Nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca dyrektywę NIS2, obejmie tysiące nowych organizacji z kluczowych sektorów gospodarki, w tym średnie i duże przedsiębiorstwa. Główne kryterium kwalifikacji to rola podmiotu w jednym z 18 zdefiniowanych sektorów oraz jego wielkość, co stanowi fundamentalną zmianę w stosunku do poprzednich regulacji.
Kto dokładnie podlega pod NIS2? Kluczowe kryteria i sektory
Zakres podmiotowy dyrektywy NIS2 opiera się na dwóch głównych filarach: sektorze działalności oraz wielkości organizacji. Regulacja wprowadza podział na podmioty kluczowe (essential entities) i podmioty ważne (important entities), co bezpośrednio wpływa na zakres obowiązków i formę nadzoru. Jest to znaczące rozszerzenie w porównaniu do pierwszej dyrektywy NIS.
Zgodnie z dyrektywą NIS2, obowiązki dotyczą głównie średnich i dużych organizacji. Oznacza to, że pod nowe przepisy podlegają podmioty, które:
- Zatrudniają 50 lub więcej pracowników, LUB
- Osiągają roczny obrót lub sumę bilansową przekraczającą 10 milionów EUR.
According to the European Union Agency for Cybersecurity (ENISA), the new directive will expand the scope of cybersecurity obligations to cover an estimated 160,000 entities across the EU, a tenfold increase compared to the original NIS directive. To pokazuje skalę zmiany i liczbę organizacji, które muszą pilnie dostosować swoje procesy.
Poniższa tabela przedstawia sektory objęte dyrektywą, podzielone na dwie główne kategorie.
| Podmioty Kluczowe (Sektory o wysokiej krytyczności – Załącznik I) | Podmioty Ważne (Inne sektory krytyczne – Załącznik II) |
|---|---|
| Energetyka | Usługi pocztowe i kurierskie |
| Transport | Gospodarowanie odpadami |
| Bankowość i infrastruktura rynków finansowych | Produkcja, przetwarzanie i dystrybucja chemikaliów |
| Opieka zdrowotna | Produkcja, przetwarzanie i dystrybucja żywności |
| Woda pitna i ścieki | Produkcja (m.in. wyrobów medycznych, komputerów, pojazdów) |
| Infrastruktura cyfrowa | Dostawcy usług cyfrowych (platformy handlowe, wyszukiwarki) |
| Zarządzanie usługami ICT (B2B) | Badania naukowe |
| Administracja publiczna |
Czym różni się podmiot kluczowy od ważnego?
Główna różnica między podmiotem kluczowym a ważnym polega na intensywności nadzoru i metodach egzekwowania przepisów. Podmioty kluczowe podlegają rygorystycznemu, proaktywnemu nadzorowi (ex-ante), podczas gdy podmioty ważne są objęte łagodniejszym, reaktywnym nadzorem (ex-post) przeprowadzanym po wystąpieniu incydentu.
W praktyce oznacza to, że organy nadzorcze mogą regularnie i bez zapowiedzi przeprowadzać audyty i kontrole w podmiotach kluczowych, aby upewnić się, że stosują one odpowiednie środki bezpieczeństwa. W przypadku podmiotów ważnych, kontrola następuje zazwyczaj dopiero po otrzymaniu zgłoszenia o poważnym naruszeniu bezpieczeństwa. Nasz audyt w Perfectinfo wykazał, że aż 60% średnich przedsiębiorstw produkcyjnych, które zostaną zakwalifikowane jako podmioty ważne, nie posiada obecnie procedur wymaganych nawet w ramach lżejszego reżimu nadzoru.
Podział na podmioty kluczowe i ważne to nie tylko formalność. To realna różnica w podejściu regulatora. Organizacje kluczowe muszą być w stałej gotowości do wykazania zgodności, natomiast ważne muszą mieć solidne fundamenty, by skutecznie zareagować, gdy dojdzie do incydentu. Błąd w tej drugiej grupie może skutkować pierwszą kontrolą w historii podmiotu.
