Bezpieczeństwo informacji powinno być stałym punktem agendy zarządu. Nie dlatego że regulacje tego wymagają — dlatego że to ma sens biznesowy. Ten przewodnik wyjaśnia: dlaczego zarząd odpowiada za bezpieczeństwo, o czym konkretnie rozmawiać, jak często i jakie decyzje podejmować.
Dlaczego bezpieczeństwo informacji to temat dla zarządu
Zarząd odpowiada za cyberbezpieczeństwo, ponieważ NIS2 i DORA wprowadzają osobistą odpowiedzialność członków zarządu. Kary sięgają 10 mln EUR (43 mln zł) lub 2% globalnego obrotu. To nie jest już kwestia techniczna — to ryzyko biznesowe na poziomie zarządu.
Cyberbezpieczeństwo przestało być kwestią techniczną w momencie, gdy regulatorzy wprowadzili osobistą odpowiedzialność zarządów. NIS2 w Europie, DORA dla sektora finansowego — wszystkie te regulacje mówią to samo: zarząd nie może delegować odpowiedzialności za bezpieczeństwo do działu IT.
To zmiana zasad gry. Jeszcze dekadę temu zarządy traktowały cyberbezpieczeństwo jako problem techniczny, który rozwiązuje się zakupem odpowiedniego oprogramowania. Dziś wiemy, że to podejście nie działa. Naruszenia bezpieczeństwa w polskich firmach — Morele.net (wyciek danych 2,2 mln klientów, kara UODO 3,8 mln zł), ALAB Laboratoria (dane medyczne 200 tys. pacjentów), CD PROJEKT RED (atak ransomware, żądanie okupu 28 mln zł) — pokazały, że nawet organizacje spełniające wymogi regulacyjne mogą paść ofiarą ataków, a konsekwencje ponoszą członkowie zarządu.
Trzy czynniki sprawiają, że bezpieczeństwo musi znajdować się na agendzie zarządu.
Po pierwsze, presja regulacyjna jest realna. Dyrektywy NIS2 i DORA wprowadzają kary do 10 milionów euro (około 43 mln zł) lub 2% globalnego obrotu. Ale kary finansowe to nie wszystko — regulatorzy pytają już nie tylko „czy doszło do naruszenia", ale „co zrobiliście, żeby temu zapobiec" i „jak udowodnicie, że podjęliście właściwe kroki". Według danych UODO, urząd w samym 2024 roku nałożył kary o łącznej wartości niemal 14 mln zł — dziesięciokrotnie więcej niż w poprzednich latach. Rekordowa kara dla Poczty Polskiej (27 mln zł w marcu 2025) pokazuje nowy standard egzekwowania przepisów.
Po drugie, cyberbezpieczeństwo to ryzyko biznesowe. Według badań Gartner, 88% zarządów kategoryzuje cyberbezpieczeństwo jako ryzyko biznesowe, nie techniczne. To oznacza, że zarząd nie chce słyszeć o podatnościach i poprawkach — chce wiedzieć, jak bezpieczeństwo wpływa na ciągłość działania, zaufanie klientów i pozycję konkurencyjną.
Po trzecie, odpowiedzialność to przewaga. Organizacje, które traktują bezpieczeństwo strategicznie, budują przewagę konkurencyjną. Certyfikaty ISO 27001, TISAX czy ISO/SAE 21434 otwierają drzwi do kontraktów z globalnymi partnerami. Dojrzały program bezpieczeństwa obniża składki ubezpieczeniowe. A w przypadku incydentu — udokumentowana należyta staranność chroni zarząd przed konsekwencjami prawnymi.
Warto pamiętać o kontekście. Według CERT Polska, Polska znalazła się na 7. miejscu na świecie pod względem liczby ataków ransomware w drugiej połowie 2024 roku, ze wzrostem o 37% rok do roku. Sektor ochrony zdrowia doświadczył 1028 cyberataków w 2024 roku — wzrost 2,5-krotny względem roku poprzedniego. Ataki na American Heart of Poland (kara UODO 1,44 mln zł), Centrum Zdrowia Matki Polki czy Lotnicze Pogotowie Ratunkowe (żądanie okupu 1,5 mln zł) pokazują, że żadna branża nie jest bezpieczna.
