当网络安全事件发生时，最终问责对象正从CISO转向董事会本身。

最新一份行业调查显示，91%的安全从业者认为网络安全事故的最终责任在于董事会，而不是CISO或安全管理者。 这意味着，网络安全问题已经彻底进入了企业最高决策层的议程。

英国信息安全协会（CIISEC）的最新报告直言不讳：“责任止于董事会。” 调查中：

• 56%的从业者认为董事成员在发生重大网络安全事件时应面临处罚、起诉或罚款。

• 69%的受访者认为现有的法规（如NIS2、DORA和《网络安全与韧性法案》）仍然不够严格。

行业也提出了更积极的诉求，比如强制的信息披露制度和更高效的数据共享机制。

在欧洲的NIS2法规中，高层管理者需批准并监督企业的网络安全风险管理措施，但是否要对超出合规范围的安全事件承担直接责任，仍存在模糊空间。  而DORA主要针对金融行业，要求高管在重大网络安全事件发生后被告知，但并未明确规定他们在事前是否必须承担安全保障责任。换句话说，问责机制更多停留在“知情”层面，而非“事前负责”层面。

有趣的是，只有34%的从业者认为违反安全政策的普通员工应该被追责。这表明行业舆论更倾向于让高层全面负责。CIISEC首席执行官Amanda Finch指出：“既然责任最终由董事会承担，那么安全团队必须以更协作的方式，让高层清楚理解风险，并参与重大决策。”

这也意味着，安全从业者需要向董事会全面、准确地呈现风险与威胁信息，否则未来可能会面临“隐瞒信息”的诉讼风险。

既然要让董事会承担最终责任，他们就必须获得充分的信息支持：漏洞管理、数据安全态势管理（DSPM）、渗透测试、红队演练、风险评估……这些手段必须整合，才能为高管提供一个全面的风险画像。

否则，一旦法规进一步加码，把非技术背景的董事成员放到“公众问责台”上，而又不给他们所需的情报与工具，企业就可能陷入更大的困境。