Nadchodzi nowa dyrektywa unijna NIS2. Sprawdź czy dotyczy Twojej organizacji?

Marzec 15, 2024

Dyrektywa NIS2, czyli nowa regulacja UE w obszarze cyberbezpieczeństwa, znacząco zwiększa liczbę podmiotów objętych obowiązkami. Wynika to z ujednolicenia kryteriów identyfikacji.

NIS2 zaleca ustanowienie procesu samoidentyfikacji, czyli to podmioty będą musiały same ustalić czy podlegają pod dyrektywę. Najczęściej proces ten będzie względnie prosty, lecz w niektórych przypadkach wymagana może być pogłębiona analiza np. w kontekście przedsiębiorców działających w sektorze produkcji. Warto więc przeprowadzić wstępną ocenę już teraz, aby mieć więcej czasu na ewentualne dostosowanie się do nowych wymagań.

Z kolei po przyjęciu w Polsce ustawy wdrażającej NIS2, której pierwszy projekt został przekazany do konsultacji publicznych 24 kwietnia 2024 r., konieczne może być przeprowadzenie dodatkowej analizy, aby potwierdzić swój status. Należy pamiętać, iż dyrektywa NIS2 wprowadza minimum harmonizacji, co oznacza iż kraje mogą przyjąć przepisy zapewniające wyższy poziom cyberbezpieczeństwa. Polskie przepisy implementujące mogą zatem wprowadzić dodatkowe kryteria podlegania pod regulacje, co spowoduje, że znacznie większa liczba podmiotów będzie objęta NIS2.

Jak wygląda kwestia identyfikacji podmiotów w dyrektywie NIS2 i jakie zasady zostały w niej przyjęte, a także jak zostało to ujęte w pierwszym projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (uKSC), wyjaśniamy na kilku przykładach.

Kryteria identyfikacji, czyli najpierw sprawdź jak dużym jesteś podmiotem

NIS2 wprowadza jasne kryteria pozwalające rozpoznać czy dana organizacja znajduje się w zakresie regulacji. Co istotne, są one uniwersalne, czyli będą obowiązywały we wszystkich 27 państwach UE, niezależnie od tego, czy jakiekolwiek państwo zdecyduje się na ustanowienie dodatkowych kryteriów, czy wymagań. Kryteria są dwa: wielkość przedsiębiorstwa oraz fakt świadczenia usług lub prowadzenia działalności na terenie UE w jednym z 18 sektorów gospodarki wskazanych w dyrektywie m.in. żywności, produkcji (np. sprzętu elektrycznego, samochodów), badań naukowych, czy chemicznym¹. Warte podkreślenia, iż w ramach tych 18 sektorów jest grono nowych podmiotów, które dotychczas obowiązki w zakresie bezpieczeństwa informacji miały nałożone przede wszystkim w ramach regulacji związanych z ochroną danych osobowych. Jest to zatem dla nich zupełnie nowa sytuacja.

Dyrektywa reguluje wymagania i obowiązki dla dwóch kategorii podmiotów: kluczowych i ważnych. To rozróżnienie wynika z podziału sektorów gospodarki na te dwie kategorie. Co istotne, wymagania w zakresie cyberbezpieczeństwa są takie same. Różne natomiast są: podejście do nadzoru przez organy państwowe (podmioty kluczowe ex ante, a podmioty ważne ex post) oraz możliwe do zastosowania kary administracyjne, które w NIS2 są ujednolicone na poziomie UE i mogą być dotkliwe dla podmiotów (różne limity możliwych kar finansowych dla obu kategorii: kluczowe - maksymalnie 10 mln EUR lub do 2% rocznego obrotu oraz ważne - maksymalnie 7 mln EUR lub do 1,4% rocznego obrotu).

NIS2 uznaje podmiot (publiczny lub prywatny) za objęty zakresem regulacji, o ile spełnia kryterium średniego przedsiębiorstwa.

