Czy Twoja firma jest podmiotem kluczowym lub ważnym – czyli jak sprawdzić, czy obejmuje Cię dyrektywa NIS2

Unijna dyrektywa NIS2, a w ślad za nią projektowana nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, nakładają nowe obowiązki na przedsiębiorców  funkcjonujących w określonych sektorach gospodarki. Firmy uznane za podmioty ważne lub podmioty kluczowe muszą spełniać szczególne wymagania w zakresie ochrony sieci i systemów informatycznych.

W tym artykule piszemy o tym, jak przedsiębiorcy mogą ocenić, czy ich firmy podlegają nowym regulacjom i jakie kroki należy podjąć, aby przygotować się do ich wdrożenia.

Kogo dotyczy NIS2?

Nowe przepisy wyróżniają dwie główne kategorie podmiotów – podmioty kluczowe i podmioty ważne – w zależności od tego, jak bardzo ich znaczenie jest zasadnicze dla sektorów rynku, w których działają lub dla rodzaju świadczonych przez nie usług, a także od ich wielkości. Różnice między nimi dotyczą głównie poziomu nadzoru (co do zasady podmioty kluczowe będą kontrolowane proaktywnie, a podmioty ważne – reaktywnie), potencjalnych sankcji oraz zakresu obowiązków sprawozdawczych.

Jak sprawdzić, czy Twoja działalność podlega pod NIS2

Krok 1. Sprawdź, czy działasz w jednym z sektorów objętych dyrektywą.

Do sektorów kluczowych zostały zaliczone:

• energetyka, np. przedsiębiorstwa energetyczne, operatorzy systemów ciepłowniczych lub chłodniczych, operatorzy ropociągów, czy przedsiębiorstwa dostarczające gaz,
• transport lotniczy, kolejowy, wodny, i drogowy,
• bankowość i finanse, np. instytucje kredytowe,
• infrastruktura rynków finansowych (np. operatorzy systemów obrotu),
• zdrowie, np. szpitale, laboratoria, producenci wyrobów medycznych,
• woda i ścieki, np. dostawcy i dystrybutorzy wody pitnej oraz przedsiębiorstwa odprowadzające ścieki komunalne,
• infrastruktura cyfrowa, np. dostawcy usług chmurowych,
• zarządzanie usługami ICT (między przedsiębiorstwami),
• podmioty administracji publicznej na szczeblu centralnym i regionalnym;
• przestrzeń kosmiczna, czyli operatorzy infrastruktury naziemnej.

Natomiast do sektorów ważnych zostały zaliczone:

• usługi pocztowe i kurierskie,
• gospodarowanie odpadami;
• produkcja, wytwarzanie i dystrybucja chemikaliów;
• produkcja, przetwarzanie i dystrybucja żywności;
• produkcja, w tym: produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, produkcja komputerów, wyrobów elektronicznych i optycznych, produkcja urządzeń elektrycznych, produkcja innych maszyn i urządzeń, produkcja pojazdów samochodowych, przyczep i naczep oraz pozostałego sprzętu transportowego;
• dostawcy usług cyfrowych, np. dostawcy internetowych platform handlowych, wyszukiwarek internetowych oraz social mediów,
• badania naukowe.

Jeśli działasz w którymkolwiek z powyższych sektorów, jesteś potencjalnie objęty zakresem NIS2.

Krok 2. Oceń wielkość swojej organizacji

Dyrektywa co do zasady obejmuje średnie i duże przedsiębiorstwa w rozumieniu przepisów unijnych, czyli w dużym skrócie – zatrudniające co najmniej 50 osób i osiągające roczny obrót powyżej 10 mln EUR.

Mikro i małe przedsiębiorstwa (poniżej powyższych progów) są objęte dyrektywą tylko wyjątkowo – jeśli ich działalność ma kluczowe znaczenie dla funkcjonowania danego sektora (np. zarządzają infrastrukturą krytyczną).

Krok 3. Zidentyfikuj rolę w łańcuchu dostaw

Dyrektywa zwraca uwagę nie tylko na podmioty bezpośrednio świadczące usługi we wskazanych w niej sektorach, ale również na te, które stanowią element łańcucha dostaw istotnego z punktu widzenia NIS2. Jeśli Twoja firma dostarcza komponenty, systemy lub usługi IT dla podmiotu objętego NIS2, może okazać się, że również będziesz musiał spełniać wymogi bezpieczeństwa w niej wskazane.

Krok 4. Sprawdź krajowe przepisy wdrażające

Każde państwo członkowskie publikuje listę sektorów i kryteriów identyfikacji podmiotów kluczowych i ważnych. W Polsce odpowiednie przepisy znajdą się w nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), nad którą aktualnie trwają prace (więcej informacji o planowanych założeniach ustawy tutaj).

