Jak wskazaliśmy w niedawno opublikowanym artykule, wprowadzającym do dyrektywy NIS 2[1], pt. „Dyrektywa NIS 2: nowe zasady dla cyberbezpieczeństwa”, jedną z najbardziej istotnych zmian w stosunku do obowiązującej obecnie dyrektywy NIS[2] jest rozszerzenie zakresu podmiotowego nowej regulacji. W tym artykule dokładnie przedstawimy tę zmianę oraz wyjaśnimy, kto nowy zostanie objęty przepisami NIS 2 i dlaczego już teraz warto to wiedzieć.

Dyrektywa NIS – kto obecnie podlega regulacji cyberbezpieczeństwa?

Dotychczas obowiązująca dyrektywa NIS obejmuje swoim zakresem dwie kategorie podmiotów:

  • operatorów usług kluczowych (OUK) oraz
  • dostawców usług cyfrowych (DUC).

OUK to podmioty, które dostarczają usługę niezbędną do utrzymania krytycznych społecznych i/lub gospodarczych funkcji społeczeństwa. NIS identyfikuje trzy główne sektory, w których mogą występować OUK: infrastruktura energetyczna, transport oraz usługi bankowe i finansowe. Ponadto, państwa członkowskie mogą uznawać za OUK również podmioty z sektorów zdrowia, zaopatrzenia w wodę i infrastruktury cyfrowej – tak też jest w Polsce. Zgodnie z dotychczas obowiązującą dyrektywą NIS, obowiązek identyfikacji podmiotów spełniających wymogi do uznania ich za operatorów kluczowych usług spoczywa na państwach członkowskich. W Polsce uznanie danego podmiotu za OUK następuje na podstawie decyzji właściwego organu (ministra odpowiedzialnego za dany sektor gospodarki). Podmiotów wyznaczonych jako OUK jest stosunkowo niewiele – tylko 395 podmiotów według danych z lutego 2023 r. zostało uznanych w Polsce za OUK, choć warto jednocześnie podkreślić, że liczba ta rośnie. Tylko w okresie 12 miesięcy – pomiędzy lutym 2022 r. a lutym 2023 r. – wyznaczono 225 nowych OUK, głównie w sektorze zdrowia.

Jeśli chodzi o dostawców usług cyfrowych to dyrektywa NIS definiuje je jako osoby prawne świadczące usługi cyfrowe, tj.  usługi, które są świadczone za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usługi. W rozumieniu polskiej ustawy o krajowym systemie cyberbezpieczeństwa[3], implementującej dyrektywę NIS, do usług cyfrowych zaliczamy: internetową platformą handlową, wyszukiwarkę internetową lub usługę przetwarzania w chmurze.

Ustawa o krajowym systemie cyberbezpieczeństwa wprowadza jeszcze jedną kategorię podmiotów – podmioty publiczne. Obecnie w jej zakres wchodzą m.in.:

  • CSIRT MON, CSIRT NASK oraz CSIRT GOV, czyli Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego działające na poziomie krajowym, prowadzone przez odpowiednie organy, np. Szefa ABW,
  • jednostki sektora finansów publicznych,
  • spółki prawa handlowego wykonujące zadania użyteczności publicznej
  • instytuty badawcze,
  • Narodowy Bank Polski oraz Bank Gospodarstwa Krajowego,
  • Urząd Dozoru Technicznego,
  • Polska Agencja Żeglugi Powietrznej,
  • Polskie Centrum Akredytacji.

Procedowana obecnie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa proponuje rozszerzenie tej kategorii podmiotów m.in. o uczelnie wyższe czy Polski Fundusz Rozwoju i inne instytucje rozwoju.

Nowy zakres podmiotowy w NIS 2

Zgodnie z motywem 6 dyrektywy NIS 2, dotychczasowe rozróżnienie na operatorów usług kluczowych i dostawców usług cyfrowych okazało się nieaktualne, ponieważ  nie odzwierciedla znaczenia danych sektorów lub usług dla działalności społecznej i gospodarczej Unii Europejskiej.

Dlatego też zakres podlegania dyrektywie NIS 2 został znacząco rozszerzony o kolejne sektory gospodarki. Dyrektywa NIS 2 wprowadza także kryterium wielkości podmiotu, które w jasny sposób określa, jakie podmioty są nią objęte, a jakie nie. NIS 2 ma zastosowanie do wszystkich podmiotów, które prowadzą działalność w wymienionych w dyrektywie sektorach gospodarki oraz są uznawane za średnie lub duże przedsiębiorstwa[4]. Regulacje NIS 2 obejmą zatem przedsiębiorstwa, które zatrudniają co najmniej 50 pracowników i których roczny obrót i/lub roczna suma bilansowa przekracza 10 mln euro.