Oznacza to, że każda organizacja zatrudniająca 50 i więcej pracowników oraz generująca roczne obroty ponad 10 mln EUR lub posiadająca sumę bilansową ponad 10 mln EUR i równocześnie świadcząca na terenie UE wskazane w dyrektywie usługi, automatycznie zaliczana jest do zakresu NIS2.

Zatem pierwszym krokiem, który powinna podjąć organizacja, jest analiza profilu działalności (świadczonych usług) oraz określenie wielkości przedsiębiorstwa. Definicje dotyczące wielkości przedsiębiorstwa są określone w ustawie Prawo przedsiębiorców. Ponadto, Komisja Europejska przygotowała „Poradnik dla użytkowników dotyczący definicji MŚP”, który pozwoli zrozumieć kryteria oraz dokonać wstępnej analizy. Od zasady „średniego przedsiębiorstwa” jest kilka wyjątków, o czym w dalszej części artykułu.

Znasz już profil i wielkość firmy – co dalej?

Poprzednia regulacja UE w zakresie cyberbezpieczeństwa (NIS1 z 2016 r.) sprawiła, że to instytucje państwa (organy właściwe) stały się odpowiedzialnymi za prowadzenie procesu identyfikacji i podejmowania decyzji w zakresie podmiotów, które wpisują się w zakres regulacji. W Polsce realizuje się to w trakcie formalnego procesu administracyjnego kończącego się wydaniem decyzji administracyjnej. Co przekłada się na to, iż podmiot dowiaduje się, że jest zobligowany do wdrożenia wymagań z otrzymanej decyzji. NIS2 zmienia to podejście.

NIS2 przewiduje w art. 3 ust. 4 (de facto zaleca) ustanowienie przez państwa efektywnych mechanizmów pozwalających podmiotom na dokonanie samodzielnej rejestracji. Czyli to na podmiocie powinien wówczas spoczywać nie tylko obowiązek sprawdzenia, czy znajduje się w zakresie regulacji, ale także jest on zobowiązany powiadomić o tym właściwy organ państwowy, który będzie odpowiedzialny za prowadzenie krajowego rejestru podmiotów kluczowych oraz ważnych. Komisja Europejska w opublikowanym we wrześniu 2023 r. komunikacie „Wytyczne Komisji dotyczące art. 3 ust. 4 dyrektywy (UE) 2022/2555 (NIS 2)” także zaleca ustanowienie mechanizmu samoidentyfikacji.

Wyzwania związane z identyfikacją

Proces identyfikacji lub samoidentyfikacji nie zawsze będzie jednak prosty. Generalnie, w myśl przepisów z dyrektywy NIS2, wszystkie średnie i duże przedsiębiorstwa prowadzące działalność w jednym z 18 sektorów NIS2 kwalifikują się automatycznie. Jednakże od zasady „średniego przedsiębiorstwa” jest kilka wyjątków opisanych w dyrektywie.

Wyjątki wskazane w dyrektywie NIS2

Dyrektywa wskazuje wprost na kilka kategorii usług, w których podmioty zostają automatycznie zaliczone w zakres NIS2 niezależnie od wielkości przedsiębiorstwa. Są to podmioty świadczące kilka typów usług cyfrowych (sektor infrastruktura cyfrowa):

dostawcy usług TLD (top level domain);
dostawcy usług DNS (domain name server);
dostawcy kwalifikowanych usług zaufania;
dostawcy publicznych sieci łączności elektronicznej;
dostawcy publicznie dostępnych usług łączności elektronicznej.

Przykład 1

Jesteś podmiotem dostarczającym publicznie dostępne usługi Internetu. Niezależnie od tego czy kwalifikujesz się jako mikro, mały, czy średni/duży przedsiębiorca, automatycznie znajdujesz się w zakresie NIS2 i tym samym zobowiązany jesteś do realizacji wynikających z tego obowiązków.

Przykład 2

Jesteś podmiotem, który wydaje kwalifikowane certyfikaty podpisów elektronicznych. Dotychczas podlegałeś pod regulację eIDAS. Obecnie, niezależnie od wielkości przedsiębiorstwa, Twoje obowiązki i wymagania w zakresie bezpieczeństwa znajdują się w dyrektywie NIS2.