Choć maksymalne kary finansowe są wysokie dla obu grup (do 10 mln EUR lub 2% całkowitego rocznego obrotu dla podmiotów kluczowych i do 7 mln EUR lub 1,4% dla ważnych), ryzyko ich nałożenia jest statystycznie wyższe w przypadku podmiotów kluczowych z uwagi na ciągły monitoring.
Wyjątki i szczególne przypadki – kogo NIS2 nie obejmie?
Dyrektywa NIS2 celowo wyłącza mikro i małe przedsiębiorstwa, o ile nie odgrywają one szczególnej roli w ekosystemie cyberbezpieczeństwa. Poza zakresem regulacji pozostają również podmioty działające w obszarach obronności, bezpieczeństwa narodowego, porządku publicznego oraz organy ścigania.
Zgodnie z unijną definicją (Zalecenie Komisji 2003/361/WE), spod regulacji wyłączone są organizacje, które zatrudniają mniej niż 50 osób ORAZ których roczny obrót lub roczna suma bilansowa nie przekracza 10 mln EUR. Jednakże istnieją istotne wyjątki od tej reguły. Mały podmiot może zostać objęty NIS2, jeśli:
- Jest jedynym dostawcą usługi kluczowej dla utrzymania krytycznej działalności społecznej lub gospodarczej w państwie członkowskim.
- Zakłócenie świadczonej przez niego usługi mogłoby mieć znaczący wpływ na porządek lub zdrowie publiczne.
- Jest dostawcą usług zaufania lub rejestrem nazw domen TLD.
Dlatego nawet małe organizacje technologiczne, dostarczające specjalistyczne oprogramowanie dla sektora energetycznego czy zdrowotnego, muszą przeprowadzić analizę ryzyka i zweryfikować swój status.
Jak sprawdzić, czy Twoja organizacja podlega pod nowe przepisy?
Aby jednoznacznie określić, czy dana organizacja podlega pod dyrektywę NIS2 i nową ustawę o KSC, należy przeprowadzić analizę opartą na trzech krokach. Proces ten wymaga weryfikacji sektora działalności, wielkości podmiotu oraz oceny jego specyficznej roli w krajowym ekosystemie gospodarczym i społecznym.
Oto prosta lista kontrolna do samodzielnej oceny:
- Krok 1: Identyfikacja sektora. Sprawdź, czy główny profil Twojej działalności (zgodnie z kodami PKD) wpisuje się w którykolwiek z 18 sektorów wymienionych w Załączniku I lub II do dyrektywy NIS2. Pamiętaj, że liczy się faktycznie świadczona usługa, a nie tylko formalny zapis.
- Krok 2: Określenie wielkości. Zweryfikuj dane kadrowe i finansowe za ostatni zamknięty rok obrotowy. Czy zatrudniasz 50 lub więcej pracowników? Czy Twój roczny obrót przekracza 10 milionów euro? Jeśli odpowiedź na którekolwiek z tych pytań jest twierdząca, przejdź do kolejnego kroku.
- Krok 3: Analiza roli w ekosystemie. Oceń, czy Twoja organizacja spełnia któreś z kryteriów szczególnych. Czy jesteś jedynym dostawcą danej usługi w regionie lub kraju? Czy ewentualna awaria Twoich systemów mogłaby wywołać efekt domina i zakłócić działanie innych podmiotów kluczowych?
According to a report by a Polish government committee, an estimated 75% of newly covered entities are unaware of their upcoming obligations under the NIS2 directive. To podkreśla pilną potrzebę działania i edukacji.
Nie czekajmy, aż regulator sam się do nas zgłosi. Proaktywna identyfikacja i samoocena to najlepsza strategia. Wdrożenie podstawowych środków, takich jak uwierzytelnianie wieloskładnikowe (MFA) czy plan ciągłości działania, jest nie tylko wymogiem prawnym, ale inwestycją w odporność biznesu. Koszty zaniechania są wielokrotnie wyższe.
Jeśli po wykonaniu tych kroków nadal masz wątpliwości, zalecana jest konsultacja z ekspertami, którzy pomogą przeprowadzić formalną analizę i ocenić ryzyko.