Projekt ustawy zawiera te same kategorie sektorów zaliczanych do podmiotów ważnych i kluczowych, co wymienione w załącznikach 1 i 2 do Dyrektywy NIS2, jednak nieco różnią się rodzaje wyszczególnionych podmiotów w ramach podsektorów.

Ustawa również nieco inaczej postrzega warunki, które muszą spełnić przedsiębiorstwa, by zostać uznane za podmioty kluczowe albo ważne.

W świetle projektowanej regulacji podmiotem kluczowym będzie:

1. podmiot wskazany w załączniku nr 1 do ustawy, który przewyższa wymogi dla średniego przedsiębiorstwa;
2. przedsiębiorca komunikacji elektronicznej, który kwalifikuje się jako średnie przedsiębiorcy;
3. dostawca usług zarządzanych w zakresie cyberbezpieczeństwa, który co najmniej spełnia wymogi dla małego albo średniego przedsiębiorcy;
4. niezależnie od wielkości podmiotu: dostawca usług DNS, kwalifikowany dostawca usług zaufania, podmiot krytyczny, podmiot publiczny wskazany w załączniku nr 1 do ustawy w sektorze podmioty publiczne, podmiot zidentyfikowany jako podmiot kluczowy na podstawie decyzji organu właściwego, podmiot, który nie jest przedsiębiorcą, a jest wskazany w załączniku nr 1 do ustawy z nazwy albo poprzez określenie jego rodzaju, podmiot będący operatorem obiektu energetyki jądrowej, rejestr nazw domen najwyższego poziomu (TLD), podmiot świadczący usługi rejestracji nazw domen.

Natomiast podmiotem ważnym będzie:

1. podmiot wskazany w załączniku nr 1 do ustawy, który spełnia wymogi dla średniego przedsiębiorcy oraz który nie jest podmiotem kluczowym;
2. podmiot wskazany w załączniku nr 2 do ustawy, który spełnia lub przewyższa wymogi dla średniego przedsiębiorcy oraz który nie jest podmiotem kluczowym;
3. niekwalifikowany dostawca usług zaufania będący mikro-, małym lub średnim przedsiębiorcą;
4. przedsiębiorca komunikacji elektronicznej będący mikro- lub małym przedsiębiorcą;
5. podmiot będący inwestorem obiektu energetyki jądrowej;
6. podmiot zidentyfikowany jako podmiot ważny na podstawie decyzji organu właściwego;
7. podmiot, który nie jest przedsiębiorcą, a jest wskazany w załączniku nr 2 do ustawy z nazwy albo poprzez określenie jego rodzaju.
8. podmiot publiczny, który nie jest podmiotem kluczowym oraz jest samorządową jednostką budżetową, samorządowym zakładem budżetowym, samorządową instytucją kultury albo spółką wykonującą zadania o charakterze użyteczności publicznej jeżeli realizuje zadanie publiczne z wykorzystaniem systemów informacyjnych.

Podobnie jak przy badaniu na gruncie Dyrektywy NIS2, aby ustalić, czy dana działalność powinna być zarejestrowana jako podmiot kluczowy lub ważny zgodnie z polską ustawą, należy zbadać, czy działalność prowadzona jest w ramach sektorów wymienionych w załącznikach 1 i 2 do ustawy oraz posiada cechy jednej z powyższych kategorii podmiotów. Jeżeli działalność będzie wchodziła w zakres nowej ustawy, będzie wymagane wdrożenie i stosowanie nowych regulacji.

Co jeżeli prowadzona działalność zostanie zakwalifikowana do więcej niż jednej kategorii?

W sytuacji wypełnienia wymogów z obu kategorii ustawa wskazuje, że:

• jeżeli podmiot, spełnia wymogi zarówno dla podmiotu kluczowego jak i dla podmiotu ważnego, to jest podmiotem kluczowym;
• jeżeli status podmiotu kluczowego lub podmiotu ważnego zależy od wielkości podmiotu, to przesłanki uznania za podmiot kluczowy lub podmiot ważny bada się według stanu na dzień sporządzenia sprawozdania finansowego;

Podsumowując, podmioty publiczne i prywatne będą miały obowiązki związane z cyberbezpieczeństwem, jeżeli:

• bezpośrednio spełniają warunki określone w NIS2;
• zostały zakwalifikowane jako podmiot ważny albo kluczowy przez nowelizowaną ustawę;
• są dostawcą lub klientem firmy objętej NIS2, która ich kontroluje i nakłada określone oczekiwania w związku z bezpieczeństwem łańcucha dostaw.

Warto podkreślić, że podmioty będą miały obowiązek przekazać drogą elektroniczną wniosek o wpis do wykazu prowadzonego przez ministra cyfryzacji w terminie 3 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny.