Dbamy o Twoją prywatność. Wykorzystujemy pliki cookie wyłącznie do poprawnego działania strony oraz analizy ruchu, co pozwala nam dostarczać Ci lepsze treści. Nie udostępniamy Twoich danych sieciom reklamowym. Więcej informacji w Polityce prywatności.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Raport

Strategiczny nadzór nad cyberryzykiem

Autor/ka
Renata Davidson
ikona facebook
ikona linkedin

Ekspertka zarządzania ryzykiem i ciągłością działania

Wnioski z raportu dla rad nadzorczych na rok 2026

Rady nadzorcze traktują obecnie ryzyko cybernetyczne na równi z finansowym i operacyjnym. Najnowsze, piąte wydanie raportu „Director’s Handbook on Cyber-Risk Oversight” (2026) od NACD (National Association of Corporate Directors) i ISA (Internet Security Alliance) wyznacza nowy standard nadzoru. Globalne straty gospodarcze wynikające z incydentów zbliżają się do kwoty dziesięciu bilionów dolarów rocznie (wg Cybersecurity Ventures, 2026 Cybersecurity Market Report). Codziennie cyberprzestępcy podejmują ponad sześćset milionów prób ataków. Brak skutecznego planu postępowania z tym ryzykiem może prowadzić do utraty wizerunku, strat finansowych i odpowiedzialności prawnej.

Generatywna sztuczna inteligencja (AI) jest obecnie źródłem największych zmian w środowisku biznesowym. AI wspiera rozwój, ale stanowi też nowy cel ataków. W ostatnich latach liczba cyberincydentów w łańcuchach dostaw wzrosła ponad czterokrotnie. Pojawiła się konieczność podniesienia rangi zarządzania bezpieczeństwem informacji. Jednym z celów Dyrektywy NIS2 Unii Europejskiej jest zmuszenie zarządów do proaktywnego podejścia do zarządzania cyberbezpieczeństwem podległych im podmiotów. Brak spełnienia wymagań może skutkować karami dla firm sięgającymi dziesięciu milionów euro lub dwóch procent globalnego obrotu. To w naturalny sposób wymaga zmian podejścia do nadzoru nad podmiotami.

Raport NACD sugeruje wdrożenie sześciu kluczowych zasad nadzoru, które pozwolą ograniczyć ryzyko niezgodności z wymaganiami NIS2 i z ustawą o KSC.

Sześć zasad skutecznego nadzoru nad ryzykiem cybernetycznym

Wśród sześciu zasad proponowanych przez NACD jako najważniejszą wskazuje się uznanie cyberbezpieczeństwa za ryzyko strategiczne. Aż 76% członków rad nadzorczych uważa AI za kluczowy element strategii na 2026 rok i wspiera działania zarządów w tym zakresie. Należy jednak zadać sobie pytanie, czy decyzje zarządcze uwzględniają nowe rodzaje zagrożeń związanych z AI. Czy oprócz prezentacji potencjalnych korzyści zarząd, a następnie rada nadzorcza, otrzymują rzetelną ocenę ryzyka tego obszaru przed podjęciem wiążącej decyzji?

Kolejnym elementem jest objęcie nadzorem zarządzania cyberbezpieczeństwem. Przepisy ustawy o KSC i rozporządzenia DORA wymagają zarządzania ryzykiem ICT, szybkiego zgłaszania incydentów, komunikacji z klientami narażonymi na konsekwencje incydentu oraz zarządzania ryzykiem w łańcuchu dostaw. Konsekwencje niezgodności mogą być niezwykle dotkliwe dla organizacji we wszystkich aspektach, dlatego nadzor powinien stać się stałym elementem uwagi rady nadzorczej.

Aby te działania były skuteczne, należy zweryfikować strukturę nadzoru, dostosować kompetencje członków rad nadzorczych oraz zapewnić dostęp do ekspertów. Około 45% dyrektorów prywatnych firm uważa poprawę kompetencji w obszarze cyberbezpieczeństwa za kluczową. Komitety audytu powinny uzupełnić swoje kompetencje i na stałe włączyć tę tematykę do planów audytu, a następnie regularnie oceniać poziom ekspozycji na ryzyko w zarządzaniu cyberbezpieczeństwem.

