3 kwietnia weszła w życie nowelizacja ustawy o Krajowym systemie cyberbezpieczeństwa (KSC), implementująca tzw. Dyrektywę NIS 2. Nowa regulacja obejmie tysiące firm, a łącznie z podmiotami publicznymi niemal czterdzieści tysięcy podmiotów. Kogo z przedsiębiorców* obejmie zatem NIS 2?
Jakich firm dotyczy NIS 2?
Znowelizowane przepisy KSC wprowadzają dwa podstawowe kryteria kwalifikacji, tj. (1) wielkość przedsiębiorstwa oraz (2) prowadzenie działalności w określonych obszarach. Nie są one jednak jedyne. Dlatego, w dalszej części artykułu spróbujemy czytelnie i precyzyjnie opisać, kogo z przedsiębiorców obejmują nowe obowiązki w zakresie cyberbezpieczeństwa.
Dyrektywa NIS 2 i KSC kwalifikują wszystkie podmioty podlegające ich regulacjom do jednej z dwóch grup: podmiotów kluczowych albo podmiotów ważnych. Każdy przedsiębiorca podlegający obowiązkom NIS 2 będzie mieć zatem:
albo status podmiotu kluczowego,
albo status podmiotu ważnego.
Podmiotami kluczowymi są:
Niezależnie od wielkości przedsiębiorstwa:
kwalifikowany dostawca usług zaufania,
podmiot świadczący usługi rejestracji nazw domen,
dostawca usług DNS, tj. podmiot świadczący dostępne publicznie rekurencyjne usługi rozpoznawania nazw domen na rzecz ogółu użytkowników końcowych Internetu lub autorytatywne usługi rozpoznawania nazw domen do użytku ogółu użytkowników końcowych Internetu (z wyjątkiem głównych serwerów nazw),
rejestr nazw domen najwyższego poziomu (TLD), tj. podmiot, któremu powierzono konkretną domenę najwyższego poziomu i który odpowiada za zarządzanie nią oraz za jej techniczne funkcjonowanie,
podmiot będący operatorem obiektu energetyki jądrowej.
Ponadto, następujące podmioty:
dostawca usług zarządzanych w zakresie cyberbezpieczeństwa, będący przynajmniej małym przedsiębiorcą (bardziej szczegółowo pisaliśmy o tym tutaj)
przedsiębiorca komunikacji elektronicznej, będący przynajmniej średnim przedsiębiorcą,
podmiot prowadzący działalność w określonych poniżej sektorach kluczowych, będący dużym przedsiębiorcą.
Sektory kluczowe:**
Sektor energetyki obejmujący:
Podmioty prowadzące koncesjonowaną działalność w zakresie:
wydobywania gazu, ropy naftowej, węgla brunatnego, węgla kamiennego i pozostałych kopalin,
wytwarzania, przesyłania, dystrybucji i obrotu energią elektryczną,
wytwarzania, przesyłania, dystrybucji i obrotu ciepłem,
wytwarzania paliw ciekłych, przesyłania paliw ciekłych siecią rurociągów, magazynowania paliw ciekłych, przeładunku paliw ciekłych, obrotu paliwami ciekłymi,
przesyłania paliw gazowych, obrotu paliwami gazowymi.
Podmioty prowadzące działalność w zakresie:
przesyłania ropy naftowej, magazynowania ropy naftowej, przeładunku ropy naftowej lub wytwarzania paliw syntetycznych,
wytwarzania paliw gazowych lub rafinacji i przetwarzania gazu ziemnego,
wytwarzania, przesyłania, magazynowania lub dystrybucji wodoru.
Ponadto, następujące podmioty:
wyznaczonych operatorów rynku energii elektrycznej,
wyznaczonych operatorów systemów przesyłowego gazowego, dystrybucyjnego gazowego, magazynowania paliw gazowych, skraplania gazu ziemnego,
podmioty odpowiedzialne za zarządzanie punktem ładowania i jego obsługę, świadczące usługę ładowania na rzecz użytkowników końcowych,
podmioty świadczące usługę agregacji mocy lub energii elektrycznej, usługę w zakresie odpowiedzi odbioru w odniesieniu do rynku energii elektrycznej, usługę magazynowania energii elektrycznej lub magazynowania energii.
Sektor transportu obejmujący:
Przewoźników lotniczych, podmioty zarządzające lotniskiem, podmioty obsługi naziemnej, zarejestrowanych agentów ładunku i poczty wykonujących zadania związane z kontrolą bezpieczeństwa.
Zarządców infrastruktury kolejowej, przewoźników kolejowych.