Do stosowania nowej dyrektywy będą zobowiązane również mikroprzedsiębiorstwa i małe przedsiębiorstwa, które spełnią kryteria wskazujące na ich kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów lub typów usług. Będą to na przykład kwalifikowani dostawcy usług zaufania, dostawcy usług DNS czy rejestry nazw domen najwyższego poziomu.

Oprócz kryterium wielkości, dyrektywa NIS 2 wprowadza w miejsce dotychczasowego podziału na operatorów usług kluczowych i dostawców usług cyfrowych podział na dwie, nowe kategorie:

  • podmioty kluczowe (essential entities) i 
  • podmioty ważne (important entities).

W zależności od wielkości podmiotu oraz tego w jakim sektorze działa, tj. jakie jest znaczenie danego sektora dla niezakłóconego funkcjonowania gospodarczego i społecznego Unii, będzie on kwalifikowany jako podmiot kluczowy czy ważny.

Kolejną ważną zmianą jest sposób określania, czy dany podmiot jest objęty dyrektywą NIS 2 i powinien stosować się do obowiązków w niej określonych. NIS 2 przyjmuje bowiem ogólną zasadę samookreślenia podmiotów (self-assessment). To właśnie do obowiązku podmiotów będzie przeprowadzenie we własnym zakresie  oceny, czy w oparciu o wskazane w dyrektywie NIS 2 kryteria są one podmiotem kluczowym lub ważnym.

Na marginesie można wskazać, że zasada samookreślenia doznaje pewnych wyjątków. W niektórych przypadkach państwa członkowskie będą musiały zidentyfikować określone podmioty kluczowe (będące micro lub małymi przedsiębiorstwami), wobec których zakłócenie świadczonej przez nie usługi mogłoby mieć znaczący wpływ na porządek publiczny, bezpieczeństwo publiczne lub zdrowie publiczne.

Również w przypadku podmiotów administracji publicznej na poziomie regionalnym dokonywana będzie odpowiednia ocena, w ich przypadku będzie to analiza ryzyka prowadzonej przez nich działalności. Jeśli zakłócenie usług świadczonych przez te podmioty mogłoby mieć znaczący wpływ na krytyczną działalność społeczną lub gospodarczą, to podmioty te będą zobowiązane do wykonywania obowiązków wynikających z NIS 2. Nie jest natomiast jasne, kto ma przeprowadzać tę analizę – o tym przesądzi polski ustawodawca. Możliwości jest kilka – oceny tej mogą potencjalnie dokonywać organy wyższego stopnia, organy nadzorcze, organy właściwe do spraw cyberbezpieczeństwa, ustawodawca czy też sam podmiot administracji publicznej, którego ocena ma dotyczyć.

Podmioty kluczowe i ważne będą inaczej traktowane na gruncie NIS 2 w zakresie środków nadzoru i kar. Natomiast zakres ich obowiązków pozostaje tożsamy, z niewielkim wyjątkiem rejestrów nazw TLD oraz podmiotów świadczących usługi rejestracji nazw domen, dla których NIS 2 przewiduje dodatkowe obowiązki.

Podmioty kluczowe

Podmioty kluczowe są to podmioty, które dostarczają usługi niezbędne do funkcjonowania społeczeństwa i gospodarki. Podmioty kluczowe są zatem integralnym elementem infrastruktury krytycznej Unii Europejskiej, a ich działalność ma bezpośredni wpływ na stabilność i bezpieczeństwo społeczne i gospodarcze. W przypadku podmiotów kluczowych oczekuje się, że będą one przestrzegać najwyższych standardów bezpieczeństwa sieci i systemów informatycznych.

Dyrektywa NIS 2 w Załączniku I wskazuje 10 sektorów kluczowych (sectors of high criticality), w których działają podmioty kluczowe:

  • energetyki,
  • transportu,
  • bankowości i infrastruktury rynków finansowych,
  • ochrony zdrowia,
  • wody pitnej,
  • ścieków,
  • infrastruktury cyfrowej,
  • zarządzania usługami ICT,
  • podmiotów administracji publicznej oraz
  • przestrzeni kosmicznej.