Zarządy podmiotów kluczowych i ważnych oraz operatorów infrastruktury krytycznej i podmiotów krytycznych, odpowiedzialne osobiście za ten obszar, powinny rozważyć obowiązek weryfikacji raportów CISO przez niezależnych ekspertów. Nie należy traktować tego jako brak zaufania do CISO, lecz jako wartość dodaną dla CISO, zarządu i organizacji. Weryfikacja raportu przez niezależnego eksperta pozwala upewnić się, czy ocena jest kompletna i poprawna. Jeśli ekspert wskaże luki, umożliwi to uzupełnienie raportu o plan postępowania. Taki raport może też stanowić dowód dochowania należytej staranności przez zarząd i w konsekwencji przez nadzór, który może stać się źródłem takiego wymagania. W medycynie czy finansach "druga opinia" jest standardem przy decyzjach o wysokim ryzyku. W cyberbezpieczeństwie, gdzie błąd może kosztować miliony lub paraliż infrastruktury krytycznej, ten mechanizm powinien być równie powszechny.

Raportowanie dla Zarządu powinno bazować na wskaźnikach zrozumiałych dla decydentów i nadzoru, np. średnim czasie detekcji (MTTD) oraz finansowym i operacyjnym wpływie poszczególnych zagrożeń. Techniczny język raportów utrudnia ocenę skutków i właściwe dysponowanie zasobami oraz budżetem. Podobny efekt mają także raporty z oceną ryzyka w formie statystycznych wskaźników, bez możliwości weryfikacji faktów lub założeń przyjętych do ich wyznaczenia. Tymczasem od zarządu oczekuje się, by na ich podstawie podejmował decyzje finansowe lub organizacyjne.

Szósta zasada dotyczy systemowej odporności budowanej przez współpracę. Odsetek naruszeń z udziałem stron trzecich wzrósł w ciągu roku dwukrotnie, z 15% do 30%. Skuteczna obrona wymaga uczestnictwa w wymianie informacji między sektorem prywatnym a publicznym i między wszystkimi uczestnikami łańcucha dostaw. Izolacyjne podejście do cyberbezpieczeństwa jest niewystarczające.

Wyzwania operacyjne dla zarządów i rad nadzorczych

Ataki ransomware paraliżujące fizyczne funkcjonowanie firm wymagają od zarządów i rad nadzorczych jasno określonych procedur eskalacji, zwłaszcza w kwestii negocjacji z agresorami. Ryzyko wycieku danych eskaluje szybciej niż aktualizacja procedur zarządczych. Tymczasem AI działa jak paliwo dla cyberzagrożeń. Nieautoryzowane używanie asystentów AI przez pracowników, zwane „shadow AI”, prowadzi do wycieków danych poza kontrolowanymi kanałami. Wyciek danych należy traktować jako zdarzenie niemal pewne i zawczasu przygotować strategię postępowania.

W dłuższej perspektywie zarządy powinny uwzględniać w planach ryzyko związane z rozwojem komputerów kwantowych, które mogą łamać obecne algorytmy kryptograficzne. 90% firm pozostaje nieprzygotowanych na tę zmianę. Strategia „harvesting now, decrypting later”, gromadzenie zaszyfrowanych danych z myślą o późniejszym odszyfrowaniu, jest już stosowana przez zaawansowanych aktorów. W przypadku danych przechowywanych długoterminowo, już dziś warto zaplanować stosowanie akryptografii postkwantowej (PQC), która powinna zapewnić bezpieczeństwo danych przez jakiś czas.

Fuzje i przejęcia to odrębna kategoria ryzyka. Moment integracji systemów często staje się oknem ataku. Warto pamiętać o tym, by koszty dostosowania standardów cybernetycznych były wyceniane w modelu finansowym transakcji przed jej zamknięciem.

Ciągłość działania jako podstawa odporności operacyjnej

Wyzwania te prowadzą do konieczności uznania, że standardy i certyfikaty są tylko punktem wyjścia i stanowią wsparcie w postaci sprawdzonej metodyki. Niemniej rzeczywista odporność operacyjna to osobna kategoria. W projektach z podmiotami kluczowymi i operatorami infrastruktury krytycznej rekomendujemy podejście holistyczne, oparte na ryzyku i mierzalnych wskaźnikach, z zachowaniem pełnej ścieżki audytowej.

Rady nadzorcze, które włączą nadzór nad cyberryzykiem do swoich stałych procesów decyzyjnych, budują organizacje zdolne do bezpiecznego wzrostu i tworzą trwałą wartość dla interesariuszy.