Różne terminy na zakończenie procesu rejestracji podmiotów

W kontekście terminów dla identyfikacji i rejestracji, NIS2 rozróżnia w praktyce dwie grupy podmiotów. Pierwsza grupa, na którą składają się przedsiębiorstwa świadczące usługi cyfrowe np. usługi DNS, usługi chmurowe, czy usługi przetwarzania danych² będzie musiała najszybciej dokonać samoidentyfikacji i zarejestrować się. Wynika to z faktu, że rejestr tych podmiotów, który w dodatku powstanie na poziomie całej UE, musi zostać przygotowany najpóźniej do 17 stycznia 2025 r.

Natomiast w przypadku pozostałych podmiotów, państwa UE muszą ustanowić krajowe rejestry najpóźniej do 17 kwietnia 2025 r.

Szczególne warunki, które może ustanowić państwo

NIS2, jako dyrektywa, określa jedynie minimalny poziom harmonizacji wymagań na poziomie UE. Państwa członkowskie mogą zatem wprowadzić dodatkowe kryteria oraz wymagania, o ile uznają to za konieczne i w ich ocenie zapewnią one wyższy niż przewidziany w dyrektywie poziom cyberbezpieczeństwa.

W pierwszym projekcie nowelizacji uKSC Ministerstwo Cyfryzacji zaproponowało daleko idące zmiany w porównaniu do zapisów dyrektywy w kontekście podziału na sektory kluczowe i ważne. Przesunięto część sektorów, w NIS2 uznanych za ważne, do kategorii sektory kluczowe (chodzi o sektory: produkcji, żywności oraz chemiczny). Tym samym, w zakresie sektorów ważnych zostały jedynie cztery kategorie podmiotów: usługi pocztowe, gospodarowanie odpadami, dostawcy usług cyfrowych oraz badania naukowe.

Dokonano także zmian dotyczących wyjątków.

Uznano, że automatycznie (niezależnie od wielkości podmiotów) jako podmioty kluczowe zaliczone zostaną wszystkie organizacje świadczące usługi zarządzane w zakresie cyberbezpieczeństwa. Co warte zauważenia, w stosunku do dostawców usług zarządzanych tj. firm świadczących usługi związane np. z instalacją, eksploatacją, czy konserwacją produktów/usług/procesów/ systemów, już taki wyjątek nie został przewidziany.

Ponadto wskazano, że wszyscy dostawcy niekwalifikowanych usług zaufania zostaną włączeni w zakres regulacji (mikro i mali przedsiębiorcy³ zostaną uznani za podmioty ważne, a organizacje będące średnimi lub przekraczającymi progi dla średnich przedsiębiorców, staną się podmiotami kluczowymi).

Istotnie zmienione zostały także progi wejścia w zakres regulacji dla podmiotów z sektora administracja publiczna.

Zaproponowano, aby wszystkie kategorie podmiotów publicznych (wymienione w załączniku nr 1 do ustawy) - niezależnie od ich wielkości - zostały automatycznie zakwalifikowane jako podmioty kluczowe.

Należy także podkreślić, że w pierwszym projekcie nowelizacji uKSC dano także możliwość organom właściwym do wydania decyzji (w specjalnej procedurze) o uznaniu danej organizacji za podmiot kluczowy lub ważny. Aby taka decyzja została wydana, muszą zostać spełnione określone w projekcie warunki:

organizacja musi prowadzić działalność w jednym z sektorów kluczowych lub ważnych,
posiadać status mikro lub małego przedsiębiorstwa,

oraz spełnić jedną ze wskazanych przesłanek np. jako jedyna świadczy usługę, która ma kluczowe znaczenie dla krytycznej działalności społecznej lub gospodarczej⁴.

Przykład 1

Organ właściwy dla sektora badań naukowych w wyniku przeprowadzonej analizy może uznać, że jednostka badawcza mimo, iż posiada status małego przedsiębiorstwa, ale świadczy usługę (badania nad nowym typem zabezpieczonej komunikacji), której zakłócenie mogłoby spowodować poważne zagrożenie dla bezpieczeństwa państwa i obronności, za podmiot kluczowy.