Prowadzenie działalności w sektorze kluczowym nie jest jedynym kryterium uznania za podmiot kluczowy. Drugim kryterium jest wielkość podmiotu. Podmiotami kluczowymi będą, z pewnymi wyjątkami, podmioty duże, czyli takie, które wykraczają poza granice uznania przedsiębiorstwa za średnie, tj. zatrudniające więcej niż 250 osób, oraz których obroty roczne przekraczają 50 mln euro, i/lub których roczna suma bilansowa przekracza 43 mln euro.

Wyjątkiem od tego są między innymi wspomniani wcześniej kwalifikowani dostawcy usług zaufania, dostawcy usług DNS czy rejestry nazw domen najwyższego poziomu – będą oni uznawani za podmioty kluczowe niezależnie od wielkości. Warto zauważyć, że wskazany wyżej katalog sektorów kluczowych to rozszerzony o nowe sektory katalog obszarów, w których działalność prowadzą dotychczasowi operatorzy usług kluczowych.

Załącznik I wskazuje również podsektory, w ramach poszczególnych sektorów kluczowych. Przykładowo w sektorze infrastruktury cyfrowej jako podsektory wymienia:

  • rejestry nazw TLD oraz
  • dostawców usług chmurowych,
  • dostawców usług ośrodka przetwarzania danych,
  • dostawców publicznych sieci łączności elektronicznej,
  • dostawców punktu wymiany ruchu internetowego, usług DNS (z wyłączeniem operatorów głównych serwerów nazw) oraz publicznie dostępnych usług łączności elektronicznej).

To rozszerzenie ma za zadanie ułatwić dokonanie samookreślenia przez podmioty ważne. Jest to szczególnie istotne, gdyż dotychczasowe OUK musiały być za takie uznane na podstawie decyzji właściwego organu. Podmioty te nie miały w związku z tym wątpliwości, czy należą do tej kategorii oraz czy muszą spełniać stawiane jej wymagania.

Podmioty ważne

Podmioty ważne są nową kategorią wprowadzoną w Dyrektywie NIS 2 w celu uwzględnienia podmiotów, które nie spełniają rygorystycznych kryteriów podmiotów kluczowych, ale których działalność ma istotny wpływ na funkcjonowanie społeczeństwa i gospodarki Unii. Podmioty te pozostają jednak w dużej mierze zależne od bezpieczeństwa sieci i systemów informatycznych.

Podmiotami ważnymi według NIS 2 będą:

  • podmioty średnie, działające we wskazanych wyżej sektorach kluczowych oraz
  • podmioty średnie lub duże, działające w sektorach ważnych (other critical sectors) określonych w Załączniku II do NIS 2:
    • usług pocztowych i kurierskich,
    • gospodarowania odpadami,
    • produkcji, przetwarzania i dystrybucji chemikaliów,
    • produkcji, przetwarzania i dystrybucji żywności,
    • (szeroko pojętej) produkcji,
    • dostawców usług cyfrowych oraz
    • badań naukowych.

Wskazane w załączniku sektory są ujęte bardzo szeroko, na przykład w sektorze produkcji został wyodrębniony podsektor produkcja urządzeń elektrycznych. Załącznik II odsyła w tym zakresie do sekcji C działu 27 klasyfikacji NACE Rev. 2 (klasyfikacja dla danych statystycznych związanych z działalnością gospodarczą), gdzie wyodrębnione są kolejne podkategorie związane z produkcją urządzeń elektrycznych. Wśród nich znajdziemy produkcję urządzeń takich  jak generatory i transformatory, baterie, różnego rodzaju kable czy też latarki lub elektryczne otwieracze do puszek.

Przyjęty podział na podmioty kluczowe i ważne może wydawać się nieintuicyjny. Podmioty ważne działają bowiem nie tylko w sektorach ważnych, ale także w sektorach kluczowych. Ta językowa niespójność wynika z polskiego tłumaczenia NIS 2, gdzie dwie kategorie sektorów (sektory kluczowe i ważne) mają nazwy tożsame dwóm kategoriom podmiotów (kluczowym i ważnym). W wersji angielskiej NIS 2 sektory mają odpowiednio nazwy – sectors of high criticality oraz other critical sectors, natomiast podmioty dzielą się na essential entities oraz important entities. Nie jest to też jedyny problem polskiego tłumaczenia, które może wprowadzać w błąd w zakresie podmiotowym, w związku z tym, żeby w pełni zrozumieć niuansy NIS 2, warto konfrontować wersję polską z wersją angielską.

