspundere personală. Înregistrarea în temeiul §33 BSIG era scadentă la 6 martie 2026.
Organul de conducere însuși urmează o instruire
Membrii organului de conducere trebuie să fie instruiți. Personal. Directiva folosește pluralul („membri”), deci fiecare administrator, fiecare membru al consiliului cu responsabilitate operativă, intră în domeniul de aplicare. Dovada înscrierii și a finalizării este pragul juridic minim. Platforma stochează ambele.
Entitatea oferă instruire întregului personal
Entitatea trebuie să ofere instruire angajaților săi în mod periodic. „Periodic” nu este definit; anual este norma operativă conform Grundschutz ORP.3. Conștientizare pentru toți, instruire specifică rolului pentru personalul IT. Obligația se aplică întregii forțe de muncă, nu doar echipei tehnice.
Conținutul acoperă riscul plus practicile de gestionare plus impactul asupra serviciilor
Directiva numește patru blocuri de conținut: identificarea riscurilor, evaluarea riscurilor, înțelegerea practicilor de gestionare a securității cibernetice, înțelegerea impactului asupra serviciilor furnizate de entitate. O simulare generică de phishing nu acoperă toate cele patru. Un curs de nivel managerial le acoperă.
Obligație personală a organului de conducere (Articolul 20(1) și 20(2))
Organul de conducere nu poate delega acest lucru către CISO, șeful IT sau responsabilul cu protecția datelor. Articolul 20(1) leagă obligația de aprobare de organul de conducere. Articolul 20(2) leagă obligația de instruire de aceleași persoane. Cele două merg împreună prin concepție. Motivul: dacă aprobați măsurile de gestionare a riscurilor, trebuie să înțelegeți ce semnați.
Proporționalitatea se aplică prin Articolul 21(1)
Articolul 21(1) spune că măsurile de securitate cibernetică trebuie să fie „adecvate riscului prezentat”, ținând seama de dimensiune, expunere, probabilitate, gravitate, stadiul actual al tehnicii și cost. Cerința de instruire se citește prin aceeași lentilă. Un Stadtwerk cu 60 de persoane are nevoie de o instruire serioasă, documentată; nu are nevoie de un program executiv de mai multe săptămâni. Ceea ce directiva nu permite este absența instruirii.
BSI / §38(3) BSIG
Germania copiază formularea directivei aproape textual în §38(3) BSIG. Handreichung al BSI pentru §38 (aprilie 2026) este doar contribuție de cercetare neobligatorie, nu o programă. BSI nu administrează o schemă de acreditare pentru instruirea conform Articolului 20. Dovada înscrierii plus a finalizării este pragul juridic minim.
Ghidul tehnic de punere în aplicare al ENISA
TIG al ENISA acoperă măsurile din Articolul 21. Articolul 20 se află în afara domeniului de aplicare al TIG, deoarece nu există un CIR de pus în aplicare aici. ENISA citează Articolul 20 în materialele sale mai ample privind NIS 2, dar nu a emis criterii formale de instruire.
Legi naționale de transpunere
Fiecare stat membru a transpus Articolul 20(2) (Țările de Jos: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Aceeași obligație, aceleași blocuri de conținut. Canale de raportare diferite și autorități de supraveghere diferite. Niciunul dintre ele nu administrează un organism de acreditare pentru instruirea conform Articolului 20.
Am delegat acest lucru CISO-ului nostru.
Nu puteți. Articolul 20(2) numește în mod explicit „membrii organelor de conducere”. Trimiterea CISO la un curs nu îndeplinește obligația. CISO poate conduce programul, alege furnizorul, construi conținutul. Instruirea cerută de directivă este pentru persoanele care aprobă în temeiul Articolului 20(1).
Am parcurs un modul de conștientizare în materie de securitate, deci organul de conducere este acoperit.
Instruirea de conștientizare a utilizatorilor nu este instruire pentru conducere. Articolul 20(2) enumeră patru blocuri de conținut: identificarea riscurilor, evaluarea riscurilor, înțelegerea practicilor de gestionare a securității cibernetice, înțelegerea impactului asupra serviciilor. „Nu faceți clic pe linkuri de phishing” nu se află pe această listă. Organul de conducere are nevoie de instruire în practicile de gestionare, nu în comportamentul utilizatorilor.
Asigurarea noastră D&O acoperă răspunderea personală, deci instruirea este opțională.
Nu o acoperă. §38(2) BSIG creează răspundere personală pentru încălcarea obligațiilor de conducere prevăzute la §38. Asigurarea este ceva ce adăugați pe deasupra. Nu înlătură obligația de bază, iar instruirea însăși este ceea ce reduce riscul de bază al încălcării. Omiterea instruirii crește răspunderea, nu o reduce.
Nu există un organism de acreditare pentru instruirea conform Articolului 20. Nicio schemă DAkkS, nicio marcă TÜV, nicio certificare Big Four cerută. Articolul 20(2) numește înscrierea și finalizarea. Acesta este pragul juridic minim. Orice dincolo de el este opțional și determinat de risc, nu de lege.
Ce funcționează în Mittelstand-ul german: un curs structurat care acoperă cele patru blocuri de conținut (identificarea riscurilor, evaluarea riscurilor, practicile de gestionare, impactul asupra serviciilor), înscrierea înregistrată nominal pentru fiecare membru al organului de conducere, dovada finalizării stocată cu pista de audit, reîmprospătare la o cadență periodică. Acest lucru rezistă în temeiul Articolului 20(2). De asemenea, se aliniază cu §38(3) BSIG și cu propria încadrare a BSI din Handreichung pentru §38.
Am construit cursul pentru directori exact pentru acest scop. Cursul acoperă cele patru blocuri de conținut pe care le numește Articolul 20(2): identificarea riscurilor, evaluarea riscurilor, practicile de gestionare a securității cibernetice și impactul asupra serviciilor furnizate de entitate. Fiecare lecție este scurtă. Cursul este construit pentru administratori, nu pentru ingineri de securitate.
Platforma înregistrează nominal înscrierea fiecărui membru al organului de conducere, captează dovada finalizării și le stochează pe ambele în pista de audit. Aceeași înregistrare satisface așteptarea de documentare din §38(3) BSIG. Cursul este gratuit, la fel și platforma care îl susține.
- Directiva (UE) 2022/2555 (NIS 2), Articolul 20. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Legea BSI (BSIG), §38 astfel cum a fost modificat prin Legea de punere în aplicare a NIS2 și de consolidare a securității cibernetice (NIS2UmsuCG)
- BSI Handreichung zur Geschäftsleitungsschulung nach §38(3) BSIG, v1.0, 17 aprilie 2026 (neobligatoriu)
- Materialele ENISA privind NIS 2 referitoare la responsabilitățile conducerii. enisa.europa.eu
- IT-Grundschutz ORP.3 (Conștientizare și instruire)