Mandated resilience: obowiązki zarządu pod NIS2 i DORA

Dyrektorzy spółek publicznych oceniają poziom ryzyka swoich organizacji na 6,8 w skali do 10. Czerwcowa publikacja Financier Worldwide dowodzi, że odporność operacyjna przestała być wyborem strategicznym — stała się wymogiem regulacyjnym egzekwowanym z mocy prawa.

Mandated resilience to dziś wymóg, nie wybór

ISO 37301 — Compliance Management System — to operacyjny szkielet integrujący wymogi NIS2, DORA i AI Act w jednym, audytowalnym frameworku certyfikacyjnym. Centrum Certyfikacji QSCert prowadzi certyfikację CMS dla organizacji integrujących wielowymiarową zgodność regulacyjną.
Poznaj certyfikację ISO 37301

Wprowadzenie do "Mandatory resilience"

W czerwcowym wydaniu Financier Worldwide Richard Summerfield diagnozuje stan dojrzałości europejskich i amerykańskich zarządów wobec narastającej, wielowymiarowej presji ryzyka. Artykuł argumentuje, że ostatnia dekada — zdominowana przez geopolityczne realokacje, postęp sztucznej inteligencji, konflikty zbrojne, kruchość łańcuchów dostaw, ekstremalne zjawiska klimatyczne i globalną pandemię — utrwaliła niepewność jako stałą cechę środowiska biznesowego. Publikacja podkreśla, że zarządy stoją dziś w obliczu agendy ryzyka, której tradycyjne, silosowe podejście do zarządzania nim po prostu nie obsłuży. Dla audytorów wiodących, CISO i menedżerów systemów zarządzania diagnoza ta ma konkretną wartość operacyjną — wyznacza ramy, w których ich praca przestaje być dobrą praktyką, a staje się wymogiem zgodności. Cytowana w artykule fraza autora oddaje to bezkompromisowo: „resilience is no longer discretionary”.

Mandated Resilience

Główna tematyka artykułu źródłowego

Od krajobrazu ryzyka, poprzez nowe wymiary odporności po koniec dobrowolności. Na co warto zwrócić uwagę. To zmiana paradygmatu roli zarządu.

Zarząd pod presją wielowymiarową — krajobraz ryzyka 2026

Autor opiera diagnozę na trzech źródłach. Cytowane w artykule badanie Diligent Institute wskazuje, że dyrektorzy spółek publicznych oceniają poziom ryzyka swoich organizacji na 6,8 w skali, gdzie 10 oznacza istotne — wynik, który publikacja interpretuje jako outlook „głęboko zaniepokojony”. Drugim źródłem jest Deloitte 2025 Senior Leaders Survey, w którym 55% respondentów wskazało zmienność geopolityczną i ekonomiczną jako priorytet, 50% — bezpieczeństwo i cyberbezpieczeństwo, 42% — szybką zmianę technologiczną, a 41% — kapitał ludzki. Artykuł podkreśla, że choć większość liderów wyraża ogólną pewność co do zdolności organizacji do budowania długoterminowej odporności, zaufanie to wyraźnie spada w obszarach zdolności technologicznych i kompetencji ludzkich — sygnał, że świadomość regulacyjna wyprzedza realny poziom przygotowania.

Trzecim, najmocniejszym filarem diagnozy jest World Economic Forum Global Risks Report 2026. Autor streszcza tezę raportu bezkompromisowo: tradycyjne, silosowe podejście do zarządzania ryzykiem przestało wystarczać, a zarządy powinny przyjąć zintegrowaną koncepcję odporności obejmującą property, infrastrukturę i operacje. WEF identyfikuje trzy zazębiające się domeny ryzyka: krytyczną infrastrukturę, kaskadowe efekty transformacji cyfrowej oraz destabilizujące czynniki społeczne, takie jak dezinformacja i polaryzacja. Każda z nich — wskazuje autor — jest sama w sobie wyzwaniem; razem tworzą warunki, w których straty eskalują szybko, zagrażając nie pojedynczym inicjatywom, lecz całym modelom biznesowym.

