Dyrektywa NIS2 – obowiązki podmiotów kluczowych i ważnych w zakresie cyberbezpieczeństwa

Podmioty kluczowe to takie, które przewyższają wymogi dla średniego przedsiębiorstwa[1], czyli zatrudniają 250 lub więcej osób oraz których roczny obrót przekracza 50 mln euro lub roczna suma bilansowa przekracza 43 mln euro. Są też odstępstwa od tej reguły. Do podmiotów kluczowych należy również dołączyć przedsiębiorców komunikacji elektronicznej, którzy spełniają wymogi dla średniego przedsiębiorcy. Niezależnie od wielkości podmiotu do tej kategorii zaliczają się również:

• dostawcy usług DNS,
• dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa,
• kwalifikowani dostawcy usług zaufania[2],
• podmioty krytyczne,
• podmioty publiczne,
• podmioty uznane przez organ właściwy do spraw cyberbezpieczeństwa jako podmiot kluczowy oraz
• rejestry domen najwyższego poziomu.

Podmioty kluczowe i ważne – wymogi i obowiązki zgodnie z dyrektywą NIS2

Podmioty ważne to takie, które spełniają wymogi dla średniego przedsiębiorcy, czyli zatrudniają 50 lub więcej, ale mniej niż 250 osób oraz których roczny obrót jest większy niż 10, ale jest mniejszy niż 50 mln euro lub roczna suma bilansowa nie przekracza 43 mln euro. W przypadku podmiotów ważnych również istnieją wyjątki. Za podmiot ważny uznaje się również niekwalifikowanych dostawców usług zaufania będących mikro-, małym lub średnim przedsiębiorcą, przedsiębiorców komunikacji elektronicznej będących mikro- lub małym przedsiębiorcą oraz podmioty uznane przez organ właściwy do spraw cyberbezpieczeństwa jako podmiot ważny.

W grupach kapitałowych samo doliczenie danych przedsiębiorstw powiązanych lub partnerskich nie zawsze powinno przesądzać o objęciu przedsiębiorstwa przepisami ustawy o KSC. Jeżeli podmiot spełnia kryteria wielkości wyłącznie dlatego, że doliczono dane grupy, ale jego system informacyjny jest niezależny od systemów informacyjnych przedsiębiorstw powiązanych lub partnerskich albo podmiot nie świadczy usług wspólnie z tymi przedsiębiorstwami, to nie jest uznawany za podmiot kluczowy ani za podmiot ważny.

Ustawodawca określił również wymogi pod względem niektórych podmiotów zagranicznych, w szczególności dostawców usług DNS, rejestrów nazw domen najwyższego poziomu, podmiotów świadczących usługi rejestracji nazw domen, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie cyberbezpieczeństwa, dostawców platform handlowych, dostawców wyszukiwarki internetowej oraz dostawców platform usług sieci społecznościowych.

Usługodawcy będą podlegać obowiązkom ustawy o KSC w przypadku, gdy szef działu bezpieczeństwa ma siedzibę w Polsce, realizowane są zadania związane z procesami systemu bezpieczeństwa informacji wpływającymi na świadczenie usług oraz gdy podmiot ma największą liczbę pracowników w odniesieniu do innych państw członkowskich UE. W przypadku gdy wyżej wymienione organizacje nie posiadają jednostki organizacyjnej w jednym z państw członkowskich UE, ale oferują swoje usługi na terytorium Polski, dana organizacja musi wyznaczyć przedstawiciela, który posiada jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, jeśli już nie wyznaczył przedstawicielstwa w innym państwie członkowskim UE.

Zgodnie z zapisami art. 7l ustawy o KSC, organ właściwy do spraw cyberbezpieczeństwa może uznać podmiot jako kluczowy lub ważny, nawet jeśli nie spełnił wymogów pod względem bycia średnim przedsiębiorcą działającym w danym sektorze.

