Ta strona używa cookies do celów analitycznych.
Polityka Prywatności i cookies.
Zaakceptuj
  • English version
  • українська версія
menu

01/08/2024

Kto powinien wdrożyć NIS2?

NIS2 wprowadza procedury, których stosowanie ma na celu zwiększenie poziomu cyberbezpieczeństwa. Projekt polskiej ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa, która ma wprowadzić regulacje dyrektywy do krajowego systemu prawnego niebawem powinien trafić pod obrady Sejmu. Jednakże wdrożenie odpowiednich procedur i środków przez przedsiębiorców wymaga odpowiedniego przygotowania. Zatem którzy przedsiębiorcy będą musieli stosować NIS2? Kogo zalicza się do podmiotów kluczowych, a kogo do podmiotów ważnych?

Dyrektywa NIS2 jest skierowana do przedsiębiorców i podmiotów publicznych, jeżeli:

  • kwalifikują się jako podmioty kluczowe lub podmioty ważne zgodnie z wymaganiami przewidzianymi przez ustawę o Krajowym Systemie Cyberbezpieczeństwa,
  • stanowią średnie przedsiębiorstwa (zatrudniają do 250 pracowników, obrót nie przekracza 50 mln EUR oraz całkowity bilans roczny wynosi nie więcej niż 43 mln EUR) lub które przekraczają pułapy dla średnich przedsiębiorstw
  • świadczą usługi lub prowadzą działalność w Unii Europejskiej.

W chwili obecnej wciąż trwają prace nad projektem nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, który  wdraża dyrektywę NIS2 w Polsce ( znajdziesz ją tu: https://mc.bip.gov.pl/projekty-aktow-prawnych-mc/902927_projekt-ustawy-o-zmianie-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-oraz-niektorych-innych-ustaw.html)

Podmiotami kluczowymi zgodnie z projektem ustawy są:

1. osoby fizyczne, osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej wykonujące działalność w sektorach uznanych za kluczowe lub ważne, które przewyższają wymogi dla średniego przedsiębiorstwa,

2. przedsiębiorcy komunikacji elektronicznej, którzy co najmniej spełniają wymogi dla średniego przedsiębiorcy,

3. niezależnie od wielkości podmiotu:

a) dostawcy usług DNS,

b) dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa,

c) kwalifikowani dostawcy usług zaufania,

d) podmioty krytyczne,

e) podmioty publiczne,

f)  podmioty zidentyfikowane jako podmioty kluczowe,

g) rejestr nazw domen najwyższego poziomu (TLD).

 

Natomiast do sektorów kluczowych zaliczono sektory z zakresu:

a) energii (w szczególności podsektory: wydobywania kopalin, energii elektrycznej, ciepła, ropy naftowa i paliw, gazu, dostaw i usług dla sektora energii, wodoru, a także jednostki nadzorowane i podległe ministrowi właściwemu ds. energii i gospodarki złożami kopalin),

b) transportu (w szczególności podsektory: transportu lotniczego, transportu kolejowego, transportu wodnego, transportu drogowego),

c) bankowości i infrastruktury rynków finansowych,

d) ochrony zdrowia,

e) zaopatrzenia w wodę pitną i jej dystrybucji,

f) ścieków,

g) infrastruktury cyfrowej (w szczególności podsektory: infrastruktury cyfrowej z wyłączeniem komunikacji elektronicznej, komunikacji elektronicznej),

h) zarządzania usługami ICT,

i) przestrzeni kosmicznej,

j) administracji publicznej,

k) produkcji, wytwarzania i dystrybucji chemikaliów,

l) produkcji, przetwarzania i dystrybucji żywności,

m) produkcji (w szczególności podsektory: produkcji wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, produkcji komputerów, wyrobów elektronicznych i optycznych, produkcji urządzeń elektrycznych, produkcji maszyn i urządzeń, gdzie indziej niesklasyfikowanych, produkcji pojazdów samochodowych, przyczep i naczep, produkcji pozostałego sprzętu transportowego).

 

Podmiotami ważnymi zgodnie z projektem ustawy są:

1)  osoby fizyczne, osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej, wykonujące działalność w sektorach uznanych za kluczowe lub ważne, która spełnia wymogi dla średniego przedsiębiorcy oraz która nie jest podmiotem kluczowym,

2) niekwalifikowanego dostawcę usług zaufania będącego mikro-, małym lub średnim przedsiębiorcą,

3) przedsiębiorcę komunikacji elektronicznej będącego mikro-, lub małym przedsiębiorcą,

4) podmiot zidentyfikowany jako podmiot ważny zgodnie z projektem ustawy.

 

Do sektorów ważnych zaliczono sektory z zakresu:

a) usług pocztowych,

b) gospodarowania odpadami (w szczególności podsektor: zbierania odpadów, transportu odpadów, przetwarzania opadów, w tym sortowanie, wraz z nadzorem nad wymienionymi działaniami, a także późniejsze postępowanie z miejscami unieszkodliwiania odpadów, działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami, dostawy i usługi dla sektora gospodarowania odpadami, zbierania odpadów, a także jednostki nadzorowane i podległe ministrowi właściwemu ds. klimatu),

c) dostawców usług cyfrowych (w szczególności: dostawcy internetowej platformy handlowej, dostawcy wyszukiwarki internetowej, dostawcy platformy sieci usług społecznościowych),

d) badań naukowych.  

 Zgodnie z projektem ustawy wdrażającej NIS2, przedsiębiorcy będący podmiotem kluczowym lub ważnym będą wpisywani do wykazu podmiotów kluczowych i podmiotów ważnych, prowadzonego przez ministerstwo.

Wpis będzie dokonywany na wniosek przedsiębiorcy, który spełnia wymogi do uznania go za podmiot kluczowy lub ważny. Przedsiębiorca również będzie mógł zostać wpisany do wykazu przez organ właściwy do spraw cyberbezpieczeństwa, jeśli sam nie złożył stosownego wniosku.  

 

Należy podkreślić, że polska ustawa wdrażająca NIS2 nie została jeszcze uchwalona, a założenia obecnego projektu ustawy mogą ulec pewnym zmianom.

Natomiast trzeba pamiętać, aby już teraz warto przeprowadzić analizę czy konkretny podmiot jest zobowiązany do stosowania NIS2, aby w razie pozytywnej weryfikacji - rozpocząć działania wdrażające nowe zasady dotyczące cyberbezpieczeństwa w swoim przedsiębiorstwie.

Jeżeli mają Państwo pytania lub wątpliwości dotyczące NIS2 zapraszamy Państwa do kontaktu z naszą Kancelarią.