Mandated resilience

Cztery wymiary odporności i ewolucja roli zarządu

Publikacja porządkuje praktykę odporności w cztery wymiary: operacyjny (nadzór nad podatnościami łańcucha dostaw i ekspozycją cyber), finansowy (dyscyplina płynności i alokacji kapitału), governance (kompetencje i edukacja członków zarządu) oraz kulturowo-technologiczny (zwinność decyzyjna, talent, narzędzia cyfrowe). Cytowane przez Summerfielda dane Deloitte dokumentują, że 86% zarządów zwiększyło aktywność w monitorowaniu ryzyka, a 71% koncentruje się na nadzorze strategicznym i planowaniu scenariuszowym. Artykuł podkreśla równolegle ewolucję samej roli dyrektora — od członka rady o ogólnym profilu do osoby wnoszącej głęboką ekspertyzę przedmiotową w obszarach technologii, ryzyka cyber i data governance. Zarząd przestaje być organem nadzorczym o profilu ogólnobiznesowym, a staje się ciałem o specjalistycznych kompetencjach domenowych.

Mandated resilience — koniec dobrowolności

Najmocniejszą tezą publikacji jest stwierdzenie, że w wielu sektorach odporność przestała być celem dyskrecjonalnym, a stała się wymogiem regulacyjnym. Autor wymienia explicite cztery filary tego nowego reżimu: unijną dyrektywę NIS2, rozporządzenie DORA, akt o sztucznej inteligencji (AI Act) oraz zasady Bazylejskie dla odporności operacyjnej. Artykuł wskazuje, że NIS2 i DORA podnoszą standardy w obszarach cyberbezpieczeństwa, zarządzania ryzykiem stron trzecich i ciągłości operacyjnej w łańcuchu dostaw, podczas gdy AI Act rozszerza obowiązki nadzorcze poza dostawców systemów AI na organizacje je wdrażające — w tym na ich organy zarządcze. Zgodność z tymi reżimami — argumentuje publikacja — musi wykraczać poza adherencję proceduralną; oczekiwana jest operacjonalizacja kontroli, solidne mechanizmy monitorowania i silny nadzór międzyfunkcyjny. Co istotne, autor zauważa wspólny mianownik wszystkich tych regulacji: standaryzacja, jednolite ramy governance i wzmocniona transparentność. Regulator chce widzieć jasną odpowiedzialność za odporność, wspartą rzetelnym raportowaniem i skutecznymi praktykami zarządzania ryzykiem.

Mandatory resilience

Perspektywa norm ISO

Artykuł zarysowuje wymagania regulacyjne i konsekwencje organizacyjne, ale nie odpowiada na pytanie, jak praktycznie wykazać zgodność z nowym reżimem. W tym miejscu pojawiają się trzy normy ISO, które operacjonalizują tezy publikacji do poziomu audytowalnego systemu zarządzania.

ISO 22301:2019 — operational resilience jako system

Publikacja postuluje regularne, międzydziedzinowe oceny podatności obejmujące property, infrastrukturę i technologię oraz testowanie planów awaryjnych w warsztatach i symulacjach pod realistycznymi warunkami stresu. To są wprost wymagania klauzulowe ISO 22301:2019 — analiza wpływu na biznes (klauzula 8.2.2), ocena ryzyka ciągłości (8.2.3), strategie i rozwiązania ciągłości działania (8.3) oraz program ćwiczeń i testowania (8.5). Norma stanowi międzynarodowy benchmark, na którym artykułowa diagnoza zyskuje strukturę audytowalną. W kontekście NIS2 (art. 21 ust. 2 lit. c — zarządzanie ciągłością działania i kryzysami) oraz DORA (art. 11 — polityka i procedury ciągłości działania ICT) ISO 22301 funkcjonuje jako de facto punkt odniesienia dla wykazania zgodności z wymogiem ciągłości operacyjnej.

ISO 22301

ISO/IEC 27001:2022 — cyber pod NIS2 i DORA

Artykuł wskazuje, że NIS2 i DORA podnoszą standardy w obszarach cyberbezpieczeństwa, zarządzania ryzykiem stron trzecich i ciągłości w łańcuchu dostaw ICT. ISO/IEC 27001:2022 odpowiada na to z poziomu systemu — wersja z 2022 r. wzmocniła Annex A o kontrole łańcucha dostaw ICT (A.5.19–A.5.23) oraz zarządzania incydentami bezpieczeństwa informacji (A.5.24–A.5.28). Kontrole te bezpośrednio mapują się na wymogi NIS2 (art. 21 — środki zarządzania ryzykiem cyberbezpieczeństwa, w tym bezpieczeństwo łańcucha dostaw) i DORA (Rozdział V — zarządzanie ryzykiem ICT stron trzecich, w tym rejestr informacji o porozumieniach umownych). Dla 50% liderów, którzy w cytowanym przez artykuł badaniu Deloitte wskazali cyberbezpieczeństwo jako priorytet, certyfikowany ISMS oparty na ISO 27001 stanowi formalną, niezależnie weryfikowalną drogę do audytowalnej zgodności.

