Reklama
Kup subskrypcję
Kup subskrypcję
Skorzystaj z -13% – oferta na Dzień Kochania Siebie! 💗
Sprawdzam
ZARZĄDZANIE

Jeden CISO nie jest w stanie wypełnić luk w cyberbezpieczeństwie twojej rady nadzorczej

4 sierpnia 2025 9 min czytania
Zdjęcie Manuel Hepfer - Manuel Hepfer jest doktorantem w Saïd Business School na Uniwersytecie w Oksfordzie.
Manuel Hepfer
Odsłuchaj
Jeden CISO nie jest w stanie wypełnić luk w cyberbezpieczeństwie zarządu

Streszczenie: Powołanie CISO do zarządu nie wystarczy, by skutecznie zarządzać ryzykiem cybernetycznym. Zarządy muszą kolektywnie zwiększać swoją wiedzę w tym obszarze. CISO często nie posiadają kompetencji strategicznych czy finansowych, niezbędnych do pełnienia funkcji członka zarządu. Zamiast polegać na jednej osobie, należy rozwijać umiejętności całego zespołu zarządzającego poprzez: indywidualne spotkania z CISO, udział w kursach edukacyjnych, organizację forów wewnętrznych oraz dedykowanych sesji dotyczących cyberbezpieczeństwa. Działania te zwiększają odporność organizacyjną i przygotowanie zarządu na rosnące wymagania regulacyjne.

Pokaż więcej

Dodanie dyrektora ds. bezpieczeństwa informacji (CISO) do rady nadzorczej stało się popularnym ruchem, ale to za mało, by zwiększyć odporność organizacji na zagrożenia cyfrowe. Dowiedz się, jak podnieść poziom kompetencji całej rady w zakresie bezpieczeństwa.

Przewodniczący rady nadzorczej dużego europejskiego przedsiębiorstwa, podczas rozmowy przy drinku podczas wydarzenia dla członków rad nadzorczych i prezesów firm, poruszył temat budowania odporności organizacyjnej na zagrożenia związane z bezpieczeństwem. Zaczęliśmy rozmawiać o ryzyku cybernetycznym — poważnym wyzwaniu dla wielu organizacji. „Zasiadam w siedmiu radach nadzorczych i od każdej oczekuje się, że będzie nadzorować ryzyko cybernetyczne, ale żadne z nas nie ma do tego żadnej intuicji” — powiedział. „Co powinniśmy zrobić?” Martwiło go, że nie potrafi instynktownie ocenić informacji dotyczących bezpieczeństwa.

Dzisiejsze rady nadzorcze muszą stawić czoła stale zmieniającemu się krajobrazowi zagrożeń i rosnącym oczekiwaniom w zakresie zarządzania cyberbezpieczeństwem. W lipcu 2023 r. amerykańska Komisja Papierów Wartościowych i Giełd (SEC)  przyjęła nowe zasady, które wymagają od spółek notowanych na giełdzie w USA obowiązek ujawniania, w jaki sposób rada nadzorcza sprawuje nadzór nad zagrożeniami cybernetycznymi oraz jakie procedury stosuje rada (lub jej właściwy komitet), by być informowaną o tych ryzykach. Podobne inicjatywy regulacyjne są wdrażane w Europie i regionie Azji i Pacyfiku.

Jednak dla wielu członków rad nadzorczych sprostanie tym oczekiwaniom i wymaganiom regulacyjnym okazuje się wyjątkowo trudne. Jak wynika z badań opublikowanych przez The Wall Street Journal, aż 98% członków rad nadzorczych nie posiada specjalistycznej wiedzy z zakresu cyberbezpieczeństwa — podobnie jak wspomniany wcześniej przewodniczący. Jest to uderzające, biorąc pod uwagę, że członkowie rad są zobowiązani do wykorzystywania własnego doświadczenia, aby zajrzeć za zasłonę dobrych wiadomości i dociekać prawdziwego stanu spraw spółki. Bez wiedzy z zakresu bezpieczeństwa informacji trudno im dostrzec tzw. „window dressing” — starannie wyselekcjonowany przekaz, jaki zazwyczaj trafia do rady.

Najbardziej intuicyjnym (i najszybszym) rozwiązaniem tego problemu wydaje się powołanie do rady obecnego lub byłego dyrektora ds. bezpieczeństwa informacji (CISO). I faktycznie, według badania firmy Heidrick & Struggles — odsetek CISO zasiadających w radach wzrósł ponad dwukrotnie w ciągu zaledwie roku: z 14% w 2022 r. do 30% w 2023 r.