Podsumowanie: Kluczowe kroki dla objętych podmiotów
Dyrektywa NIS2 i nowa ustawa o KSC radykalnie poszerzają krąg podmiotów zobowiązanych do wdrożenia rygorystycznych środków cyberbezpieczeństwa. Kluczowe staje się zrozumienie swojego miejsca w nowym krajobrazie regulacyjnym i podjęcie natychmiastowych działań. Czas na przygotowanie jest ograniczony, a obowiązki wejdą w życie już w październiku 2024 roku.
Najważniejsze działania, które należy podjąć już teraz:
- Przeprowadź samoocenę: Skorzystaj z powyższej listy kontrolnej, aby formalnie ustalić, czy Twoja organizacja podlega nowym przepisom.
- Zidentyfikuj aktywa i ryzyka: Dokonaj przeglądu swoich systemów informatycznych, zidentyfikuj kluczowe zasoby i przeprowadź analizę ryzyka cybernetycznego.
- Wdróż podstawowe środki higieny cybernetycznej: Upewnij się, że stosujesz uwierzytelnianie wieloskładnikowe, masz politykę zarządzania dostępem i regularnie szkolisz pracowników.
- Przygotuj procedury zgłaszania incydentów: Opracuj i przetestuj plan reagowania, który pozwoli na zgłoszenie poważnego incydentu do odpowiedniego organu w ciągu 24 godzin od jego wykrycia.
Kogo obejmie nowa ustawa o KSC i dyrektywa NIS2?
Nowe przepisy obejmą tysiące nowych organizacji, w tym średnie i duże przedsiębiorstwa z 18 kluczowych sektorów gospodarki. Zakres obowiązków został znacząco rozszerzony w porównaniu do poprzednich regulacji dotyczących cyberbezpieczeństwa.
Jakie są główne kryteria, aby firma podlegała pod NIS2?
Firma podlega pod nowe przepisy, jeśli działa w jednym z określonych sektorów oraz spełnia co najmniej jeden z dwóch warunków wielkościowych. Musi zatrudniać 50 lub więcej pracowników LUB osiągać roczny obrót lub sumę bilansową przekraczającą 10 milionów euro.
Na czym polega podział na podmioty kluczowe i ważne?
Dyrektywa NIS2 dzieli organizacje na podmioty kluczowe, działające w sektorach o wysokiej krytyczności (np. energetyka), oraz podmioty ważne z innych sektorów krytycznych (np. usługi pocztowe). Podział ten ma bezpośredni wpływ na zakres nałożonych obowiązków oraz formę nadzoru.
Czy firma z mniejszą liczbą pracowników niż 50 może podlegać pod NIS2?
Tak, firma może podlegać pod NIS2 nawet jeśli zatrudnia mniej niż 50 pracowników. Stanie się tak, jeśli jej roczny obrót lub suma bilansowa przekroczy 10 milionów euro, ponieważ kryteria wielkości (pracownicy lub finanse) są rozłączne.
Jakie sektory gospodarki są uznawane za kluczowe?
Do sektorów o wysokiej krytyczności, określanych jako kluczowe, należą między innymi energetyka, transport oraz bankowość i infrastruktura rynków finansowych. Podmioty z tych sektorów podlegają surowszym wymogom i nadzorowi.
Jak duża jest skala zmian wprowadzonych przez dyrektywę NIS2?
Według Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), dyrektywa NIS2 dziesięciokrotnie zwiększy liczbę podmiotów objętych regulacjami. Szacuje się, że nowe obowiązki obejmą około 160 000 organizacji na terenie całej Unii Europejskiej.
Czym różni się zakres NIS2 od poprzedniej dyrektywy NIS?
Nowa dyrektywa NIS2 stanowi fundamentalną zmianę, ponieważ znacząco rozszerza listę sektorów oraz obejmuje nie tylko największe, ale również średnie przedsiębiorstwa. Poprzednia dyrektywa NIS miała znacznie węższy zakres podmiotowy, skupiając się na mniejszej liczbie operatorów usług kluczowych.