ISO/IEC 38507:2022 — governance AI dla zarządu pod AI Act

Publikacja przypomina, że AI Act rozszerza obowiązki nadzorcze poza dostawców systemów AI na organizacje je wdrażające, włączając klasyfikację, zgodność regulacyjną i bieżący nadzór nad lifecycle systemów AI. ISO/IEC 38507:2022 jest jedyną normą międzynarodową adresowaną wprost do governing body (organu zarządczego) w zakresie wykorzystania AI. Definiuje obowiązki tego organu w czterech obszarach: ustalenia strategicznych ram dla AI, ustanowienia polityk, zapewnienia zasobów i kompetencji oraz nadzoru nad cyklem życia systemów AI. W kontekście artykułowej tezy o ewolucji roli dyrektora oraz opisanego użycia narzędzi AI przez sam zarząd — AI-powered sentiment analysis i monitoring opinii publicznej w czasie rzeczywistym — ISO/IEC 38507 wypełnia lukę między literą AI Act a codzienną praktyką decyzyjną sali posiedzeń zarządu.

ISO/IEC 27001

Praktyczne implikacje

Synteza tez artykułu i perspektywy normatywnej prowadzi do czterech praktycznych wniosków dla zarządów, audytorów wewnętrznych i działów compliance.

Po pierwsze — świadomy mapping regulacyjny. NIS2 wymaga ciągłości działania i cyberbezpieczeństwa, DORA dodaje rejestr dostawców ICT i testowanie odporności (w tym Threat-Led Penetration Testing), AI Act włącza klasyfikację systemów i ongoing monitoring. Pozostawienie tych reżimów w silosach generuje koszt równoległych audytów i pomija synergiczne wymagania — zarządzanie incydentami jest wspólne dla NIS2 i DORA, a wymogi kompetencyjne AI Act łączą się z obowiązkami governance opisanymi w ISO/IEC 38507.

Po drugie — integracja systemów zarządzania zamiast ich silosowania. ISO 22301 i ISO/IEC 27001 mają wspólną strukturę High Level Structure (HLS), co umożliwia zintegrowane wdrożenie, jednolity Statement of Applicability i wspólny audyt certyfikacyjny — redukując koszt i obciążenie operacyjne nawet o 30–40% w stosunku do dwóch oddzielnych projektów.

Po trzecie — kompetencje na poziomie zarządu. Artykuł podkreśla, że zarządy inwestujące w ciągłą edukację są lepiej przygotowane do konstruktywnego kwestionowania kierownictwa wykonawczego i interpretowania złożonych informacji o ryzyku. ISO/IEC 38507 daje temu strukturę przez wymóg formalnej oceny kompetencji organu zarządczego w obszarze AI — co przekłada się bezpośrednio na obowiązek AI literacy z art. 4 AI Act.

Po czwarte — testowanie odporności jako rutyna, nie wydarzenie. Klauzula 8.5 ISO 22301 (program ćwiczeń) i wymóg DORA dotyczący Threat-Led Penetration Testing konwergują w jednej praktyce: systematyczne, udokumentowane ćwiczenia scenariuszowe z udziałem zarządu i kierownictwa wykonawczego — w cyklu rocznym, z protokołem działań naprawczych.

Podsumowanie

Publikacja Summerfielda diagnozuje moment, w którym odporność organizacyjna przechodzi z domeny dobrych praktyk do domeny zgodności regulacyjnej. Trzy normy ISO — 22301, 27001 i 38507 — wraz z architekturą NIS2/DORA/AI Act tworzą układ, w którym zarząd przestaje być adresatem rekomendacji, a staje się jednostką prawnie odpowiedzialną za odporność operacyjną organizacji. Dla CISO, audytora wiodącego i compliance managera oznacza to jedno: certyfikowane systemy zarządzania nie są dziś opcją wizerunkową, a operacyjną drogą do wykazania mandated resilience przed regulatorem, interesariuszem i — w razie incydentu — wymiarem sprawiedliwości.

FAQ: Mandatory resilience

Mandated resilience to koncepcja odporności organizacyjnej rozumianej jako wymóg regulacyjny, nie jako wybór strategiczny. Kluczowa teza Richarda Summerfielda z czerwcowego wydania Financier Worldwide brzmi, że odporność operacyjna w wielu sektorach przestała być dyskrecjonalna, a stała się obowiązkiem prawnym. Wymóg ten egzekwują równolegle trzy europejskie akty prawne: dyrektywa NIS2, rozporządzenie DORA i akt o sztucznej inteligencji (AI Act).

