Tematyka dyrektywy NIS2* oraz związanych z nią przepisów ustawy o krajowym systemie cyberbezpieczeństwa jest obecnie bardzo popularny. Wszystko przez to, że do października 2024 r. Polska powinna dostosować prawo krajowe do wymogów NIS2.
O tym co wynika z dyrektywy mogłeś/mogłaś już spotkać się na moim blogu w ramach następujących wpisów:
Dyrektywa NIS2 - nowe przepisy związane z cyberbezpieczeństwem - tu znajdują się ogólne informacje dotyczące tego co wynika z NIS2 i kto musi przestrzegać tych regulacji,
NIS2 w firmie produkcyjnej - tu jest wpis dotyczący tego jak dyrektywa wpływa na działalność podmiotów z branży produkcyjnej,
CSIRT, czyli zespoły reagowania na incydenty - co to jest i czym się zajmują - tu jest wpis mówiący o tym jakie CSIRTy są w Polsce i jakie mają kompetencje.
W dzisiejszym artykule skupimy się przede wszystkim na ustaleniu, kogo dyrektywa dotyczy i kim są podmioty kluczowe i ważne.
Wielkość przedsiębiorstwa a stosowanie NIS2
Podstawowa zasada jest taka, że dyrektywa NIS2 znajduje zastosowanie do podmiotów, które kwalifikują się co najmniej jako średnie przedsiębiorstwa, czyli:
zatrudniają co najmniej 50 osób i
osiągają roczny obrót przekraczający 10 mln euro (lub ich roczna suma bilansowa przekracza 10 mln euro),
i świadczą usługi lub prowadzą działalność w Unii Europejskiej.
Innymi słowy, mikro i małe przedsiębiorstwa generalnie nie będą podlegały wymogom dyrektywy NIS2 (z wyjątkiem sytuacji, o której piszę poniżej).
Jest od tego jednak wyjątek - dyrektywa dotyczy podmiotów, którym nadano charakter podmiotów krytycznych oraz tych, które świadczą usługi rejestracji nazw domen, bez względu na wielkość.
Podmioty ważne i kluczowe w dyrektywie NIS2
NIS2 wprowadza rozróżnienie na sektory kluczowe i ważne. W ramach tych sektorów działać mogą podmioty kluczowe i podmioty ważne - czyli organizacje, które muszą przestrzegać przepisów dyrektywy NIS2. Podział na podmioty ważne i kluczowe determinuje rodzaj odpowiedzialności i wysokość ewentualnych kar w razie stwierdzenia naruszeń.
Wydawałoby się, że skoro podmiot działa w sektorze kluczowym, to powinien być podmiotem kluczowym.
Ale to nie do końca prawda.
To, że działamy w sektorze kluczowym nie oznacza, że jesteśmy automatycznie podmiotem kluczowym. Tu bowiem trzeba wziąć pod uwagę też to jaka jest wielkość naszego przedsiębiorstwa.
Podział na podmioty ważne i kluczowe w dyrektywie NIS2 przedstawia się następująco:
Podmiot, który działa w sektorze kluczowym i nie jest małym/mikro/średnim przedsiębiorcą (tylko dużym), tj. ma powyżej 250 pracowników lub jego obroty są większe niż 50 milionów euro (ew. wartość aktywów jest większa niż 43 miliony Euro), jest podmiotem kluczowym,
Podmiot, który działa w sektorze kluczowym i jest średnim przedsiębiorcą, tj. ma pomiędzy 50 a 250 pracowników, albo jego obroty mieszczą się w widełkach pomiędzy 10 milionów Euro a 50 milionów Euro (ew. wartość aktywów jest pomiędzy 10 milionów Euro a 43 miliony Euro), jest podmiotem ważnym,
Podmiot, który działa w sektorze ważnym i jest średnim albo dużym przedsiębiorcą jest podmiotem ważnym – niezależnie od wielkości.
Innymi słowy, można działać w sektorze kluczowym i być "tylko" podmiotem ważnym - wystarczy posiadać status średniego przedsiębiorcy.
Uwaga - ten podział wynika bezpośrednio z dyrektywy NIS2. Przepisy ustawy o krajowym systemie cyberbezpieczeństwa mogą go jeszcze zmodyfikować - musimy poczekać na ostateczny tekst ustawy.
Sektory kluczowe i sektory ważne
Dyrektywa NIS2 wskazuje na sektory gospodarki, które są szczególnie istotne z punktu widzenia bezpieczeństwa IT - czyli właśnie sektory kluczowe i sektory ważne. Innymi słowy, jeżeli działamy w jednym z tych sektorów i spełniamy wymogi dot. wielkości, wskazane powyżej, musimy stosować wymogi wynikające z dyrektywy NIS2.
