RACI pentru NIS 2 intr-o organizatie de 60 de persoane
In temeiul art. 20 NIS 2 organul de conducere este Responsabil de raspundere pentru masurile de gestionare a riscurilor prin lege. RACI este cel mai ieftin mod de a va asigura ca toata lumea stie ce inseamna asta in practica.
De ce RACI pentru NIS 2
Cele mai multe echipe de Mittelstand sar peste matricea RACI deoarece suna a teatru de consultanta. In temeiul NIS 2 nu este optionala in esenta. Art. 20 NIS 2 pune Raspunderea pe seama organului de conducere prin nume; matricea este doar cel mai ieftin mod de a face Responsabilul de raspundere, Responsabilul de executie, Consultatul si Informatul lizibili pentru echipa.
O organizatie de 60 de persoane nu isi poate permite un CISO, un DPO, un CCO, un sef juridic si un sef IT ca cinci persoane diferite. O persoana acopera de obicei doua sau trei roluri, iar organul de conducere le acopera pe cele cu raspundere direct personala. RACI documenteaza cum functioneaza acea consolidare fara a incalca directiva.
Matricea conteaza cel mai mult in doua momente: cand un nou manager se alatura si intreaba cine detine ce obligatie NIS 2 si cand BSI solicita dovezi si trebuie sa aratati ca cineva a aprobat.
Art. 20(1) NIS 2 (responsabilitatea organului de conducere)
Statele membre se asigura ca organele de conducere ale entitatilor esentiale si importante aproba masurile de gestionare a riscurilor de securitate cibernetica luate de aceste entitati in vederea conformarii cu articolul 21, supravegheaza punerea lor in aplicare si pot fi trase la raspundere pentru incalcarea de catre entitati a articolului respectiv.
'A aproba' si 'a supraveghea' sunt activitati de Responsabil de raspundere in termeni RACI. Organul de conducere detine A indiferent daca deleaga R sau nu. Delegarea este permisa, abdicarea nu.
§38 BSIG (instruirea organului de conducere)
Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen haben an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Risikomanagementverfahren im Bereich der Cybersicherheit sowie ihrer Auswirkungen zu erwerben.
Instruirea este obligatia proprie a organului de conducere, nedelegabila. RACI o arata ca Responsabil de executie SI Responsabil de raspundere pe randul organului de conducere.
Organul de conducere
CEO, Geschäftsführer, Vorstand. Responsabil de raspundere pentru masurile art. 21 prin lege. Responsabil de executie pentru instruirea art. 20, aprobarea bugetului, acceptarea riscului peste pragul convenit.
Responsabil IT sau CISO
Cele mai multe entitati de Mittelstand de 60 de persoane nu au un CISO; responsabilul IT cumuleaza. Responsabil de executie pentru implementarea tehnica a masurilor, operatiunile zilnice, evaluarea tehnica a furnizorilor.
Responsabil cu protectia datelor (DPO)
Deja existent pentru GDPR. In temeiul NIS 2 detin de obicei partea de notificare a clientilor (art. 23(2) NIS 2) si suprapunerea cu incalcarea de la GDPR art. 33. Adesea cu fractiune de norma sau extern.
Resurse umane
Responsabil de executie pentru instruirea personalului ORP.3, procesele de acces la intrare/transfer/iesire, partea de date personale despre angajati din gestionarea furnizorilor.
Conformitate sau juridic
Adesea externalizat. Responsabil de executie pentru clauzele contractuale cu furnizorii in temeiul art. 21(2)(d), notificarile destinatarilor din art. 23(2), corespondenta de reglementare cu BSI.
| Matrice RACI | Organul de conducere | Responsabil IT sau CISO | Responsabil cu protectia datelor (DPO) | Resurse umane | Conformitate sau juridic |
|---|---|---|---|---|---|
| Inregistrarea la BSI in temeiul §33 BSIG | A | R | C | I | C |
| Politica de securitate a informatiei in temeiul art. 21(2)(a) | A | R | C | C | C |
| Gestionarea incidentelor in temeiul art. 21(2)(b) | A | R | C | I | C |
| Continuitatea activitatii in temeiul art. 21(2)(c) | A | R | I | C | I |
| Securitatea lantului de aprovizionare in temeiul art. 21(2)(d) | A | C | C | I | R |
| Instruirea organului de conducere in temeiul art. 20(2) + §38 BSIG | A si R | I | C | C | C |
| Instruirea de constientizare a intregului personal in temeiul art. 21(2)(g) | A | C | C | R | I |
| Notificarea incidentelor in temeiul art. 23 + §32 BSIG | A | R | C | I | C |
| Notificarea destinatarilor in temeiul art. 23(2) NIS 2 | A | C | R | I | C |
| Actualizarea inregistrarii in temeiul §33(5) BSIG (termen de 2 saptamani) | A | R | I | C | C |
RACI esueaza cand echipele trateaza A si R ca fiind acelasi lucru. In temeiul art. 20 NIS 2 organul de conducere detine A prin lege. Nu poate delega A. Poate si trebuie sa delege R, adesea responsabilului IT sau DPO, dar decizia se opreste tot la organul de conducere.
Consecinta practica: cand un audit intreaba 'cine a aprobat aceasta acceptare a riscului?', raspunsul nu poate fi 'responsabilul IT'. Trebuie sa fie un membru al organului de conducere, cu nume, cu data. Responsabilul IT executa; organul de conducere semneaza.
Un aranjament cu MSP nu muta A catre MSP. Art. 20 ramane la organul vostru de conducere. Responsabilitatea executiei poate sta la MSP, dar numai in cadrul unui contract care defineste ce fac in temeiul art. 21(2)(d).
Matricea RACI primeste o a sasea coloana: MSP extern. Ei stau ca R pe randurile tehnice, ca Consultat pe randurile de politici. Coloana Responsabil de raspundere nu paraseste niciodata organul vostru de conducere.
- Directiva (UE) 2022/2555 (NIS 2), art. 20, art. 21, art. 23, www.eur-lex.europa.eu
- Legea privind Oficiul Federal pentru Securitatea Informatiei (BSIG), §32, §33, §38, www.gesetze-im-internet.de
- BSI IT-Grundschutz ORP.3 (constientizare si instruire), www.bsi.bund.de
- Sabloanele comune de notificare ale Grupului de cooperare (adoptate la 26 mai 2026) privind fluxurile de raportare
Aceasta pagina ofera indrumare structurata pe baza unor surse disponibile public (Directiva NIS 2, BSIG, BSI IT-Grundschutz, sabloane ale Grupului de cooperare). Nu constituie consultanta juridica in sensul §2 RDG. Pentru proiectarea unui RACI specific entitatii voastre, consultati un consilier calificat. La data de 2026-06-04.