Armatorów w transporcie morskim pasażerów i towarów, armatorów żeglugi śródlądowej, podmioty zarządzające portem morskim, podmioty zarządzające obiektem portowym, podmioty prowadzące na terenie portu działalność wspomagającą transport morski (klasa 52.22 klasyfikacji NACE Rev. 2).
Podmioty świadczące usługę ITS w transporcie drogowym.
Sektor finansowy obejmujący:
Banki krajowe, oddziały banków zagranicznych, instytucje kredytowe, SKOK-i, izby rozliczeniowe.
Podmioty prowadzące rynek regulowany, podmioty prowadzące alternatywny system obrotu, podmioty prowadzące zorganizowaną platformę obrotu (OTF), podmioty CCP, Krajowy Depozyt Papierów Wartościowych i zależne spółki akcyjne, administratorów kluczowych wskaźników referencyjnych.
Sektor ochrony zdrowia obejmujący:
Podmioty lecznicze, podwykonawców świadczeń opieki zdrowotnej dla podmiotów kluczowych lub podmiotów ważnych, laboratoria referencyjne UE.
Podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych, podmioty produkujące podstawowe substancje farmaceutyczne oraz leki i pozostałe wyroby farmaceutyczne (dział 21 klasyfikacji NACE Rev. 2), podmioty produkujące wyroby medyczne uznane za krytyczne podczas danego stanu zagrożenia zdrowia publicznego.
Podmioty, które uzyskały pozwolenie na dopuszczenie do obrotu produktu leczniczego, wytwórcy i importerzy produktu leczniczego lub substancji czynnej, importerzy równolegli, dystrybutorzy substancji czynnej, podmioty prowadzące hurtownię farmaceutyczną lub aptekę ogólnodostępną.
Sektor wod.- kan. obejmujący:
Podmioty dostarczające wodę przeznaczoną do spożycia przez ludzi.
Podmioty odprowadzające lub oczyszczające ścieki.
Sektor cyfrowy obejmujący:
Dostawców punktu wymiany ruchu internetowego, dostawców chmury obliczeniowej, dostawców usług centrum przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zaufania, dostawców usług zarządzanych.
Sektor przestrzeni kosmicznej obejmujący:
Operatorów infrastruktury naziemnej, którzy wspierają świadczenie usług kosmicznych.
Podmiotami ważnymi są:
Podmiot będący inwestorem obiektu energetyki jądrowej, który uzyskał tzw. decyzję zasadniczą, niezależnie od wielkości przedsiębiorstwa.
Przedsiębiorca komunikacji elektronicznej, będący mikro- lub małym przedsiębiorcą.
Niekwalifikowany dostawca usług zaufania, będący mikro-, małym lub średnim przedsiębiorcą.
Podmiot prowadzący działalność w określonych wyżej sektorach kluczowych, będący średnim przedsiębiorcą.
Podmiot prowadzący działalność w określonych poniżej sektorach ważnych, będący średnim lub dużym przedsiębiorcą.
Sektory ważne:***
Sektor usług pocztowych obejmujący:
Operatorów pocztowych.
Sektor gospodarowania odpadami obejmujący:
Podmioty świadczące, na podstawie wpisu w rejestrze, usługi polegające na zbieraniu, transporcie lub przetwarzaniu odpadów, nadzorze nad przetwarzaniem odpadów, postępowaniu z miejscami unieszkodliwiania odpadów.
Podmioty działające, na podstawie wpisu w rejestrze, w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami.
Sektor chemiczny obejmujący:
Podmioty zajmujące się produkcją substancji lub dystrybucją substancji lub mieszanin.
Podmioty zajmujące się wytwarzaniem wyrobów z substancji lub mieszanin.
Sektor żywności obejmujący:
Przedsiębiorstwa spożywcze zajmujące się dystrybucją hurtową żywności oraz produkcją przemysłową i przetwarzaniem przemysłowym żywności.
Sektor cyfrowy obejmujący:
Dostawców internetowej platformy handlowej, dostawców wyszukiwarki internetowej, dostawców platformy sieci usług społecznościowych.
Sektor produkcji obejmujący:
Producentów wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro.
Producentów komputerów, wyrobów elektronicznych, wyrobów optycznych i każdego innego wyrobu mieszczącego się w dziale 26 klasyfikacji NACE Rev. 2.
Producentów urządzeń elektrycznych i każdego innego wyrobu mieszczącego się w dziale 27 klasyfikacji NACE Rev. 2, w tym m.in. baterii, akumulatorów, sprzętu oświetleniowego, sprzętu AGD.
Producentów niesklasyfikowanych gdzie indziej maszyn, urządzeń i każdego innego wyrobu mieszczącego się w dziale 28 klasyfikacji NACE Rev. 2.
