- Email: biuro@kicb.pl
- Rondo Organizacji Narodów Zjednoczonych 1, 00-124 Warszawa
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa 2025 (KSC), której celem jest pełne wdrożenie dyrektywy NIS2, znajduje się obecnie na etapie prac sejmowych i została skierowana do pierwszego czytania. Dyrektywa NIS2 dzieli organizacje na podmioty kluczowe oraz ważne. Jeśli firma jednoznacznie spełnia określone kryteria, sytuacja jest stosunkowo prosta – należy podjąć działania dostosowawcze. Wyzwaniem są jednak przypadki, w których organizacja formalnie nie spełnia kryteriów, a mimo to może zostać uznana za podmiot „kluczowy” lub „ważny”. Dlatego przedsiębiorcy już teraz powinni przygotować się do procesu samoidentyfikacji – to właśnie on pozwoli określić, czy dany podmiot znajdzie się w zakresie NIS2 oraz jaki status zostanie mu przypisany. Postaramy się choć nieco w tym pomóc.
Sprawdź, czy podlegasz pod KSC i NIS2 – wypełnij ankietę
Zgodnie z założeniami dyrektywy, większość średnich i dużych przedsiębiorstw działających w 18 sektorach regulowanych zostaje automatycznie zakwalifikowana jako podmioty objęte NIS2. Jednakże dyrektywa przewiduje również szereg wyjątków, które sprawiają, że również mniejsze organizacje mogą zostać uznane za podmioty kluczowe lub ważne – poprzez decyzję właściwego organu ds. cyberbezpieczeństwa. Dlatego przedsiębiorstwa muszą świadomie przeanalizować swoją działalność i ocenić potencjalne obowiązki wynikające z regulacji.
Samoidentyfikacja powinna rozpocząć się przede wszystkim od analizy świadczonych usług oraz określenia wielkości przedsiębiorstwa.
Zakres działalności został szczegółowo określony w załącznikach do ustawy KSC – to one definiują sektory i podsektory podlegające regulacji. Podział na sektory kluczowe oraz ważne prezentujemy w załączonych pdf-ach.
W przypadku kryterium związanego z wielkością przedsiębiorstwa przyjmuje się, że organizacja podlega NIS2, jeśli:
– zatrudnia co najmniej 50 pracowników oraz
– generuje obrót lub sumę bilansową powyżej 10 mln EUR,
– a przy tym świadczy usługę wskazaną w załącznikach do ustawy.
Definicje dotyczące wielkości przedsiębiorstwa są określone w ustawie Prawo przedsiębiorców. Ponadto, Komisja Europejska przygotowała „Poradnik dla użytkowników dotyczący definicji MŚP”, który pozwoli zrozumieć kryteria oraz dokonać wstępnej analizy.
Dyrektywa wskazuje kilka kategorii usług, które automatycznie kwalifikują podmiot jako objęty przepisami, bez względu na liczbę pracowników czy wielkość obrotu. Każdy podmiot świadczący tego typu usługi staje się częścią NIS2 niezależnie od wielkości przedsiębiorstwa.
Należą do nich m.in.:
– dostawcy usług TLD,
– dostawcy DNS,
– kwalifikowani dostawcy usług zaufania,
– dostawcy publicznych sieci i usług łączności elektronicznej.
Na podstawie art. 7l KSC, organ właściwy ds. cyberbezpieczeństwa może uznać organizację za podmiot kluczowy lub ważny, mimo że ta formalnie nie spełnia kryteriów NIS2. Takie działanie może nastąpić, gdy usługi świadczone przez podmiot:
– mają kluczowe znaczenie dla działalności społecznej lub gospodarczej,
– stwarzają ryzyko poważnego zagrożenia dla bezpieczeństwa państwa, porządku publicznego lub zdrowia,
– powodują ryzyko systemowe dla działalności innych podmiotów kluczowych/ważnych,
– mają duże znaczenie regionalne, krajowe lub międzysektorowe.
Decyzje te są natychmiast wykonalne, a podmiot ma 12 miesięcy na wdrożenie wymagań oraz 24 miesiące na przeprowadzenie pierwszego audytu cyberbezpieczeństwa.
Do kategorii podmiotów kluczowych należą m.in.:
– organizacje z załącznika nr 1 przewyższające wymogi średniego przedsiębiorstwa,
– przedsiębiorcy komunikacji elektronicznej od poziomu MŚP wzwyż,
– dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa (MŚP i większe),
– dostawcy DNS, usług zaufania, rejestry TLD, podmioty jądrowe, podmioty publiczne wskazane w załączniku nr 1.
Jeżeli podmiot spełnia warunki dla obu kategorii jednocześnie – z mocy ustawy staje się podmiotem kluczowym. Pełny wykaz sektorów dla podmiotów kluczowych – czytaj
Podmiot ważny to przede wszystkim:
– średnie przedsiębiorstwa z załącznika nr 1, które nie kwalifikują się jako kluczowe,
– organizacje z załącznika nr 2 o wielkości MŚP lub większej,
– mikro i mali przedsiębiorcy komunikacji elektronicznej,
– niekwalifikowani dostawcy usług zaufania (MŚP),
– inwestorzy infrastruktury jądrowej,
– instytucje samorządowe realizujące zadania publiczne z użyciem systemów informacyjnych.
Wykaz sektorów dla podmiotów ważnych – czytaj
W sektorze ochrony zdrowia:
Podmiot leczniczy, który nie jest przedsiębiorcą:
– jest podmiotem ważnym, jeżeli zatrudnia od 50 do 249 osób;
– jest podmiotem kluczowym, jeżeli zatrudnia co najmniej 250 osób.
Jeżeli status podmiotu kluczowego lub podmiotu ważnego zależy od wielkości podmiotu, to przesłanki uznania za podmiot kluczowy lub podmiot ważny bada się według stanu na dzień sporządzenia sprawozdania finansowego.
Z kategorii podmiotów kluczowych i ważnych wyłączono:
– służby specjalne,
– podmioty podległe lub nadzorowane przez Ministra Obrony Narodowej.
– MON samodzielnie i niejawnie wyznacza jednostki, które uznaje za podmioty kluczowe lub ważne.
Samoidentyfikacja w ramach NIS2 wymaga od organizacji dokładnej analizy świadczonych usług, prawidłowego ustalenia wielkości przedsiębiorstwa, uwzględnienia wyjątków przewidzianych w dyrektywie oraz przygotowania się na możliwość nadania statusu podmiotu kluczowego lub ważnego przez właściwy organ państwowy. Krajowy Instytut Cyberbezpieczeństwa wspiera organizacje w całym procesie samoidentyfikacji oraz przeprowadza audyt zgodności z NIS2 i KSC, pomagając zapewnić pełną gotowość do nadchodzących wymogów regulacyjnych.
Najnowsze komentarze