Dyrektywa NIS2 (Dyrektywa UE 2022/2555) nakłada na podmioty kluczowe i ważne obowiązek wdrożenia środków zarządzania ryzykiem cyberbezpieczeństwa (art. 21), w tym:

  • zarządzania incydentami,
  • zarządzania ciągłością działania i kryzysami,
  • bezpieczeństwa łańcucha dostaw ICT,
  • testowania skuteczności środków bezpieczeństwa.

Co istotne, NIS2 wprowadza osobistą odpowiedzialność członków organów zarządczych za zatwierdzenie i nadzór nad tymi środkami. Zarząd przestaje być odbiorcą raportów — staje się jednostką odpowiedzialną.

ISO 22301:2019 to międzynarodowa norma Systemu Zarządzania Ciągłością Działania (BCMS). Mapuje się wprost na:

  • NIS2 art. 21 ust. 2 lit. c — zarządzanie ciągłością działania i kryzysami,
  • DORA art. 11 — polityka i procedury ciągłości działania ICT.

Certyfikowany BCMS oparty na ISO 22301 stanowi de facto punkt odniesienia dla wykazania zgodności przed regulatorem. Klauzule 8.2 (analiza wpływu na biznes), 8.3 (strategie ciągłości) i 8.5 (program ćwiczeń i testowania) odpowiadają na konkretne wymagania obu reżimów.

Tak. Akt o sztucznej inteligencji (Rozporządzenie UE 2024/1689) rozszerza obowiązki nadzorcze poza dostawców systemów AI na organizacje je wdrażające (deployers), w tym na ich organy zarządcze. Art. 4 wprowadza obowiązek AI literacy — odpowiedniego poziomu wiedzy o AI po stronie personelu zaangażowanego w obsługę systemów. Art. 26 nakłada na deployerów obowiązki w zakresie nadzoru, monitorowania i raportowania. ISO/IEC 38507:2022 jest jedyną normą międzynarodową adresowaną wprost do organu zarządczego w zakresie wykorzystania AI — i operacjonalizuje te obowiązki na poziomie governance.

Wszystkie trzy normy korzystają z wspólnej struktury High Level Structure (HLS, Annex SL), co umożliwia zintegrowane wdrożenie i wspólny audyt. Praktyka:

  • Wspólna polityka zarządzania, jednolity proces audytu wewnętrznego i przeglądu zarządzania.
  • Zintegrowany rejestr ryzyk obejmujący ciągłość, bezpieczeństwo informacji i AI governance.
  • Wspólny Statement of Applicability (SoA) dla ISO 27001 + dedykowane oświadczenia dla 22301 i 38507.
  • Jeden cykl certyfikacyjny, wspólne audity nadzoru.

Integracja redukuje koszt audytów nawet o 30–40% wobec trzech oddzielnych projektów certyfikacyjnych.

Bibliografia:

  1. Summerfield, R. (2026). Readiness and risks: reconfiguring boardroom resilience. Financier Worldwide, Issue 282, June 2026, s. 13–17.
  2. ISO 22301:2019. Security and resilience — Business continuity management systems — Requirements. International Organization for Standardization.
  3. ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection — Information security management systems — Requirements. International Organization for Standardization / IEC.
  4. ISO/IEC 38507:2022. Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations. International Organization for Standardization / IEC.
  5. World Economic Forum (2026). Global Risks Report 2026 — cytowany w publikacji źródłowej.
  6. Diligent Institute. Public Company Directors Survey — cytowany w publikacji źródłowej.
  7. Deloitte (2025). Senior Leaders Survey — cytowany w publikacji źródłowej.
  8. Bank for International Settlements / Basel Committee on Banking Supervision (2021). Principles for Operational Resilience — cytowane w publikacji źródłowej.
  9. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. (NIS2), Dz.U. UE L 333, 27.12.2022, s. 80.
  10. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. (DORA), Dz.U. UE L 333, 27.12.2022, s. 1.
  11. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. (Akt o sztucznej inteligencji), Dz.U. UE L, 12.07.2024.
Dariusz Rycek
Dariusz Rycek
MBA, CEO & Lead Auditor — Centre of Excellence & QSCert
Ekspert w zakresie systemów zarządzania ISO, cyberbezpieczeństwa, compliance i AI governance. Audytor, konsultant, trener.
Profil LinkedIn
Przewijanie do góry