NIS 2 a firmy IT. Dlaczego również mali przedsiębiorcy powinni zweryfikować swój status?

Dla moich rozmówców zawsze zaskoczeniem jest, że podmiotem kluczowym może być mała firma z branży IT. Tymczasem zgodnie z ustawą o Krajowym systemie cyberbezpieczeństwa (KSC) wystarczy, że firma IT spełnia kryteria małego przedsiębiorstwa i… np. aktywnie zarządza systemami antywirusowymi swoich klientów. O tym się nie mówi.

Kiedy NIS 2 obejmie małe przedsiębiorstwa IT?

Z bieżących kontaktów i rozmów wynika, że temat obowiązku wdrożenia mechanizmów Dyrektywy NIS 2 w dalszym ciągu nie jest szczególnie dostrzegany. A jeśli już, to kojarzony jest przede wszystkim z przedsiębiorstwami kwalifikowanymi jako średni i duzi przedsiębiorcy oraz z naturalnymi adresatami obowiązków z zakresu cyberbezpieczeństwa, działającymi w zakresie tzw. infrastruktury i usług krytycznych.

Tymczasem, zgodnie z art. 5 ust. 1 pkt 3) KSC, podmiotem kluczowym jest również przedsiębiorca, który:

• Spełnia kryteria przynajmniej małego przedsiębiorstwa, tj.: zatrudnia przynajmniej 10 pracowników i osiąga roczny obrót w wysokości 2 milionów euro (lub tyle wynosi roczna suma bilansowa).
• Jest dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa.

I o ile kryterium małego przedsiębiorcy jest dość czytelne, to już kwalifikacja firmy jako dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa może rodzić pytania i budzić wątpliwości. Dlatego, moim zdaniem, każda firma IT przekraczająca progi małego przedsiębiorcy powinna ze szczególną uwagą przeanalizować, czy charakter jej działalności i rodzaj świadczonych usług nie przesądza o objęciu jej pełnym reżimem KSC jako podmiotu kluczowego.

Usługi zarządzane w zakresie cyberbezpieczeństwa – co to właściwie znaczy?

Zgodnie z definicją z art. 2 pkt 4j) KSC, dostawca usług zarządzanych w zakresie cyberbezpieczeństwa to podmiot, który świadczy usługi polegające na realizacji lub wsparciu dla realizacji działań związanych z zarządzaniem ryzykiem w cyberbezpieczeństwie, w tym świadczy obsługę incydentów, testów bezpieczeństwa, audytów systemów informacyjnych, doradztwo w powyższym zakresie.

Sięgając dalej, m.in. do raportów Agencji UE ds. Cyberbezpieczeństwa (ENISA) oraz uzasadnienia projektu ustawy nowelizującej KSC i wdrażającej Dyrektywę NIS 2, czytamy, że usługi zarządzane w zakresie cyberbezpieczeństwa to również m.in.:

W obszarze rozwiązań bezpieczeństwa i usług technicznych:

• zarządzanie tożsamością i dostępem, w tym zarządzanie uprawnieniami,
• zarządzanie bezpieczeństwem danych, w tym zapobieganie utracie danych, zarządzanie tworzeniem kopii zapasowych i zarządzanie ciągłością działania,
• zarządzanie bezpieczeństwem urządzeń końcowych (endpoint),
• bezpieczeństwo infrastruktury, w tym systemy wykrywania włamań,
• systemy zapobiegania włamaniom, zapory sieciowe i bezpieczeństwo usług dostępowych,
• zarządzanie wykrywaniem incydentów i reagowaniem na incydenty,
• usługi oceny technicznej, w tym skanowanie podatności i testy penetracyjne,
• usługi zarządzania zagrożeniami,
• zarządzanie bezpieczeństwem chmury.

W obszarze usług doradczych:

• ocena zgodności,
• audyt i raportowanie,
• zarządzanie ryzykiem,
• opracowywanie symulacji lub ćwiczeń, w tym tworzenie, testowanie i ulepszanie działań w zakresie wykrywania incydentów i reagowania,
• realizacja wdrożeń.

W obszarze usług szkoleniowych:

• prowadzenie symulacji lub ćwiczeń,
• podnoszenie świadomości pracowników.

Konkluzja

W zakres usług zarządzany w zakresie cyberbezpieczeństwa powinniśmy zaliczać również takie usługi IT jak m.in: zarządzanie uprawnieniami, aktywne administrowanie oprogramowaniem antywirusowym, wdrażanie polityki bezpieczeństwa, reagowanie na alerty, bieżąca ocena zagrożeń phishingowych. 

A to już są obszary działania i aktywności realizowane niejednokrotnie w ramach tzw. stałej obsługi IT, która co do zasady nie jest kojarzona z usługami zarządzenia cyberbezpieczeństwem.

Konsekwencje

Dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa będący przynajmniej małym przedsiębiorca jest podmiotem kluczowym w rozumieniu Dyrektywy NIS 2. Oznacza to podleganie w zasadzie wszystkim obowiązkom KSC, w tym przede wszystkim obowiązkowi samoidentyfikacji (ryzyko po stronie przedsiębiorcy) spełniania przesłanki kwalifikacji jako podmiot kluczowy, a w ślad za tym:

• obowiązkowi dokonania rejestracji w Wykazie podmiotów kluczowych i podmiotów ważnych w terminie do 3 października 2026 r.,
• obowiązkowi opracowania i wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) w terminie do 3 kwietnia 2027 r.

Trzeba przy tym pamiętać, że wdrożenie NIS 2 nie sprowadza się do opracowania dokumentacji czy wyboru odpowiedniego narzędzia informatycznego. Jest to kompleksowa zmiana sposobu myślenia o cyberbezpieczeństwie, poprzez położenie nacisku na zapewnienie faktycznej zdolności organizacji do reagowania na incydenty i do utrzymania ciągłości działania.

Co dostawcy usług IT powinni zrobić już teraz?

Na pewno warto działać już teraz. Moim zdaniem każdy dostawca usług IT, jeżeli jednocześnie zatrudnia 10 lub więcej pracowników i osiąga roczny obrót lub roczną sumę bilansową powyżej 2 milionów euro, powinien jak najszybciej przeprowadzić ocenę pod kątem objęcia nową regulacją. Opracowanie i wdrożenie kompletnego SZBI są to bowiem miesiące pracy, z czego najważniejsza część, czyli identyfikacja luk bezpieczeństwa wymaga wielu szczegółowych analiz.

Tym bardziej, że dostawcy usług IT tak czy inaczej mogą zostać objęci obowiązkami NIS 2 jako dostawcy lub podwykonawcy jednej z dziesiątek tysięcy firm i instytucji będących podmiotami kluczowymi lub podmiotami ważnymi. Wdrożenie obowiązków regulacyjnych przez te podmioty będzie bowiem w naturalny sposób oddziaływać również na ich kontrahentów, w tym w obszarze audytów czy okresowych ocen bezpieczeństwa. A w takim wypadku docelowo i tak konieczne będzie każdorazowo dostosowanie się do wymogów bezpieczeństwa wynikających z oceny ryzyka przeprowadzanej przez podmioty bezpośrednio objęte Dyrektywą NIS 2.

O obowiązkach w zakresie zapewnienia bezpieczeństwa i ciągłości łańcucha dostaw pisaliśmy tutaj, a o tym co to jest NIS 2, od kiedy NIS 2 obowiązuje i jakie firmy podlegają i muszą się dostosować do NIS 2 pisaliśmy ogólnie tutaj.