Do sektorów kluczowych zalicza się:
energetyka - produkcja, dystrybucja oraz przesył energii elektrycznej, operatorzy systemów ciepłowniczych lub chłodniczych, rafinerie i operatorzy zajmujący się przesyłem ropy naftowej, przedsiębiorcy zajmujący się dostarczaniem lub przesyłem gazu oraz przedsiębiorcy zajmujący się produkcją oraz przesyłem wodoru,
transport lotniczy - przewoźnicy lotniczy, kontrola ruchu lotniczego oraz zarządzający portami lotniczymi,
transport kolejowy - przedsiębiorstwa kolejowe i zarządcy infrastruktury kolejowej
transport wodny - armatorzy albo podmioty zarządzające portami,
transport drogowy - organy administracji drogowej odpowiedzialne za zarządzanie ruchem drogowym oraz operatorzy inteligentnych systemów transportowych,
bankowość - instytucje kredytowe,
infrastruktura rynków finansowych - operatorzy systemów obrotu (np. giełd),
opieka zdrowotna - np. podmioty odpowiedzialne za świadczenie usług zdrowotnych (świadczeniodawcy), niektóre laboratoria, podmioty produkujące leki,
woda pitna - dostawcy i dystrybutorzy wody przeznaczonej do spożycia przez ludzi,
ścieki - przedsiębiorstwa odprowadzające ścieki
infrastruktura cyfrowa - to rozbudowana kategoria, w skład której wchodzą np. dostawcy usług chmurowych, dostawcy punktu wymiany ruchu internetowego, dostawcy usług ośrodka przetwarzania danych, dostawcy usług łączności elektronicznej, które są publicznie dostępne, dostawcy publicznych sieci łączności elektronicznej,
zarządzanie usługami ICT - to dotyczy dostawców usług zarządzanych (czyli np. zarządzania systemami IT klienta), w tym w zakresie bezpieczeństwa - zwracam uwagę na ten punkt, bo on brzmi niewinnie, ale w praktyce może dotyczyć całego szeregu organizacji, które świadczą usługi związane z bieżącym utrzymaniem oprogramowania, serwerów itp. Jeżeli software house świadczy usługi wsparcia we wdrożeniu i utrzymaniu oprogramowania, to też jest podmiotem, który "zarządza usługami ICT",
podmioty administracji publicznej - na szczeblu centralnym i regionalnym,
przestrzeń kosmiczna - podmioty publiczne i prywatne, które zarządzają infrastrukturą naziemną służącą do badania kosmosu albo wspierają świadczenie usług kosmicznych.
Podkreślenia wymaga, że dane państwo członkowskie może wskazać, że podmiotem kluczowym jest również podmiot innego rodzaju - jeżeli tylko ma on istotne znaczenie z punktu widzenia bezpieczeństwa informatycznego państwa lub zapewnia istotne społecznie usługi (i korzysta w tym celu z systemów IT).
Z kolei w ramach sektorów ważnych uwzględniono:
usługi pocztowe i kurierskie,
gospodarowanie odpadami,
produkcję, wytwarzanie i dystrybucję chemikaliów,
produkcję, przetwarzanie i dystrybucję żywności,
produkcję wyrobów medycznych, w tym wyrobów medycznych do diagnostyki in vitro,
produkcję komputerów, wyrobów elektronicznych i optycznych,
produkcję urządzeń elektrycznych,
produkcję maszyn i urządzeń, p
produkcję pojazdów samochodowych, przyczep i naczep,
produkcja pozostałego sprzętu transportowego),
dostawców usług cyfrowych - tak kategoria obejmuje dostawców internetowych platform handlowych (sklepów internetowych), wyszukiwarek internetowych oraz platform usług sieci społecznościowych,
organizacje badawcze prowadzące badania naukowe.
NIS2 przyjmuje zasadę „samookreślenia podmiotów” – co oznacza, że to dany podmiot będzie musiał samodzielnie ocenić, czy podlega dyrektywie i powinien stosować się do obowiązków, które z niej wynikają.
W związku z wejściem w życie dyrektywy NIS2 konieczne jest dostosowanie do niej polskich przepisów dotyczących cyberbezpieczeństwa, czyli ustawy o Krajowym Systemie Cyberbezpieczeństwa. Z pewnością również w polskiej ustawie znajdą się odpowiednie przepisy pozwalające ustalić, jakie podmioty powinny wdrożyć stosowne obowiązki w zakresie cyberbezpieczeństwa. Projekt znowelizowanej ustawy ma zostać przyjęty w III kwartale 2024 r.
Jak możesz zweryfikować, czy Twój biznes podlega pod NIS2? Przede wszystkim określ podstawy:
w jakiej branży działasz i czy należy ona do sektora kluczowego/ważnego,
ile zatrudniasz osób,
jaki obrót w ciągu roku generuje Twoja firma.
Polska ma czas na implementację NIS2 do 17 października 2024 r. W treści ustawy zostanie wskazany termin wejścia w życie nowych przepisów na poziomie krajowym. To oznacza, że podmioty działające w sektorach ważnych i kluczowych będą musiały dokonać wewnętrznej analizy i odpowiedniego dostosowanie procesów biznesowych do nowej rzeczywistości prawnej. Nie ma jednak przeszkód aby działania przygotowawcze w tym zakresie zacząć już teraz.
Jeżeli potrzebujesz wsparcia w ustaleniu, czy Twoja działalność podlega pod nowe przepisy i w dostosowaniu jej do nowych obowiązków, skontaktuj się z nami. Możesz to zrobić, wysyłając maila na adres kontakt@bytelaw.pl albo korzystając z formularza kontaktowego na www.bytelaw.pl.
*pełna nazwa dyrektywy NIS2 to dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. U. UE. L. z 2022 r. Nr 333, str. 80).
Comentarios