Zarząd jest zobowiązany do regularnego odbywania
szkoleń z cyberbezpieczeństwa.
Wraz z
Dyrektywą NIS2 ciężar odpowiedzialności za cyberbezpieczeństwo w większym zakresie spoczywa na barkach Zarządu.
Zarząd powinien współtworzyć strategię cyberbezpieczeństwa, która z kolei powinna się wpisywać w firmową strategię zarządzania ryzykiem.
Realizacja tych założeń wymaga identyfikacji struktur i zasobów odpowiedzialnych za cyberbezpieczeństwo.
Model decyzyjny w zakresie cyberbezpieczeństwa powinien uwzględniać swobodę podejmowania decyzji operacyjnych i taktycznych na szczeblu zespołu odpowiedzialnego za cyberbezpieczeństwo przy jednocześnie konieczności eskalowania decyzji strategicznych na poziom Zarządu.
Współpraca na linii Zarząd - Zespół odpowiedzialny za cyberbezpieczeństwo powinna uwzględniać raportowanie przez Zespoł Cyberbezpieczeństwa do Zarządu informacji o poważnych incydentach, pojemności/dostosowaniu zespołu do wyzwań, planach doskonalenia. Zarząd powinien zatwierdzać/modyfikować/odrzucać plany, przydzielać środki niezbędne do ich realizacji w zależności od apetytu organizacji na ryzyko w zakresie cyberbezpieczeństwa.
W interesie Zarządu jest wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji, np.: na gruncie normy ISO 27001, który umożliwia m.in. zapewnienie poufności, integralności, dostępności i autentyczności informacji.
Należy wziąć pod uwagę fakt, że zgodnie
Dyrektywą NIS2 Członkowie Zarządu mogą zostać pociągnięci do osobistej odpowiedzialności w określonych sytuacjach, w związku z nierealizowaniem postanowień
NIS2.
Warto zauważyć, że od jakości realizacji powyższych postulatów zależy m.in. reputacja firmy, jej ciągłość działania, odporność na ataki hackerskie.