Podmiot zostanie uznany za kluczowy lub ważny, jeśli spełni następujące wymogi:

• prowadzi działalność określoną w załącznikach ustawy;
• jest mikro- lub małym przedsiębiorcą, czyli zatrudnia odpowiednio do 10 lub do 49 osób;
• spełnia jedną z przesłanek opisanych w ustawie o KSC, czyli:
  - jako jedyny świadczy usługę, która ma kluczowe znaczenie dla krytycznej działalności społecznej lub gospodarczej;
  - zakłócenie przez niego świadczenia usługi spowoduje poważne zagrożenie dla bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, obronności lub zdrowia publicznego;
  -zakłócenie przez niego świadczenia usługi spowoduje ryzyko systemowe zaprzestania świadczenia usług przez podmioty kluczowe lub podmioty ważne;
  - świadczenie przez niego usług ma istotne znaczenie na poziomie krajowym lub województwa lub ma znaczenie dla dwóch lub więcej sektorów w załączniku do ustawy o KSC.

Organ właściwy do spraw cyberbezpieczeństwa rejestruje taki podmiot w rejestrze podmiotów kluczowych i ważnych, określa sektor, do jakiego został przypisany i wzywa dany podmiot do uzupełnienia danych w rejestrze. Taki podmiot będzie musiał spełnić wymogi cyberbezpieczeństwa w terminie do 12 miesięcy oraz w przypadku podmiotów kluczowych przeprowadzić audyt w terminie do 24 miesięcy od dnia doręczenia decyzji.

Kategoryzacja podmiotów kluczowych i ważnych względem rozmiaru przedsiębiorstwa

Podmiot kluczowy:

• duże przedsiębiorstwa wskazane w załączniku 1 ustawy o KSC,
• przedsiębiorca komunikacji elektronicznej,
• dostawca usług zarządzanych w zakresie cyberbezpieczeństwa,
• kwalifikowany dostawca usług zaufania*,
• podmiot krytyczny*,
• podmiot publiczny*,
• podmiot zidentyfikowany jako podmiot kluczowy (art. 7l ust. 2 ustawy o KSC)*,
• państwowa osoba prawna zidentyfikowana jako podmiot kluczowy na podstawie art. 7m* ustawy o KSC,
• operator obiektu energetyki jądrowej*, Dostawca usług DNS*,
• rejestr nazw domen TLD*,
• usługi rejestracji nazw domen*.

Podmiot ważny:

• średnie przedsiębiorstwa wskazane w załączniku 1 lub 2 ustawy o KSC,
• niekwalifikowany dostawca usług zaufania**,
• przedsiębiorca komunikacji elektronicznej**,
• inwestor obiektu energetyki jądrowej*,
• podmiot zidentyfikowany jako podmiot ważny (art. 7l ust. 2 ustawy o KSC)*,
• podmiot publiczny niebędący podmiotem kluczowym*  

* niezależnie od rozmiaru
** mikro-, mały, średni

[1] Rozporządzenie Komisji (UE) nr 651/2014 z 17 czerwca 2014 r. uznające niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu (tekst mający znaczenie dla EOG) (Dz.U. UE L z 2014 r. Nr 187, s. 1–78).

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz.U. UE L z 2014 r. Nr 257, s. 73–114).

Artykuł pochodzi z książki:
NIS2 w Polsce. Jak przygotować firmę na nowe wymogi cyberbezpieczeństwa

Autor
Michał Zdunowski

Ekspert w dziedzinie cyberbezpieczeństwa, zarządzania ryzykiem oraz regulacji cyfrowych, z ponad 15-letnim doświadczeniem w sektorze bezpieczeństwa informacji. Specjalizuje się w praktycznym wdrażaniu wymagań regulacyjnych oraz budowaniu systemów zarządzania bezpieczeństwem informacji w organizacjach o różnej skali działania.

Jest założycielem firmy IS Consulting, która wspiera organizacje w obszarze cyberbezpieczeństwa, zgodności regulacyjnej oraz budowy zdolności operacyjnych w zakresie zarządzania incydentami i odporności cyfrowej. W swojej pracy koncentruje się szczególnie na przekładaniu wymagań regulacyjnych na wykonalne działania operacyjne w organizacjach. Brał udział w licznych projektach doradczych, audytowych i szkoleniowych związanych z cyberbezpieczeństwem, a także w inicjatywach dotyczących rozwoju kompetencji oraz standardów bezpieczeństwa w Europie.

W swoich publikacjach i działaniach public policy koncentruje się na wykonalności regulacji w praktyce, szczególnie w kontekście mikro-, małych i średnich przedsiębiorstw.