Zakres odpowiedzialności
Jedną z istotnych zmian wprowadzonych przez NIS2 jest nałożenie na organy zarządzające podmiotów obowiązku zatwierdzania środków zarządzania ryzykiem oraz nadzorowania ich wdrożenia. Odpowiedzialność ta ma charakter bezpośredni i nie może zostać w pełni scedowana na personel techniczny.
Obowiązek szkoleń
Członkowie organów zarządzających zobowiązani są do regularnego udziału w szkoleniach z zakresu cyberbezpieczeństwa, umożliwiających im rozumienie i ocenę ryzyka związanego z bezpieczeństwem informacji w kontekście prowadzonej działalności.
Konsekwencje niedopełnienia obowiązków
Państwa członkowskie mogą przewidzieć środki nadzorcze wobec osób fizycznych pełniących funkcje zarządcze w przypadku rażącego zaniedbania obowiązków związanych z nadzorem nad cyberbezpieczeństwem, w tym czasowe zawieszenie w pełnieniu funkcji kierowniczych.