Czego właściwie powinien oczekiwać zarząd od CISO
Zarząd powinien oczekiwać od CISO jasnych informacji w pięciu obszarach: zdolność reagowania na incydenty, adekwatność budżetu do ryzyka, ubezpieczenie cyber liability, rozliczalność organizacyjna oraz kompetencje do oceny kontroli bezpieczeństwa.
Skuteczna komunikacja między zarządem a liderem bezpieczeństwa wymaga jasności co do wzajemnych oczekiwań. Zarząd nie musi rozumieć technologii — musi rozumieć ryzyko i mieć pewność, że organizacja ma metodę jego adresowania.
Pięć obszarów wymaga regularnej uwagi zarządu.
Zdolność reagowania na incydenty
Zarząd powinien mieć pewność, że organizacja jest przygotowana na incydent bezpieczeństwa i rozumie swoją rolę w odpowiedzi. To obejmuje znajomość planu reagowania, ścieżek eskalacji i odpowiedzialności poszczególnych osób. Matryca RACI określająca kto jest odpowiedzialny, kto zatwierdza, kto jest konsultowany i kto informowany — powinna być znana zarządowi przed incydentem, nie w jego trakcie. Plan reagowania to nie dokument do szuflady — powinien być regularnie testowany w formie ćwiczeń tabletop. NIS2 wymaga zgłoszenia poważnego incydentu w ciągu 24 godzin od wykrycia.
Przegląd i zatwierdzanie budżetów
Zarząd ma istotną rolę w ocenie, czy budżet na bezpieczeństwo jest adekwatny do ryzyka organizacji. Według badań CISO Budget Benchmark 2026, 85% organizacji zwiększa wydatki na cyberbezpieczeństwo. W Polsce średnie wydatki na bezpieczeństwo w średnich i dużych przedsiębiorstwach wynoszą od 500 tys. do 5 mln zł rocznie, w zależności od branży i skali działalności. W sektorze finansowym i ochrony zdrowia budżety są wyższe — od 2 do 15 mln zł. Jednocześnie 56% profesjonalistów bezpieczeństwa uważa obecne budżety za niewystarczające. Zarząd musi współpracować z CISO i kadrą zarządzającą, żeby powiązać budżet bezpieczeństwa z ogólnym apetytem na ryzyko organizacji.
Adekwatność ubezpieczenia
Ubezpieczenie cyber liability to istotne narzędzie transferu ryzyka. Zarząd powinien mieć pewność, że polisa pokrywa koszty związane z naruszeniem — od kar i powiadomień, przez obsługę prawną, po odtworzenie systemów i utratę przychodów. Roczne składki ubezpieczenia cyber w Polsce wahają się od 20 tys. zł dla małych firm do 500 tys. zł i więcej dla dużych przedsiębiorstw. Rynek ubezpieczeń cybernetycznych zmienił się znacząco przez ostatnie lata — składki wzrosły, a ubezpieczyciele zaostrzyli wymagania.
Rozliczalność organizacyjna
Zarząd powinien wiedzieć, kto jest ostatecznie odpowiedzialny za cyberbezpieczeństwo w organizacji i mieć do tej osoby bezpośredni dostęp. W idealnym modelu CISO raportuje bezpośrednio do zarządu lub CEO. To nie CISO definiuje tolerancję ryzyka organizacji — to zadanie zarządu. CISO waliduje, czy obecny program bezpieczeństwa może spełnić zaakceptowane cele ryzyka.
Ocena kontroli i ujawnień
Wytyczne regulatorów jasno wskazują, że zarządy muszą rozwijać kompetencje cybernetyczne, aby móc sprawować skuteczny nadzór. To analogia do sytuacji po skandalach finansowych — ustawa Sarbanes-Oxley podkreśliła rolę zarządu w nadzorze nad kontrolami finansowymi. Dziś widzimy podobny nacisk na rozwijanie kompetencji technologicznych i cybernetycznych w zarządach.