Na pierwszy rzut oka wydaje się to rozwiązaniem idealnym: rady nadzorcze zyskują kompetencje w kluczowym obszarze, a wielu CISO traktuje objęcie stanowiska jako naturalny i wartościowy krok w karierze. CISO zasiadający w radzie może skuteczniej włączać tematykę cyberbezpieczeństwa do rozmów biznesowych na najwyższym szczeblu.

CISO w radzie nadzorczej: dwa kluczowe zastrzeżenia

Po pierwsze, powoływanie CISO do rady nadzorczej wyłącznie ze względu na jego wiedzę z zakresu cyberbezpieczeństwa to podejście błędne z dwóch zasadniczych powodów.

W przeciwieństwie do zespołów zarządczych, gdzie obowiązuje indywidualna odpowiedzialność za wyniki, rada nadzorcza powinna funkcjonować jako zespół równorzędnych członków, wspólnie dochodzących do konsensusu w sprawach strategii, ryzyka i ładu organizacyjnego.

Rady podejmują decyzje kolegialnie, a ich członkowie dzielą się zbiorową odpowiedzialnością. Żaden członek rady nie powinien działać samodzielnie, a każdy powinien wnosić wartość nie tylko z wąskiego obszaru swojej specjalizacji, ale także w szerszym kontekście nadzoru korporacyjnego.

Zatrudnianie CISO wyłącznie po to, by pełnił funkcję „eksperta od cyber”, do którego reszta rady może się odwoływać, gdy na agendzie pojawia się ryzyko cyfrowe, przeczy podstawowej zasadzie działania rady jako ciała kolektywnego.

Po drugie, warto zastanowić się, w jakim obszarze CISO faktycznie posiada największą ekspertyzę — zazwyczaj są to technologie lub bezpieczeństwo informacji. Tymczasem, aby mógł wnosić realną wartość, powinien orientować się w całym spektrum zagadnień: od planowania strategicznego, przez finanse, czynniki geopolityczne i kwestie środowiskowe, aż po obowiązki powiernicze. Ryzyko cybernetyczne może pojawić się w agendzie zaledwie na kilka minut podczas spotkań trwających całe dni. To oznacza, że sam zakres wiedzy z dziedziny bezpieczeństwa nie wystarczy. CISO, który chce skutecznie funkcjonować w zarządzie, musi również posiadać ogólną orientację i kompetencje w pozostałych obszarach, które są niezbędne do pełnienia tej funkcji z powodzeniem.

Cztery sposoby na zwiększenie kompetencji rady nadzorczej w zakresie cyberbezpieczeństwa

Zamiast delegować odpowiedzialność za zrozumienie ryzyk cybernetycznych jednemu członkowi rady – np. przez powołanie CISO – rady powinny inwestować w podniesienie poziomu wiedzy całego ciała kolegialnego. Nie oznacza to, że każdy członek rady musi natychmiast stać się ekspertem. Niektórzy mogą być bardziej skłonni, by zaangażować się w tematykę cyberbezpieczeństwa. To właśnie oni mogą inicjować dyskusje oraz nadawać im kierunek. Ważne jednak, by nie stali się „dyżurnymi ekspertami”, na których pozostali członkowie będą zdawać się za każdym razem, gdy temat cyberzagrożeń trafi na agendę. W takim układzie cały sens kolegialności rady zostałby osłabiony.

Wiele rad zaczęło podejmować działania w obszarze ryzyka cybernetycznego, ale tylko nieliczne wdrażają kompleksowe podejście oparte na systematycznym rozwoju kompetencji całego zespołu poprzez szkolenia. Oto cztery strategie, które stosuję we współpracy z zarządami, aby wzmacniać ich zdolności w zakresie cyberbezpieczeństwa.

1. Czas wysokiej jakości

Indywidualni członkowie rady mogą korzystać z wewnętrznych zasobów firmy, aby podnieść swoją wiedzę w zakresie cyberbezpieczeństwa. Członkowie mogą poprosić o bezpośrednie, indywidualne spotkania z CISO organizacji, bez udziału innych osób.

Podczas takiego spotkania przewodniczący może zadawać pytania, na przykład:

  • Które pozycje z ostatniego wniosku budżetowego nie zostały zatwierdzone?
  • Jakie są największe problemy związane z cyberbezpieczeństwem z perspektywy biznesowej?
  • Kiedy ostatnio testowaliśmy nasze plany reagowania na poważny cyberatak?
  • Co rada może zrobić, aby zwiększyć odporność firmy na zagrożenia cybernetyczne?