FAQ

Czy posiadanie certyfikatu ISO 27001 gwarantuje pełne bezpieczeństwo organizacji?

Certyfikat potwierdza wdrożenie systemu zarządzania (czyli uporządkowanego sposobu działania firmy według określonych zasad), a normy ISO (międzynarodowe standardy organizacji) pozwalają na akceptację części ryzyka. Kluczowa jest prawdziwa implementacja i weryfikacja środków kontroli (metod monitorowania i zabezpieczenia procesów). Dokument potwierdza istnienie procesu, ale odporność operacyjną buduje się przez faktyczną realizację przewidzianych w nim działań.

Czym jest kwantowy „Q-Day” i dlaczego zarządy powinny się nim interesować już teraz?

To moment, gdy komputery kwantowe złamią powszechne algorytmy kryptograficzne. Firmy muszą brać pod uwagę strategię „harvesting now, decrypting later” i przygotować się na zabezpieczenie danych, które wymagają długotrwałego przechowywania.

Jaką rolę w cyberbezpieczeństwie odgrywa łańcuch dostaw (czyli sieć partnerów i dostawców usług/produktów zewnętrznych)?

Partnerzy biznesowi o mniejszej skali mogą być punktem wejścia agresorów do dużej organizacji. Zarządzanie ryzykiem musi obejmować cały ekosystem partnerów. To pozwala uniknąć kaskadowych skutków incydentów.

Dlaczego raportowanie techniczne dla rady nadzorczej jest często nieskuteczne?

Nadmiar żargonu utrudnia ocenę skutków ryzyka. Skuteczne raportowanie opiera się na danych finansowych i operacyjnych, takich jak MTTD (Mean Time to Detect) czy potencjalny finansowy wpływ zagrożenia.

Jak NIS2 wpływa na odpowiedzialność członków zarządu?

Dyrektywa formalizuje obowiązki zarządów w zakresie cyberbezpieczeństwa. Brak odpowiednich działań oznacza dotkliwe kary finansowe dla firmy oraz bezpośrednią odpowiedzialność osób kierujących podmiotem.

Źródła:

Najnowsze artykuły:

Za 6 tygodni skończy się Europie paliwo lotnicze
10 zagrożeń dla administracji państwowej w roku 2026
Dlaczego warto oglądać analizy ryzyka
Wojna z Iranem – konsekwencje dla firm
10 największych zagrożeń dla przemysłu w 2026 roku

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Za 6 tygodni skończy się Europie paliwo lotnicze

Dla wielu hubów zapasy spadły już poniżej dziesięciu dni.
Czytaj dalej
Artykuł

Za 6 tygodni skończy się Europie paliwo lotnicze

Bezpieczeństwo łańcucha dostaw
Geopolityka a biznes
Ochrona ludności
Zarządzanie kryzysowe
zarządzanieryzykiem, BCM, bezpieczeństwo energetyczne, geopolityka, ciągłośćdziałania
Transport i logistyka

10 zagrożeń dla administracji państwowej w roku 2026

Przedstawiamy dziesięć kluczowych obszarów ryzyka, które w 2026 roku wymagają szczególnej uwagi w kontekście zarządzania operacyjnego, cyberbezpieczeństwa i odporności organizacyjnej dla administracji państwowej.
Czytaj dalej
Video artykuł

10 zagrożeń dla administracji państwowej w roku 2026

Ciągłość działania
Cyberbezpieczeństwo
Incydenty
Administracja publiczna

Dlaczego warto oglądać analizy ryzyka

Celem pozostaje dostarczenie czytelnej mapy ryzyk, którą można wykorzystać w praktyce.
Czytaj dalej
Video artykuł

Dlaczego warto oglądać analizy ryzyka

Ciągłość działania
Bezpieczeństwo łańcucha dostaw
Geopolityka a biznes
Podmioty ważne i kluczowe
Firmy w Polsce
Przemysł
Usługi ICT
Ochrona zdrowia

Wojna z Iranem – konsekwencje dla firm

Wzrost cen paliw i energii jest tylko jednym z wymiarów tego konfliktu.
Czytaj dalej
Raport

Wojna z Iranem – konsekwencje dla firm

Bezpieczeństwo łańcucha dostaw
Geopolityka a biznes
ryzyko, wojna, Iran
Podmioty ważne i kluczowe
Administracja publiczna
Energetyka
Wodociągi
Usługi ICT
Przejdź do wszystkich wpisów