top of page
Zdjęcie autoraMichał Nosowski

Podmioty ważne i kluczowe w dyrektywie NIS2, czyli kogo dotyczą przepisy o cyberbezpieczeństwie

Zaktualizowano: 7 dni temu


osoba pracuje na laptopie w serwerowni

Tematyka dyrektywy NIS2* oraz związanych z nią przepisów ustawy o krajowym systemie cyberbezpieczeństwa jest obecnie bardzo popularny. Wszystko przez to, że do października 2024 r. Polska powinna dostosować prawo krajowe do wymogów NIS2.


O tym co wynika z dyrektywy mogłeś/mogłaś już spotkać się na moim blogu w ramach następujących wpisów:


W dzisiejszym artykule skupimy się przede wszystkim na ustaleniu, kogo dyrektywa dotyczy i kim są podmioty kluczowe i ważne.


Wielkość przedsiębiorstwa a stosowanie NIS2


Podstawowa zasada jest taka, że dyrektywa NIS2 znajduje zastosowanie do podmiotów, które kwalifikują się co najmniej jako średnie przedsiębiorstwa, czyli:

  • zatrudniają co najmniej 50 osób i

  • osiągają roczny obrót przekraczający 10 mln euro (lub ich roczna suma bilansowa przekracza 10 mln euro),

i świadczą usługi lub prowadzą działalność w Unii Europejskiej.


Innymi słowy, mikro i małe przedsiębiorstwa generalnie nie będą podlegały wymogom dyrektywy NIS2 (z wyjątkiem sytuacji, o której piszę poniżej).

 

Jest od tego jednak wyjątek - dyrektywa dotyczy podmiotów, którym nadano charakter podmiotów krytycznych oraz tych, które świadczą usługi rejestracji nazw domen, bez względu na wielkość.


Podmioty ważne i kluczowe w dyrektywie NIS2


NIS2 wprowadza rozróżnienie na sektory kluczowe i ważne. W ramach tych sektorów działać mogą podmioty kluczowe i podmioty ważne - czyli organizacje, które muszą przestrzegać przepisów dyrektywy NIS2. Podział na podmioty ważne i kluczowe determinuje rodzaj odpowiedzialności i wysokość ewentualnych kar w razie stwierdzenia naruszeń.


Wydawałoby się, że skoro podmiot działa w sektorze kluczowym, to powinien być podmiotem kluczowym.


Ale to nie do końca prawda.

To, że działamy w sektorze kluczowym nie oznacza, że jesteśmy automatycznie podmiotem kluczowym. Tu bowiem trzeba wziąć pod uwagę też to jaka jest wielkość naszego przedsiębiorstwa.

Podział na podmioty ważne i kluczowe w dyrektywie NIS2 przedstawia się następująco:

  • Podmiot, który działa w sektorze kluczowym i nie jest małym/mikro/średnim przedsiębiorcą (tylko dużym), tj. ma powyżej 250 pracowników lub jego obroty są większe niż 50 milionów euro  (ew. wartość aktywów jest większa niż 43 miliony Euro), jest podmiotem kluczowym,

  • Podmiot, który działa w sektorze kluczowym i jest średnim przedsiębiorcą, tj. ma pomiędzy 50 a 250 pracowników, albo jego obroty mieszczą się w widełkach pomiędzy 10 milionów Euro a 50 milionów Euro (ew. wartość aktywów jest pomiędzy 10 milionów Euro a  43 miliony Euro), jest podmiotem ważnym,

  • Podmiot, który działa w sektorze ważnym i jest średnim albo dużym przedsiębiorcą jest podmiotem ważnym  – niezależnie od wielkości.


Innymi słowy, można działać w sektorze kluczowym i być "tylko" podmiotem ważnym - wystarczy posiadać status średniego przedsiębiorcy.


Uwaga - ten podział wynika bezpośrednio z dyrektywy NIS2. Przepisy ustawy o krajowym systemie cyberbezpieczeństwa mogą go jeszcze zmodyfikować - musimy poczekać na ostateczny tekst ustawy.



infografika dot. podmiotów ważnych i kluczowych

Sektory kluczowe i sektory ważne


Dyrektywa NIS2 wskazuje na sektory gospodarki, które są szczególnie istotne z punktu widzenia bezpieczeństwa IT - czyli właśnie sektory kluczowe i sektory ważne. Innymi słowy, jeżeli działamy w jednym z tych sektorów i spełniamy wymogi dot. wielkości, wskazane powyżej, musimy stosować wymogi wynikające z dyrektywy NIS2.


Do sektorów kluczowych zalicza się:

  • energetyka - produkcja, dystrybucja oraz przesył energii elektrycznej, operatorzy systemów ciepłowniczych lub chłodniczych, rafinerie i operatorzy zajmujący się przesyłem ropy naftowej, przedsiębiorcy zajmujący się dostarczaniem lub przesyłem gazu oraz przedsiębiorcy zajmujący się produkcją oraz przesyłem wodoru,

  • transport lotniczy - przewoźnicy lotniczy, kontrola ruchu lotniczego oraz zarządzający portami lotniczymi,

  • transport kolejowy - przedsiębiorstwa kolejowe i zarządcy infrastruktury kolejowej

  • transport wodny - armatorzy albo podmioty zarządzające portami,

  • transport drogowy - organy administracji drogowej odpowiedzialne za zarządzanie ruchem drogowym oraz operatorzy inteligentnych systemów transportowych,

  • bankowość - instytucje kredytowe,

  • infrastruktura rynków finansowych - operatorzy systemów obrotu (np. giełd),

  • opieka zdrowotna - np. podmioty odpowiedzialne za świadczenie usług zdrowotnych (świadczeniodawcy), niektóre laboratoria, podmioty produkujące leki,

