Art. 20 NIS 2 + §38 BSIG

RACI pentru NIS 2 intr-o organizatie de 60 de persoane

In temeiul art. 20 NIS 2 organul de conducere este Responsabil de raspundere pentru masurile de gestionare a riscurilor prin lege. RACI este cel mai ieftin mod de a va asigura ca toata lumea stie ce inseamna asta in practica.

Simon OrzelSimon Orzel·

De ce RACI pentru NIS 2

Cele mai multe echipe de Mittelstand sar peste matricea RACI deoarece suna a teatru de consultanta. In temeiul NIS 2 nu este optionala in esenta. Art. 20 NIS 2 pune Raspunderea pe seama organului de conducere prin nume; matricea este doar cel mai ieftin mod de a face Responsabilul de raspundere, Responsabilul de executie, Consultatul si Informatul lizibili pentru echipa.

O organizatie de 60 de persoane nu isi poate permite un CISO, un DPO, un CCO, un sef juridic si un sef IT ca cinci persoane diferite. O persoana acopera de obicei doua sau trei roluri, iar organul de conducere le acopera pe cele cu raspundere direct personala. RACI documenteaza cum functioneaza acea consolidare fara a incalca directiva.

Matricea conteaza cel mai mult in doua momente: cand un nou manager se alatura si intreaba cine detine ce obligatie NIS 2 si cand BSI solicita dovezi si trebuie sa aratati ca cineva a aprobat.

Unde se afla obligatia
Directiva numeste partea Responsabila de raspundere; transpunerea adauga obligatia de instruire.

Art. 20(1) NIS 2 (responsabilitatea organului de conducere)

Statele membre se asigura ca organele de conducere ale entitatilor esentiale si importante aproba masurile de gestionare a riscurilor de securitate cibernetica luate de aceste entitati in vederea conformarii cu articolul 21, supravegheaza punerea lor in aplicare si pot fi trase la raspundere pentru incalcarea de catre entitati a articolului respectiv.

'A aproba' si 'a supraveghea' sunt activitati de Responsabil de raspundere in termeni RACI. Organul de conducere detine A indiferent daca deleaga R sau nu. Delegarea este permisa, abdicarea nu.

§38 BSIG (instruirea organului de conducere)

Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen haben an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Risikomanagementverfahren im Bereich der Cybersicherheit sowie ihrer Auswirkungen zu erwerben.

Instruirea este obligatia proprie a organului de conducere, nedelegabila. RACI o arata ca Responsabil de executie SI Responsabil de raspundere pe randul organului de conducere.

Cinci roluri de baza pentru 60 de angajati
Setul minim viabil de roluri. Entitatile mai mici consolideaza si mai mult; entitatile mai mari adauga specialisti.

Organul de conducere

CEO, Geschäftsführer, Vorstand. Responsabil de raspundere pentru masurile art. 21 prin lege. Responsabil de executie pentru instruirea art. 20, aprobarea bugetului, acceptarea riscului peste pragul convenit.

Responsabil IT sau CISO

Cele mai multe entitati de Mittelstand de 60 de persoane nu au un CISO; responsabilul IT cumuleaza. Responsabil de executie pentru implementarea tehnica a masurilor, operatiunile zilnice, evaluarea tehnica a furnizorilor.

Responsabil cu protectia datelor (DPO)

Deja existent pentru GDPR. In temeiul NIS 2 detin de obicei partea de notificare a clientilor (art. 23(2) NIS 2) si suprapunerea cu incalcarea de la GDPR art. 33. Adesea cu fractiune de norma sau extern.

Resurse umane

Responsabil de executie pentru instruirea personalului ORP.3, procesele de acces la intrare/transfer/iesire, partea de date personale despre angajati din gestionarea furnizorilor.

Conformitate sau juridic

Adesea externalizat. Responsabil de executie pentru clauzele contractuale cu furnizorii in temeiul art. 21(2)(d), notificarile destinatarilor din art. 23(2), corespondenta de reglementare cu BSI.

Matrice RACI: 10 obligatii NIS 2 × 5 roluri
Cititi fiecare rand: A este Responsabil de raspundere (aici se opreste decizia), R este Responsabil de executie (face munca), C este Consultat, I este Informat.
Matrice RACIOrganul de conducereResponsabil IT sau CISOResponsabil cu protectia datelor (DPO)Resurse umaneConformitate sau juridic
Inregistrarea la BSI in temeiul §33 BSIGARCIC
Politica de securitate a informatiei in temeiul art. 21(2)(a)ARCCC
Gestionarea incidentelor in temeiul art. 21(2)(b)ARCIC
Continuitatea activitatii in temeiul art. 21(2)(c)ARICI
Securitatea lantului de aprovizionare in temeiul art. 21(2)(d)ACCIR
Instruirea organului de conducere in temeiul art. 20(2) + §38 BSIGA si RICCC
Instruirea de constientizare a intregului personal in temeiul art. 21(2)(g)ACCRI
Notificarea incidentelor in temeiul art. 23 + §32 BSIGARCIC
Notificarea destinatarilor in temeiul art. 23(2) NIS 2ACRIC
Actualizarea inregistrarii in temeiul §33(5) BSIG (termen de 2 saptamani)ARICC
Responsabil de raspundere vs Responsabil de executie: cea mai frecventa capcana

RACI esueaza cand echipele trateaza A si R ca fiind acelasi lucru. In temeiul art. 20 NIS 2 organul de conducere detine A prin lege. Nu poate delega A. Poate si trebuie sa delege R, adesea responsabilului IT sau DPO, dar decizia se opreste tot la organul de conducere.

Consecinta practica: cand un audit intreaba 'cine a aprobat aceasta acceptare a riscului?', raspunsul nu poate fi 'responsabilul IT'. Trebuie sa fie un membru al organului de conducere, cu nume, cu data. Responsabilul IT executa; organul de conducere semneaza.

Ce se schimba daca IT-ul vostru este externalizat

Un aranjament cu MSP nu muta A catre MSP. Art. 20 ramane la organul vostru de conducere. Responsabilitatea executiei poate sta la MSP, dar numai in cadrul unui contract care defineste ce fac in temeiul art. 21(2)(d).

Matricea RACI primeste o a sasea coloana: MSP extern. Ei stau ca R pe randurile tehnice, ca Consultat pe randurile de politici. Coloana Responsabil de raspundere nu paraseste niciodata organul vostru de conducere.

Surse
  • Directiva (UE) 2022/2555 (NIS 2), art. 20, art. 21, art. 23, www.eur-lex.europa.eu
  • Legea privind Oficiul Federal pentru Securitatea Informatiei (BSIG), §32, §33, §38, www.gesetze-im-internet.de
  • BSI IT-Grundschutz ORP.3 (constientizare si instruire), www.bsi.bund.de
  • Sabloanele comune de notificare ale Grupului de cooperare (adoptate la 26 mai 2026) privind fluxurile de raportare

Aceasta pagina ofera indrumare structurata pe baza unor surse disponibile public (Directiva NIS 2, BSIG, BSI IT-Grundschutz, sabloane ale Grupului de cooperare). Nu constituie consultanta juridica in sensul §2 RDG. Pentru proiectarea unui RACI specific entitatii voastre, consultati un consilier calificat. La data de 2026-06-04.

Vreti un RACI adaptat numarului vostru de angajati?
Conectati-va si platforma produce un RACI de pornire pe baza sectorului, numarului de angajati si obligatiilor pe care le selectati.