O czym konkretnie rozmawiać na posiedzeniach zarządu
Tematy na agendę dzielą się na trzy kategorie: strategiczne (polityka, apetyt na ryzyko, budżet — rocznie), operacyjne (stan bezpieczeństwa, incydenty, zagrożenia — kwartalnie) i incydentalne (audyty, fuzje, poważne zdarzenia — ad hoc).
Skuteczne raportowanie o cyberbezpieczeństwie wymaga zmiany perspektywy. Zarząd nie interesuje ile podatności zostało załatanych w ostatnim kwartale — interesuje go, czy organizacja jest bezpieczniejsza niż przed kwartałem i jak wypada na tle innych firm w branży.
Tematy na agendę można podzielić na trzy kategorie: strategiczne, operacyjne i incydentalne.
Tematy strategiczne wymagają decyzji o kierunku i zasobach. Obejmują zatwierdzenie polityki bezpieczeństwa i jej roczny przegląd, ustalenie apetytu na ryzyko organizacji, przegląd strategii cyberbezpieczeństwa w kontekście celów biznesowych, decyzje o inwestycjach w bezpieczeństwo oraz ocenę dojrzałości programu względem uznanych ram takich jak NIST Cybersecurity Framework czy ISO 27001.
Tematy operacyjne dotyczą bieżącego funkcjonowania programu bezpieczeństwa. To regularne raporty o stanie bezpieczeństwa, przegląd kluczowych wskaźników ryzyka, aktualizacje o zagrożeniach w branży, status projektów bezpieczeństwa i wyniki testów penetracyjnych oraz audytów.
Tematy incydentalne pojawiają się w reakcji na zdarzenia. Obejmują raporty o incydentach bezpieczeństwa, wnioski z ćwiczeń i symulacji, zmiany w otoczeniu regulacyjnym oraz ryzyka związane z fuzjami, przejęciami i nowymi inicjatywami biznesowymi.
Kluczowe jest przełożenie technicznych wskaźników na język biznesowy. Zamiast mówić o liczbie zablokowanych ataków, warto pokazać jak bezpieczeństwo wspiera wzrost firmy, chroni zaufanie klientów i minimalizuje potencjalne zakłócenia. Mniej o CVE, więcej o wynikach.
Praktyczna wskazówka: zarządy lubią porównania i benchmarki. CISO powinien pokazać, jak organizacja wypada względem uznanych ram i standardów — NIST Cybersecurity Framework, ISO 27001 czy innych właściwych dla branży. CISO powinien też pomagać zarządowi w porównywaniu wydatków na bezpieczeństwo względem branży i innych zmiennych ryzyka, włącznie z potencjalnym kosztem incydentu.
Jak często bezpieczeństwo powinno pojawiać się na agendzie
Strategia i polityka bezpieczeństwa — rocznie. Raport o stanie bezpieczeństwa — kwartalnie. Poważne incydenty — natychmiast (NIS2 wymaga zgłoszenia w 24h). W branżach regulowanych uzasadnione jest częstsze raportowanie, nawet miesięczne.
Częstotliwość zależy od charakteru tematu i dojrzałości organizacji. Poniższa tabela przedstawia rekomendowany rytm dla różnych typów zagadnień.
Dla organizacji w branżach regulowanych lub z wysoką ekspozycją na ryzyko cyber — finansowych, ochrony zdrowia, infrastruktury krytycznej — uzasadnione jest częstsze raportowanie, nawet miesięczne.
Dowiedz się wiecej o bezpieczeństwie w Twojej organizacji
Bezpieczeństwo na agendzie zarządu to nie jednorazowy projekt — to zmiana sposobu myślenia. Metodyczne podejście zamienia bezpieczeństwo z kosztu w przewagę.
Jakich błędów unikać w komunikacji z zarządem
Pięć głównych błędów: zbyt wiele szczegółów technicznych, brak kontekstu biznesowego, reaktywność zamiast proaktywności, brak benchmarków branżowych, metryki bez narracji. Rozmowy o budżecie powinny odbywać się przed posiedzeniem zarządu, nie na nim.
Najczęstsze błędy w raportowaniu o cyberbezpieczeństwie wynikają z niezrozumienia perspektywy zarządu.