Celem takiej rozmowy jest próba dotarcia do informacji, które zazwyczaj nie trafiają na poziom rady. Członkowie mogą też prosić, by skrótowe slajdy z posiedzeń zawierały więcej szczegółów o ryzykach cybernetycznych.

Ponieważ wielu członków zasiada w więcej niż jednej radzie, istotne jest, by pogłębiali wiedzę w kontekście konkretnej organizacji – jej specyficznych zagrożeń, wyzwań oraz potencjalnych skutków ryzyk. Takie „zanurzenie się” w danej firmie pozwala im wnosić większą wartość merytoryczną do dyskusji.

2. Kursy edukacyjne

Członkowie rad mogą zapisać się na programy edukacyjne z zakresu cyberbezpieczeństwa dla liderów biznesu, oferowane przez renomowane szkoły biznesu — jak chociażby program z cyberbezpieczeństwa dla liderów biznesu prowadzony przez Uniwersytet Oksfordzki. Kursy te dotyczą podstaw zarządzania ryzykiem oraz nowych trendów i zagrożeń, np. w obszarze AI i komputerów kwantowych.

Programy te pozwalają również zapoznać się z analizami przypadków i dobrymi praktykami stosowanymi przez inne firmy i branże w zakresie zarządzania i nadzoru nad ryzykiem cybernetycznym. Wiele z tych kursów odbywa się online i jest opartych na modelu asynchronicznym, co daje uczestnikom elastyczność w realizacji materiału.

Widziałem przypadki, gdy rady oferowały członkom kursy online o zrównoważonym rozwoju; czasem udział w nich był obowiązkowy. W obliczu strategicznego znaczenia cyberbezpieczeństwa, organizacje powinny przyjąć podobne podejście również w tym zakresie.

3. Fora edukacyjne o cyberbezpieczeństwie

Aby podnieść zbiorową kompetencję wszystkich członków rady nadzorczej (i zespołu zarządzającego), niektóre firmy tworzą cykliczne fora edukacyjne poświęcone cyberbezpieczeństwu. Choć to wciąż rzadko stosowane rozwiązanie, w praktyce okazuje się bardzo skuteczne.

Takie fora odbywają się raz na kwartał lub pół roku i funkcjonują poza formalnym cyklem ładu korporacyjnego. Ich przewodniczącym jest zazwyczaj CEO, który zaprasza całą radę nadzorczą oraz kadrę zarządzającą, a także współpracuje z zespołami IT i bezpieczeństwa informacji przy ustalaniu agendy.

Celem forum nie jest rozliczanie kogokolwiek, lecz stworzenie bezpiecznej przestrzeni do uczenia się, wymiany wiedzy i wzajemnego rozumienia wyzwań.

Najczęściej rolę prowadzących i prelegentów pełnią osoby z wewnątrz organizacji. Zamiast analizować przypadki innych firm, uczestnicy koncentrują się na własnym kontekście i budowaniu wspólnego zrozumienia problemów oraz możliwych rozwiązań.

4. Dedykowane sesje

Nadzór nad ryzykiem cybernetycznym bywa często delegowany do wyspecjalizowanych komitetów rady — takich jak komitet audytu, ryzyka lub technologii. To tam zwykle toczy się większość merytorycznej pracy w tym zakresie. Jednak równie istotne jest to, by cała rada nadzorcza – jako ciało kolektywne – poświęciła temu zagadnieniu czas i uwagę.

Jedną z najbardziej efektywnych praktyk jest organizacja specjalnej sesji poświęconej cyberbezpieczeństwu, bezpośrednio po kwartalnym posiedzeniu rady. Niektóre rady, szczególnie te najbardziej zaawansowane — organizują raz do roku nadzwyczajne posiedzenie rady wyłącznie poświęcone temu tematowi.

Takie sesje są często przygotowywane z udziałem zewnętrznego doradcy, który wspiera nie tylko w projektowaniu agendy, ale również zaprasza ekspertów tematycznych do poprowadzenia wybranych segmentów spotkania. Szczególnie wartościowe są wystąpienia menedżerów z innych firm lub sektorów, którzy doświadczyli realnego cyberataku — i mogą podzielić się swoimi lekcjami i błędami. Przed taką sesją warto przeprowadzić indywidualne wywiady z członkami rady, aby dostosować treść do poziomu ich wiedzy oraz specyfiki firmy. Dzięki temu spotkanie staje się trafniejsze, praktyczniejsze i skuteczniejsze.