Przykład 2

O ile państwa tak zdecydują, automatycznie wszystkie podmioty dotychczas objęte NIS1 – niezależnie od ich wielkości – mogą zostać włączone w zakres NIS2. Takie rozwiązanie jest zaproponowane w pierwszym projekcie nowelizacji uKSC.

W kontekście firmy, która posiada np. oddziały w więcej niż jednym państwie członkowskim UE, zaproponowane zmiany w pierwszym projekcie nowelizacji uKSC skutkować mogą tym, iż jedna z lokalizacji będzie podlegać regulacji, a inna już nie. W rezultacie każdorazowo taka firma zobowiązana będzie do przeanalizowania regulacji państwa, na którego terenie prowadzona jest działalność.

W pierwszym projekcie nowelizacji uKSC zdecydowano się na wprowadzenie obowiązkowej samoidentyfikacji oraz samorejestracji. Podmioty kluczowe oraz ważne zostaną zobowiązane do przekazania wniosku (drogą elektroniczną) o wpis do wykazu prowadzonego przez ministra właściwego ds. informatyzacji. Podmioty, które w dniu wejścia w życie ustawy będą spełniać kryteria właściwe podmiotom kluczowym lub ważnym, będą zobowiązane przekazać zgłoszenie zgodnie z przygotowanym i opublikowanym przez ministra właściwego ds. informatyzacji harmonogramem. Wpisy do wykazu, czyli samorejestracji, dla podmiotów objętych wymogami od dnia wejścia w życie przepisów, mają trwać do 1 kwietnia 2025 r.

Natomiast podmioty, które spełnią kryteria już w trakcie obowiązywania przepisów prawa, mają być zobowiązane, aby złożyć stosowny wniosek o wpis do wykazu w ciągu 2 miesięcy od ustalenia:

1) czy dany podmiot podlega regulacji oraz

2) kategorii podmiotu (kluczowy czy ważny), czyli po zrealizowaniu procesu samoidentyfikacji.

Należy podkreślić, że opublikowany 24.04.2024 r. pierwszy projekt nowelizacji uKSC może podlegać zmianom w trakcie zarówno rządowej, jak i parlamentarnej ścieżki legislacyjnej. Dlatego zaleca się stałe monitorowanie prac nad krajową regulacją.

Przypisy:

¹ W zakres NIS2 wchodzą także dwa sektory rynku finansowego: bankowość oraz infrastruktura rynku finansowego. W stosunku do podmiotów prowadzących działalność w tych dwóch sektorach zastosowanie mają obowiązki oraz wymagania zawarte w rozporządzeniu DORA, który w rozumieniu NIS2 jest regulacją sektorową (lex specialis) w obszarze cyberbezpieczeństwa.
² Zasady te obejmują podmioty świadczące następujące usługi: usługi DNS, rejestrów nazw TLD, usługi chmurowe, usługi ośrodka przetwarzania danych, usługi sieci dostarczania treści, usługi zarządzane ICT, usługi zarządzane w zakresie bezpieczeństwa, jak również dostawcy internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych.
³Mikroprzedsiębiorstwa - przedsiębiorstwa, które zatrudniają mniej niż 10 pracowników i których obrót roczny lub roczna suma bilansowa nie przekracza 2 mln EUR. Małe przedsiębiorstwa - przedsiębiorstwa, które zatrudniają mniej niż 50 pracowników i których obrót roczny lub roczna suma bilansowa nie przekracza 10 mln EUR.
⁴ Pozostałe przesłanki to: zakłócenie świadczenia usługi przez nią spowoduje poważne zagrożenie dla bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub obronności; zakłócenie świadczenia usługi przez nią spowoduje ryzyko systemowe zaprzestania świadczenia usług przez podmioty kluczowe lub podmioty ważne lub; świadczenie przez nią usług ma istotne znaczenie na poziomie krajowym lub województwa lub ma znaczenie dla dwóch lub więcej sektorów określonych w załączniku nr 1 lub nr 2 do ustawy.