Zbyt wiele szczegółów technicznych. Zarząd nie potrzebuje wiedzieć, które konkretnie podatności zostały załatane. Potrzebuje wiedzieć, czy krytyczne systemy są chronione i jakie jest rezydualne ryzyko. Żargon techniczny buduje barierę zamiast zaufania.
Brak kontekstu biznesowego. Dane o bezpieczeństwie bez odniesienia do celów biznesowych są bezużyteczne. „Zredukowaliśmy powierzchnię ataku o 30%" nic nie znaczy, jeśli zarząd nie wie, jak to przekłada się na ochronę przychodów czy ciągłość dostaw.
Reaktywność zamiast proaktywności. Jeśli CISO przychodzi do zarządu tylko z problemami i prośbami o budżet — przegrał. Skuteczna komunikacja pokazuje strategię, postęp i decyzje do podjęcia, nie tylko pożary do ugaszenia.
Brak porównań i benchmarków. Zarząd lubi porównywać. Jak wypadamy względem innych firm w branży? Jak nasz program ma się do uznanych standardów? Te porównania dają kontekst i budują zrozumienie.
Metryki zamiast narracji. Same liczby nie opowiadają historii. Skuteczny raport do zarządu łączy dane z narracją — co się wydarzyło, dlaczego to ważne, co robimy i jakich decyzji potrzebujemy.
Jedna z najważniejszych lekcji: rozmowy o budżecie powinny odbywać się przed posiedzeniem zarządu, nie na nim. Jeśli przychodzisz na spotkanie z prośbą o budżet bez wcześniejszego przygotowania gruntu — już przegrałeś. Skuteczni CISO budują relacje z członkami zarządu poza formalnymi posiedzeniami, pomagając im zrozumieć kontekst i ryzyka.
Jak mierzyć skuteczność programu bezpieczeństwa
Cztery kategorie wskaźników: ekspozycja (podatność na ataki), odporność (zdolność przetrwania incydentu), zgodność (spełnienie wymogów regulacyjnych) i dojrzałość (postęp względem ram NIST/ISO). Kluczowe jest pokazywanie trendów, nie tylko punktowych pomiarów.
Zarząd potrzebuje wskaźników, które pokazują rzeczywisty postęp w redukcji ryzyka, nie tylko aktywność zespołu bezpieczeństwa. Podejście oparte na wynikach (Outcome-Driven Metrics) koncentruje się na tym, co naprawdę ma znaczenie.
Wskaźniki ekspozycji mierzą podatność organizacji na ataki. To może być procent systemów z aktualnymi poprawkami krytycznymi, liczba publicznie dostępnych usług z lukami bezpieczeństwa czy średni czas od wykrycia podatności do jej naprawy.
Wskaźniki odporności pokazują zdolność organizacji do przetrwania incydentu. Obejmują czas odtworzenia krytycznych systemów po awarii, procent pracowników przeszkolonych z rozpoznawania phishingu czy wyniki testów penetracyjnych i ćwiczeń tabletop.
Wskaźniki zgodności dokumentują spełnienie wymogów regulacyjnych i umownych. To status certyfikacji, wyniki audytów zewnętrznych i wewnętrznych oraz realizacja planu naprawczego.
Wskaźniki dojrzałości mierzą rozwój programu w czasie. Popularne ramy jak NIST Cybersecurity Framework pozwalają ocenić dojrzałość w pięciostopniowej skali — od „częściowej" do „adaptacyjnej" — dla każdego obszaru kontroli.
Kluczowe jest pokazywanie trendów, nie tylko punktowych pomiarów. Czy jesteśmy bezpieczniejsi niż kwartał temu? W których obszarach poprawiliśmy się, a gdzie pojawiły się nowe ryzyka?
Podejście oparte na Protection Level Agreements (PLA) idzie o krok dalej. Podobnie jak SLA definiują poziom usługi, PLA definiują oczekiwany poziom ochrony dla krytycznych aktywów. Na przykład: „krytyczne systemy finansowe będą aktualizowane w ciągu 48 godzin od publikacji poprawki bezpieczeństwa" lub „średni czas wykrycia incydentu nie przekroczy 4 godzin". Takie podejście daje zarządowi jasne, mierzalne cele do monitorowania.