  • woda pitna - dostawcy i dystrybutorzy wody przeznaczonej do spożycia przez ludzi,

  • ścieki - przedsiębiorstwa odprowadzające ścieki

  • infrastruktura cyfrowa - to rozbudowana kategoria, w skład której wchodzą np. dostawcy usług chmurowych, dostawcy punktu wymiany ruchu internetowego, dostawcy usług ośrodka przetwarzania danych, dostawcy usług łączności elektronicznej, które są publicznie dostępne, dostawcy publicznych sieci łączności elektronicznej,

  • zarządzanie usługami ICT - to dotyczy dostawców usług zarządzanych (czyli np. zarządzania systemami IT klienta), w tym w zakresie bezpieczeństwa - zwracam uwagę na ten punkt, bo on brzmi niewinnie, ale w praktyce może dotyczyć całego szeregu organizacji, które świadczą usługi związane z bieżącym utrzymaniem oprogramowania, serwerów itp. Jeżeli software house świadczy usługi wsparcia we wdrożeniu i utrzymaniu oprogramowania, to też jest podmiotem, który "zarządza usługami ICT",

  • podmioty administracji publicznej - na szczeblu centralnym i regionalnym,

  • przestrzeń kosmiczna - podmioty publiczne i prywatne, które zarządzają infrastrukturą naziemną służącą do badania kosmosu albo wspierają świadczenie usług kosmicznych.

 

Podkreślenia wymaga, że dane państwo członkowskie może wskazać, że podmiotem kluczowym jest również podmiot innego rodzaju - jeżeli tylko ma on istotne znaczenie z punktu widzenia bezpieczeństwa informatycznego państwa lub zapewnia istotne społecznie usługi (i korzysta w tym celu z systemów IT).

 

Z kolei w ramach sektorów ważnych uwzględniono:

  • usługi pocztowe i kurierskie,

  • gospodarowanie odpadami,

  • produkcję, wytwarzanie i dystrybucję chemikaliów,

  • produkcję, przetwarzanie i dystrybucję żywności,

  • produkcję wyrobów medycznych, w tym wyrobów medycznych do diagnostyki in vitro,

  • produkcję komputerów, wyrobów elektronicznych i optycznych,

  • produkcję urządzeń elektrycznych,

  • produkcję maszyn i urządzeń, p

  • produkcję pojazdów samochodowych, przyczep i naczep,

  • produkcja pozostałego sprzętu transportowego),

  • dostawców usług cyfrowych - tak kategoria obejmuje dostawców internetowych platform handlowych (sklepów internetowych), wyszukiwarek internetowych oraz platform usług sieci społecznościowych,

  • organizacje badawcze prowadzące badania naukowe.

 

NIS2 przyjmuje zasadę „samookreślenia podmiotów” – co oznacza, że to dany podmiot będzie musiał samodzielnie ocenić, czy podlega dyrektywie i powinien stosować się do obowiązków, które z niej wynikają.


kable w serwerowni


W związku z wejściem w życie dyrektywy NIS2 konieczne jest dostosowanie do niej polskich przepisów dotyczących cyberbezpieczeństwa, czyli ustawy o Krajowym Systemie Cyberbezpieczeństwa. Z pewnością również w polskiej ustawie znajdą się odpowiednie przepisy pozwalające ustalić, jakie podmioty powinny wdrożyć stosowne obowiązki w zakresie cyberbezpieczeństwa. Projekt znowelizowanej ustawy ma zostać przyjęty w III kwartale 2024 r.

 

Jak możesz zweryfikować, czy Twój biznes podlega pod NIS2? Przede wszystkim określ podstawy:

  • w jakiej branży działasz i czy należy ona do sektora kluczowego/ważnego,

  • ile zatrudniasz osób,

  • jaki obrót w ciągu roku generuje Twoja firma.


Polska ma czas na implementację NIS2 do 17 października 2024 r. W treści ustawy zostanie wskazany termin wejścia w życie nowych przepisów na poziomie krajowym. To oznacza, że podmioty działające w sektorach ważnych i kluczowych będą musiały dokonać wewnętrznej analizy i odpowiedniego dostosowanie procesów biznesowych do nowej rzeczywistości prawnej. Nie ma jednak przeszkód aby działania przygotowawcze w tym zakresie zacząć już teraz.


Jeżeli potrzebujesz wsparcia w ustaleniu, czy Twoja działalność podlega pod nowe przepisy i w dostosowaniu jej do nowych obowiązków, skontaktuj się z nami. Możesz to zrobić, wysyłając maila na adres kontakt@bytelaw.pl albo korzystając z formularza kontaktowego na www.bytelaw.pl.




*pełna nazwa dyrektywy NIS2 to dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. U. UE. L. z 2022 r. Nr 333, str. 80).


 

 

 

 

 

 

 

Comentarios


Image by Scott Rodgerson

Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

michał nosowski

O Autorze:

Nazywam się Michał Nosowski i jestem radcą prawnym specjalizującym się w prawie nowych technologii. Stworzyłem tego bloga po to aby dzielić się swoją pasją - czyli badaniem styku świata IT oraz prawa.

 

W ramach kancelarii ByteLaw, której jestem współzałożycielem, pomagam głównie startupom, software house'om, freelancerom i ludziom zajmującym się marketingiem internetowym. Jeśli chcesz dowiedzieć się więcej, zapraszam do odwiedzenia strony Kancelarii.

O czym piszę najczęściej?  RODO | Umowy IT | Prawo autorskie | Prawo nowych technologii.

Zachęcam do obserwowania moich profili w mediach społecznościowych:

  • Facebook
  • LinkedIn
  • YouTube
Masz jakieś pytania? Możesz się ze mną skontaktować przez poniższy formularz

Wiadomość przesłana! Dziękuję :)

bottom of page