Producentów pojazdów samochodowych, przyczep, naczep i każdego innego wyrobu mieszczącego się w dziale 29 klasyfikacji NACE Rev. 2, w tym m.in. części i akcesoriów samochodowych.
Producentów sprzętu transportowego i każdego innego wyrobu mieszczącego się w dziale 30 klasyfikacji NACE Rev. 2, w tym m.in. rowerów, motocykli, łodzi.
Mikro, mały i średni przedsiębiorca
W związku z wprowadzoną przez KSC przesłanką wielkości przedsiębiorstwa jako jednego z kryteriów przynależności do grupy podmiotów kluczowych lub podmiotów ważnych, przypomnieć trzeba definicje mikro, małego i średniego przedsiębiorstwa w rozumieniu przywoływanego przez KSC Rozporządzenia Komisji (UE) nr 651/2014. I tak:
Mikroprzedsiębiorstwo zatrudnia mniej niż 10 pracowników, a jego roczny obrót lub roczna suma bilansowa nie przekracza 2 milionów euro.
Małe przedsiębiorstwo zatrudnia mniej niż 50 pracowników, a jego roczny obrót lub roczna suma bilansowa nie przekracza 10 milionów euro.
Średnie przedsiębiorstwo zatrudnia mniej niż 250 pracowników, a jego roczny obrót nie przekracza 50 milionów euro lub roczna suma bilansowa nie przekracza 43 milionów euro.
Przy czym, na potrzeby kwalifikacji danego podmiotu jako podmiotu kluczowego lub podmiotu ważnego wielkość podmiotu bada się według stanu na dzień sporządzenia sprawozdania finansowego.
Wyjątek dla podmiotów w grupach kapitałowych
Co ważne, w przypadku przedsiębiorstwa należącego do grupy kapitałowej, status mikro-, małego lub średniego przedsiębiorcy określa się agregując dane tego przedsiębiorstwa z danymi jego przedsiębiorstw partnerskich i przedsiębiorstw powiązanych należących do tej samej grupy kapitałowej.
Na uwagę zasługuje jednak przyjęty w KSC wyjątek dla podmiotów funkcjonujących w ramach grup kapitałowych, stanowiący, że jeżeli przedsiębiorca, który posiada status średniego lub dużego przedsiębiorstwa wyłącznie ze względu na agregację danych z danymi przedsiębiorstw partnerskich i powiązanych, nie będzie kwalifikowany jako podmiot kluczowy albo podmiot ważny, jeżeli przeprowadzi tzw. test niezależności. Bardziej szczegółowo opisaliśmy to tutaj.
Terytorium Polski
Podmioty spełniające kryteria podmiotu kluczowego lub podmiotu ważnego podlegają obowiązkom wynikającym z ustawy, jeżeli na terytorium Rzeczypospolitej Polskiej mają miejsce zamieszkania albo prowadzą działalność przez swoje siedziby, oddziały lub w ramach działalności transgranicznej. Ponadto, obowiązkom wynikającym z ustawy podlegają:
przedsiębiorca komunikacji elektronicznej, jeżeli świadczy usługi na terytorium Polski,
dostawca usług DNS, rejestr nazw domen najwyższego poziomu (TLD), podmiot świadczący usługi rejestracji nazw domen, dostawca chmury obliczeniowej, dostawca usługi centrum przetwarzania danych, dostawca sieci dostarczania treści, dostawca usług zarządzanych, dostawca usług zarządzanych w zakresie cyberbezpieczeństwa, dostawca internetowej platformy handlowej, dostawca wyszukiwarki internetowej oraz dostawca platformy usług sieci społecznościowych świadczący usługi na terytorium Rzeczypospolitej Polskiej, jeżeli Rzeczpospolita Polska jest ich głównym miejscem prowadzenia działalności.
Głównym miejscem prowadzenia działalności jest co do zasady to państwo Unii Europejskiej, w którym ma siedzibę kierownik danego podmiotu podejmujący decyzje w sprawie systemu zarządzania bezpieczeństwem informacji.
*Artykuł nie dotyczy podmiotów publicznych, państwowych osób prawnych, podmiotów leczniczych niebędących przedsiębiorcami ani podmiotów zakwalifikowanych jako podmiot kluczowy lub podmiot krytyczny na podstawie decyzji właściwych organów.
** Wyszczególnienie nie obejmuje działalności będącej podstawą do zakwalifikowania przedsiębiorcy jako podmiotu kluczowego lub ważnego niezależnie od statusu średniego lub dużego przedsiębiorcy.
*** Wyszczególnienie nie obejmuje działalności będącej podstawą do zakwalifikowania przedsiębiorcy jako podmiotu ważnego niezależnie od statusu średniego lub dużego przedsiębiorcy.
Zobacz także