Kto powinien uczestniczyć w dyskusji o bezpieczeństwie
Kluczowi uczestnicy: CISO (prezentacja stanu i rekomendacji), CEO (ton bezpieczeństwa), CFO (perspektywa finansowa), radca prawny (konsekwencje regulacyjne), CIO/CTO (kontekst techniczny). CISO powinien raportować poza tradycyjnym IT — do CEO lub zarządu.
Bezpieczeństwo informacji to temat przekrojowy, który dotyka wielu funkcji w organizacji. Skład uczestników dyskusji zależy od tematu, ale pewne role są kluczowe.
CISO lub osoba odpowiedzialna za bezpieczeństwo prezentuje stan programu, ryzyka i rekomendacje. Powinna mieć bezpośredni dostęp do zarządu, nie tylko przez CIO czy CFO.
CEO odpowiada za ton bezpieczeństwa w organizacji i alokację zasobów. Jego zaangażowanie sygnalizuje reszcie firmy, że bezpieczeństwo ma priorytet.
CFO wnosi perspektywę finansową — adekwatność budżetu, ubezpieczenia, potencjalny wpływ incydentu na wyniki.
Radca prawny pomaga zrozumieć konsekwencje regulacyjne, wymagania ujawnieniowe i potencjalną odpowiedzialność.
CIO/CTO dostarcza kontekst techniczny i operacyjny, szczególnie gdy dyskusja dotyczy inwestycji w infrastrukturę.
W dojrzałych organizacjach powstają dedykowane komitety bezpieczeństwa na poziomie zarządu — rozszerzone komitety audytu lub osobne komitety ryzyka, których zakres obejmuje cyberbezpieczeństwo.
Struktura raportowania CISO ma krytyczne znaczenie dla skuteczności całego programu bezpieczeństwa. Organizacje, które traktują cyberbezpieczeństwo i zarządzanie ryzykiem szeroko, prawdopodobnie umieszczą CISO poza tradycyjnym IT — raportującego do CEO lub CFO. To pozwala uniknąć sytuacji, w której CISO musi oceniać pracę swojego przełożonego i konkurować o kawałek budżetu technologicznego.
Jak przygotować się do pierwszej rozmowy z zarządem o bezpieczeństwie
Cztery kroki przygotowania: zrozum priorytety zarządu i pokaż związek z bezpieczeństwem, przygotuj punkt odniesienia względem standardów (ISO 27001, NIST), zaproponuj rytm i format raportowania, zdefiniuj konkretne decyzje do podjęcia.
Jeśli bezpieczeństwo nie było dotąd regularnym tematem na agendzie zarządu, warto zacząć od przygotowania gruntu.
Zrozum, co spędza sen z powiek członkom zarządu. Każdy zarząd jest inny — jedni koncentrują się na ryzyku finansowym, inni na ciągłości operacyjnej, jeszcze inni na reputacji. Zanim zaczniesz mówić o bezpieczeństwie, dowiedz się, co jest najważniejsze dla twojego zarządu i pokaż, jak bezpieczeństwo łączy się z tymi priorytetami.
Przygotuj punkt odniesienia. Gdzie jesteśmy dziś? Jaki jest stan naszego programu względem uznanych standardów? Jakie są największe luki? Jakie ryzyka akceptujemy świadomie, a jakie nieświadomie? Te informacje są punktem wyjścia do dyskusji.
Zaproponuj rytm i format. Ile czasu potrzeba na regularne raportowanie? Jaki format preferuje zarząd — prezentacja, notatka, dashboard? Jak często powinny odbywać się spotkania?
Zdefiniuj decyzje do podjęcia. Zarząd oczekuje jasności co do tego, czego od niego potrzebujesz. Czy prosisz o zatwierdzenie strategii? Alokację budżetu? Akceptację poziomu ryzyka? Konkretne pytania prowadzą do konkretnych decyzji.
Seria „Rozmowa którą warto odbyć" porusza tematy, które rzadko pojawiają się w codziennej pracy, a mają fundamentalne znaczenie dla bezpieczeństwa organizacji. Każdy artykuł to zaproszenie do refleksji i działania.
Bądźmy w kontakcie
Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.