Inwestując w rozwój kompetencji w zakresie cyberbezpieczeństwa, zarządy mogą działać proaktywnie i budować odporność szybciej niż potencjalni atakujący. Włączenie wszystkich czterech elementów tego podejścia może pomóc czuć się swobodniej we wszystkich dyskusjach na temat ryzyka cybernetycznego.

PRZECZYTAJ TAKŻE: Szukasz dobrych doradców? Stwórz sobie wirtualny zarząd

O autorach
Zdjęcie Manuel Hepfer - Manuel Hepfer jest doktorantem w Saïd Business School na Uniwersytecie w Oksfordzie.
Manuel Hepfer

Manuel Hepfer jest doktorantem w Saïd Business School na Uniwersytecie w Oksfordzie.

Tematy
ZARZĄDZANIE Cyberbezpieczeństwo Zarządy i ład korporacyjny
Spis treści
  1. CISO w radzie nadzorczej: dwa kluczowe zastrzeżenia
  2. Cztery sposoby na zwiększenie kompetencji rady nadzorczej w zakresie cyberbezpieczeństwa
  3. 1. Czas wysokiej jakości
  4. 2. Kursy edukacyjne
  5. 3. Fora edukacyjne o cyberbezpieczeństwie
  6. 4. Dedykowane sesje

Może Cię zainteresować

Nie tylko młode talenty. Pamiętaj o nestorach

W świecie biznesu zdominowanym przez kult młodości i technologiczny pośpiech, firmy często cierpią na „organizacyjną amnezję”. Tymczasem najcenniejszy zasób Twojej firmy może właśnie planować przejście na emeryturę. A przecież dojrzały wiek to nie balast, lecz etap kariery o unikalnym potencjale strategicznym. Autorzy wprowadzają pojęcie „nestora” – osoby, która dzięki swojej mądrości, sieciom kontaktów i braku konieczności walki o awanse, staje się dla organizacji nieocenionym aktywem.

David R. Hannah, Jeremy Yip 15 lutego 2026
AI SZTUCZNA INTELIGENCJA
Agentowe narzędzia AI do kodowania: co powinni wiedzieć liderzy

Większość menedżerów utknęła w pętli „czatowania” z AI, traktując narzędzia takie jak ChatGPT jedynie jako sprawniejszą wyszukiwarkę. Tymczasem agentowe narzędzia AI, dotychczas kojarzone wyłącznie z pisaniem kodu, stają się nowym fundamentem pracy umysłowej. Pozwalają one budować trwałą „pamięć instytucjonalną” i automatyzować złożone procesy – od analizy konkurencji po due diligence – bez konieczności pisania choćby jednej linii kodu. Dowiedz się, dlaczego narzędzia takie jak Claude Code to nie tylko gratka dla deweloperów, ale kluczowy element przewagi strategicznej nowoczesnego lidera.

Rama Ramakrishnan 12 lutego 2026
AI SZTUCZNA INTELIGENCJA
Algorytmy na wybiegu: Jak model „AI-first” zmienia rynek mody

Współczesny sektor mody i dóbr luksusowych przechodzi fundamentalną zmianę, w której sztuczna inteligencja przestaje być jedynie narzędziem pomocniczym, a staje się głównym architektem strategii operacyjnej. Wg BCG, firmy przyjmujące model „AI-first” muszą zmierzyć się z nową rzeczywistością, w której konsumenci porzucają tradycyjne wyszukiwarki na rzecz platform takich jak ChatGPT czy Perplexity, zmuszając marki do walki o widoczność w świecie zdominowanym przez algorytmy rekomendacyjne.

Sebastian Bak, Roelant Kalthof, Becca Schwartz 11 lutego 2026
Co traktat ONZ o cyberprzestępczości może oznaczać dla Twojej firmy

Nowy traktat Organizacji Narodów Zjednoczonych ustanawia międzynarodowe ramy prowadzenia dochodzeń i ścigania przestępstw online, takich jak ataki ransomware czy oszustwa finansowe, które często mają charakter transgraniczny. Choć dokument ten wprost definiuje cyberprzestępczość oraz precyzuje zakres odpowiedzialności organów ścigania i przedsiębiorstw w takich przypadkach, obawy dotyczące prywatności i swobód obywatelskich wciąż nie zostały w pełni rozstrzygnięte. Firmy o zasięgu globalnym powinny już teraz rozpocząć przygotowania do nadchodzącego egzekwowania nowych przepisów.