Dalsze doprecyzowanie kategorii podmiotów kluczowych oraz ważnych

Warto wskazać, że NIS 2 jest dyrektywą określającą pewne minimalne standardy, które państwa członkowskie mogą rozszerzyć, jeśli uznają to za odpowiednie.

Niektóre państwa rozpoczęły już proces implementacji dyrektywy NIS 2. W Niemczech pojawił się niedawno pierwszy projekt ustawy implementującej, roboczo nazwanej „ustawą o implementacji NIS-2 i wzmocnieniu cyberbezpieczeństwa” (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). W zakresie podmiotowym przewiduje ona, że szczegółowy podział na kategorie podmiotów – szczególnie ważnych (besonders wichtigen Einrichtungen, odpowiadających podmiotom kluczowym wg. NIS 2) oraz ważnych (wichtigen Einrichtungen) zostanie dodatkowo doprecyzowany w rozporządzeniu.

Nie jest wykluczone, że polski ustawodawca postąpi podobnie i również określi kategorie podmiotów albo w formie załącznika do ustawy albo w formie rozporządzenia. Ciężko jednak przewidzieć, czy w polskiej implementacji zakres kategorii pozostanie niezmieniony w stosunku do NIS 2, czy też zostanie rozszerzony. W chwili obecnej nie ma bowiem żadnych informacji o planowanym rozpoczęciu prac nad implementacją NIS 2 do polskiego porządku prawnego.

Dlaczego już teraz warto zainteresować się dyrektywą NIS 2?

Jak wskazaliśmy wyżej, zakres podmiotów mogących kwalifikować się jako podmioty kluczowe i ważne jest na gruncie NIS 2 bardzo szeroki. Podmioty, które działają we wskazanych w załącznikach I oraz II sektorach, będą zobligowane same przeprowadzić ewaluację i stwierdzić, czy muszą wypełniać obowiązki nałożone odpowiednio na podmioty kluczowe lub ważne, bądź liczyć się z negatywnymi konsekwencjami braku zgodności z przepisami dyrektywy. Konsekwencjami mogą być dość dotkliwe kary finansowe, sięgające maksymalnej wysokości co najmniej 10 mln euro lub co najmniej 2% łącznego światowego obrotu w przypadku podmiotów kluczowych.

Warto więc mieć na uwadze, że temat cyberbezpieczeństwa przestał być niszowy, dotykający tylko największe podmioty z sektorów najbardziej narażonych na cyberataki. Nawet jeśli do tej pory poszczególne podmioty nie widziały konieczności wprowadzania odpowiednich środków zapewniających cyberbezpieczeństwo, to już niedługo duża część z nich będzie do tego prawnie zobligowana.

Oprócz rozszerzenia zakresu podmiotowego w NIS 2, rozszerzeniu ulegną również obowiązki nałożone na podmioty obu kategorii. Dobrą praktyką wydaje się zatem wcześniejsze zbadanie, czy dany podmiot będzie podlegał przepisom NIS 2, żeby móc odpowiednio przygotować się do zapewnienia odpowiednich struktur i mechanizmów zapewniających zgodność z tą regulacją.

W następnych artykułach w serii przybliżymy tematykę poszczególnych obowiązków, które NIS 2 narzuci odpowiednio na podmioty kluczowe i ważne.

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii

[3] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2023 r. poz. 913).

[4] Podstawą wyznaczenia kryteriów uznania za średnie przedsiębiorstwa jest Załącznik do Zalecenia Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji przedsiębiorstw mikro, małych i średnich.

Chcesz wiedzieć więcej o dyrektywie NIS 2? Zajrzyj do naszych artykułów na temat:

  • ogólnych zasad wynikających z regulacji – dostępny tutaj;
  • obowiązków w zakresie zarządzania ryzykiem – dostępny tutaj;
  • bezpieczeństwa łańcucha dostaw – dostępny tutaj;
  • obowiązków w zakresie zgłaszania incydentów – wkrótce dostępny;
  • uprawnień organów nadzorczych – wkrótce dostępny;
  • kar i dodatkowych wymogów organizacyjnych – wkrótce dostępny;
  • sposobu implementacji i stosunku do innych regulacji z zakresu cyberbezpieczeństwa – wkrótce dostępny.