Dyrektywa NIS2 – kogo będzie obejmować?
Dyrektywa NIS2 – kogo będzie obejmować?
W poprzednim wpisie (można go przeczytać tutaj) przedstawiliśmy ogólne informacje dotyczące Dyrektywy 2022/2555 z 14 grudnia 2022 roku w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („NIS2” lub „Dyrektywa”), a dziś chcielibyśmy omówić jakie podmioty mogą zostać nią objęte.
Tak jak już wspominaliśmy, NIS2 wprowadza nowy podział podmiotów objętych regulacją: (i) na podmioty kluczowe oraz (ii) podmioty ważne. W stosunku do poprzednio obowiązującej dyrektywy z zakresu cyberbezpieczeństwa rozszerzeniu ulega także wykaz sektorów i rodzajów działalności, które uważane będą właśnie za kluczowe lub ważne. Zmiany te mają na celu nie tylko ochronę infrastruktury krytycznej, ale także zapewnienie bezpieczeństwa publicznego poprzez skuteczniejsze stosowanie przepisów i zarządzanie ryzykiem w obszarze cyberbezpieczeństwa.
Podmioty ważne i kluczowe
Mimo tego podziału na dwie kategorie podmiotów, zaciera się podział pomiędzy obowiązkami podmiotów z poszczególnych kategorii. Zarówno podmioty kluczowe jak i ważne, będą musiały wprowadzić odpowiednie oraz proporcjonalne środki techniczne, operacyjne i organizacyjne w odniesieniu do zarządzania ryzykiem.
W rozumieniu dyrektywy NIS2 za podmioty kluczowe mogą być uznane:
- Podmioty z sektorów:
- Energetycznego;
- Transportowego (również kolejowego i drogowego);
- Bankowości;
- Rynków finansowych;
- Opieki zdrowotnej;
- Wody pitnej;
- Ścieków;
- Infrastruktury cyfrowej;
- Usług ICT;
- Dostawców publicznych sieci łączności elektronicznej;
- Przestrzeni kosmicznej.
- Podmioty administracji publicznej na poziomie rządu centralnego, a także na poziomie samorządowym, o ile zakłócenie ich działalności mogłoby mieć znaczący wpływ na krytyczną działalność społeczną lub gospodarczą;
- Inne podmioty uznane za kluczowe w ramach implementacji krajowej
Natomiast za podmioty ważne uznane mogą zostać podmioty z sektorów:
- Usług pocztowych i kurierskich;
- Gospodarki odpadami;
- Produkcji, wytwarzania i dystrybucji chemikaliów;
- Produkcji, przetwarzania i dystrybucji żywności;
- Produkcji:
- wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro;
- komputerów, wyrobów elektronicznych i optycznych;
- urządzeń elektrycznych,
- maszyn i urządzeń;
- pojazdów samochodowych, przyczep i naczep;
- sprzętu transportowego;
- dostawcy usług cyfrowych;
- organizacje badawcze.
Nie tylko sektor jest decydujący
Co istotne, sama przynależność organizacji do konkretnego sektora nie musi być wystarczająca do uznania za podmiot ważny lub kluczowy. Kolejnym kryterium zakresu podmiotowego dyrektywy NIS2 jest bowiem wielkość podmiotu. NIS2 będzie miała zastosowanie do wszystkich podmiotów, zarówno tych publicznych jak i prywatnych, które prowadzą działalność w wymienionych powyżej sektorach gospodarki oraz są kwalifikują się jako co najmniej średnie przedsiębiorstwa w rozumieniu art. 2 załącznika do zalecenia 2003/361/WE, czyli zatrudniają co najmniej 50 pracowników i ich roczny obrót i/lub roczna suma bilansowa przekracza 10 mln euro. Oczywiście, pod warunkiem, że prowadzą działalność w Unii.
Należy jednak zaznaczyć, że w szczególnych przypadkach dyrektywa NIS2 może dotyczyć również mikroprzedsiębiorstwa i małe przedsiębiorstwa, jeżeli ich działanie będzie miało znaczenie dla sprawnego funkcjonowania gospodarki, porządku publicznego, bezpieczeństwa publicznego lub zdrowia publiczne, a w szczególności w sektorach, w których zakłócenie ich funkcjonowania mogłoby mieć wpływ transgraniczny.
Dostawcy także pod lupą
Należy zauważyć, że jednym ze środków zarządzania ryzykiem wymienionym w art. 21 Dyrektywy jest bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między podmiotami ważnymi i kluczowymi, a ich bezpośrednimi dostawcami lub usługodawcami.
Zatem, jeśli Państwa organizacja blisko współpracuje z podmiotem ważnym lub kluczowym to również Państwa organizacja może w pośredni sposób musieć wdrożyć środki zarządzania ryzykiem i raportowanie incydentów. Warto zatem już teraz przyjrzeć się temu jak powyższe kwestie funkcjonują w Państwa organizacjach.
Wykaz podmiotów ważnych i kluczowych
Dyrektywa NIS2 podkreśla również, że zważywszy na intensyfikację i coraz większe wyrafinowanie cyberzagrożeń, państwa członkowskie powinny starać się zapewnić osiągnięcie wysokiego poziomu cyberbezpieczeństwa przez podmioty wyłączone z zakresu stosowania niniejszej dyrektywy. Jest to równoznaczne z tym, że NIS2 pozostawia państwom członkowskim swobodę do rozszerzania jej zakresu podmiotowego na szczeblu krajowym. W chwili obecnej nie jest wiadomym czy polski ustawodawca zdecyduje się na rozszerzenie zakresu podmiotowego Dyrektywy.
Niezależnie jednak od tego Dyrektywa przewiduje, że do 17 kwietnia 2025 roku każde z państw członkowskich powinno ustanowić wykaz podmiotów kluczowych i ważnych, a następnie aktualizować go nie rzadziej niż co dwa lata. Tym samym organizacje o swoim statusie powinny dowiedzieć się z tego właśnie wykazu i wydanej w tym zakresie decyzji administracyjnej.
Współautorką wpisu jest Weronika Głodek, praktykantka w zespole ds. ochrony danych osobowych i cyberbezpieczeństwa.
AUTOR WPISU
E: kamil.koziol@pl.Andersen.com
T: +48 668 690 891