Stuart Madnick, Angelica Marotta 10 lutego 2026
empatia
Kompetencje przywódcze
Czy empatia stanie się kluczową kompetencją przywódczą?

W erze rosnącej złożoności i niepewności, kluczową rolę w sukcesie organizacji odgrywa styl przywództwa oparty na empatii, partnerstwie i bezpieczeństwie psychologicznym. Tradycyjne modele hierarchiczne ustępują miejsca transformacyjnemu przywództwu, które aktywuje potencjał zespołów i sprzyja innowacjom.

Paulina Kostro 10 lutego 2026
AI w biznesie
AI SZTUCZNA INTELIGENCJA
5 trendów AI, które zdefiniują strategię liderów w 2026 roku

Sztuczna inteligencja do 2026 roku przekształci się z pojedynczych narzędzi w złożone, agentowe super-aplikacje, które zmienią sposób zarządzania, organizacji pracy i strategii konkurencyjnej. Transformacja ta ma wymiar globalny, z rosnącym znaczeniem lokalnej specjalizacji i integracji AI z infrastrukturą fizyczną oraz mediami generatywnymi. W efekcie powstaje multipolarna gospodarka oparta na inteligentnej infrastrukturze i zrozumieniu lokalnych potrzeb.

Benjamin Laker 9 lutego 2026
Klienci i doświadczenia
Enszityfikacja: Jak pogoń za marżą niszczy wartość „inteligentnych” produktów

Kiedyś jednym z symboli jakości była trwałość produktu fizycznego. Dziś, dzięki cyfryzacji, firmy dążą do sprawowania kontroli nad produktem długo po tym, jak opuścił on linię produkcyjną. To, co miało być rewolucją w komforcie i personalizacji, coraz częściej zmienia się w tzw. enszityfikację – proces, w którym innowacja ustępuje miejsca agresywnej monetyzacji, a klient z właściciela staje się jedynie subskrybentem własnych przedmiotów.

Andrew Park, David R. Hannah, Jan Kietzmann, Leyland Pitt 6 lutego 2026
Rynki kapitałowe
Mapa ryzyka 2026: Globalna perspektywa jest ważniejsza niż kiedykolwiek

W świecie rozdartym między nieuchronną integracją gospodarczą a politycznym zwrotem ku nacjonalizmom, liderzy biznesu stają przed paradoksem: jak budować wartość, gdy tradycyjne bezpieczne przystanie zmieniają swój charakter? Analiza danych z 2025 roku pokazuje, że choć politycy mogą dążyć do izolacji, kapitał nie posiada tego luksusu. Zapraszamy do głębokiego wglądu w globalne rynki akcji, dynamikę walut i nową mapę ryzyka krajowego, która zdefiniuje strategie inwestycyjne w 2026 roku.

Aswath Damodaran 5 lutego 2026
Kultura organizacyjna
Plotki w biurze: błąd systemu czy ukryty feedback?

Plotka biurowa to rzadko objaw toksycznej kultury, a najczęściej sygnał, że oficjalna komunikacja w firmie zawodzi. Zamiast uciszać nieformalne rozmowy, liderzy powinni traktować je jako cenny mechanizm informacji zwrotnej. Sprawdź, jak zrozumieć potrzeby zespołu ukryte między wierszami i skutecznie zarządzać organizacją w obliczu nieuniknionych zmian.

Benjamin Laker 4 lutego 2026
Praca zdalna i hybrydowa
Głos jako interfejs przyszłości: Jabra Evolve3 jako infrastruktura pracy opartej na AI

Głos staje się nowym interfejsem pracy z AI, a jakość audio przesądza o skuteczności współpracy hybrydowej. Sprawdź, jak seria słuchawek Jabra Evolve3 tworzy infrastrukturę gotową na erę komend głosowych i spotkań wspieranych przez sztuczną inteligencję.

Materiał Partnera JABRA Gn 3 lutego 2026
Materiał dostępny tylko dla subskrybentów

Jeszcze nie masz subskrypcji? Dołącz do grona subskrybentów i korzystaj bez ograniczeń!

Subskrybuj

Otrzymuj najważniejsze artykuły biznesowe — zapisz się do newslettera!