Mimo, że proces przygotowania przepisów implementujących Dyrektywę NIS2 w Polsce nadal się nie zakończył, zapewnienie odpowiedniego poziomu cyberbezpieczeństwa jest ważne z praktycznego punktu widzenia. Poza tym część obowiązków wynikających z przepisów unijnych nadaje się do zastosowania tak jak są już zapisane. Dlatego w razie wystąpienia incydentu cyberbezpieczeństwa w wyniku niedopełnienia określonych w Dyrektywie NIS2 obowiązków, możliwe będzie pociągnięcie członków zarządu do odpowiedzialności. Od czego trzeba zacząć?
Jak sprawdzić w NIS2 status podmiotu kluczowego lub ważnego?
Dyrektywa NIS2 określa rodzaje podmiotów, które obejmują określone w niej obowiązki. Zostawiają jednak margines swobody dla państw członkowskich, które mogą zmodyfikować określone w niej zasady. Jak przejść kolejne kroki związane ze sprawdzeniem swojego statusu?
Należy kolejno zweryfikować:
- czy prowadzona działalność jest na liście – to znaczy, czy mieści się w rodzajach działalności wymienionej w załączniku nr I lub II do Dyrektywy NIS2, a docelowo również do dostosowanych do tych przepisów postanowień Ustawy o KSC (według projektu z 07.02.2025 r. umieszczonych w załącznikach 1 i 2 do tego aktu),
- jaka jest wielkość sprawdzanego przedsiębiorstwa, zgodnie z tymi samymi przepisami, które stosuje się do wniosków o dotacje czy inne środki publiczne, czyli zalecenia 2003/361/WE) – czy jest się mikro, małym, średnim czy dużym przedsiębiorcą, bo duża część obowiązków została określona dla średnich i dużych podmiotów,
- czy dla prowadzonej działalności Ustawa o KSC przewiduje szczególne regulacje (np. dla organów publicznych czy podmiotów świadczących określone usługi ICT).
Do czasu wejścia w życie zmian w Ustawie o KSC, ewentualne zmiany statusu ze względu na wielkość przedsiębiorstwa trzeba sprawdzać na bieżąco. Docelowo będzie to działanie realizowane raz do roku – w momencie sporządzenia sprawozdania finansowego (projektowany art. 5 ust. 5 Ustawy o KSC).
Co się zmienia dla podmiotów funkcjonujących w grupie kapitałowej?
Fakt, że w ramach grupy powiązanych przedsiębiorstw jedno ma zgodnie z NIS2 status podmiotu kluczowego lub ważnego nie oznacza, że pozostałe przedsiębiorstwa również podlegają wymogom w zakresie cyberbezpieczeństwa. Każdy podmiot (osoba fizyczna lub prawna), musi samemu zweryfikować swój status. Jak to robi? Zgodnie z tymi samymi krokami, o których mowa powyżej. To znaczy, że sam fakt przynależności do grupy kapitałowej przedsiębiorstw energetycznych czy telekomunikacyjnych nie spowoduje, że spółka będzie podlegać wymogom wynikającym z przepisów o cyberbezpieczeństwie. Trzeba to za każdym razem zweryfikować indywidualnie.
Polski projekt przepisów implementujących Dyrektywę NIS2 wprowadza dodatkowe zasady, które mogą spowodować, że mikro lub mały podmiot zostanie zakwalifikowany tak samo jak średni lub duży. Oznacza to w rozumieniu NIS2 status podmiotu ważnego lub kluczowego. Kiedy ma to miejsce? Jeżeli spółka podlegająca ocenie prowadzi działalność wspólnie z innymi podmiotami w grupie kapitałowej lub używa wspólnie z nimi systemy informacyjne. Wówczas jego wielkość na potrzeby oceny statusu określa się w oparciu o dane dla grupy kapitałowej (tej jej części, która działa wspólnie z taką spółką).
Centrum usług wspólnych (tzw. CUW) – dlaczego taka spółka zwykle ma status?
Zwykle w strukturach grupy kapitałowej, zwłaszcza w podmiotach infrastrukturalnych lub przemysłowych, wybiera się jeden podmiot, który pełni funkcję spółki usługowej. To znaczy zapewnia zaplecze techniczne (IT) i administracyjne (księgowość, dostarczanie sprzętu, obsługa określonych procesów wspierających). W przypadku Ustawy o KSC o statusie spółki typu CUW decyduje właśnie dostarczanie usług związanych z obsługą serwerów, realizacją wsparcia help desk, leasing stacji roboczych czy obsługa licencji na systemy dla innych spółek z grupy kapitałowej. To działalność, która wpisuje w działalność dostawcy usług zarządzanych.
Realizacja usług zarządzanych czy usług zarządzanych w zakresie cyberbezpieczeństwa w ramach grupy kapitałowej oznacza kumulację danych do określenia wielkości podmiotu. Co oznacza, że jeżeli obsługiwane firmy przekraczają próg dla średniego przedsiębiorcy, CUW wchodzi do krajowego systemy cyberbezpieczeństwa z własnym statusem. W przypadku realizacji usług SOC dla grupy kapitałowej – wystarczy osiągnąć pułap dla małego przedsiębiorcy, żeby być podmiotem kluczowym (projektowany art. 6 ust. 6 Ustawy o KSC).
Publikacja przygotowana na podstawie:
- Ustawy o KSC – projektu z dnia 07.02.2025 r. opublikowanego na stronie RCL w projekcie UC32 dniu 13.02.2025 r.
- Dyrektywy NIS2 – Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz.Urz. UE L 333, s. 80 z dnia 27.12.2022).
