Podmioty kluczowe i podmioty ważne (wdrożenie NIS2)

przez

Jednak nie zasnąłem, jakoś przebrnąłem, dzięki czemu mogę powiedzieć, że NIS2 łatwiej się czyta, niż omawia. Dziś zatem kilka zdań o tym jak przepisy implementujące dyrektywę NIS2 definiują podmioty kluczowe i podmioty ważne — co oczywiście jest istotne przy obligatoryjnej samoweryfikacji (ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, Dz.U. z 2026 r. poz. 252).

Targoszyn pałac
Pałac w Targoszynie, też w ruinie (fot. Olgierd Rudak, CC BY-SA 4.0)

A mianowicie, znów w bardzo dużym przybliżeniu:

  • dla przypomnienia: znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa opiera się na zasadzie samoweryfikacji, a jeśli jej wynik jest pozytywny — tj. pozwolił stwierdzić, iż rodzaj i rozmiar prowadzonej działalności mieści się w obszarze zainteresowania dyrektywy NIS2 — dokonać wpisu do ministerialnego wykazu podmiotów kluczowych i ważnych;
  • czy to oznacza, że samoweryfikacji powinna poddać się każda firma i instytucja? odpowiedź, jak to u prawników, jest jednoznacznie wykrętna: i tak, i nie;
  • podstawowa zasada brzmi: za wdrożenie rozwiązań wynikających z NIS2 odpowiadają podmioty kluczowe i podmioty ważne w rozumieniu ustawy o cyberbezpieczeństwie;
  • podział podmiotów na kluczowe i ważne ma dwojaki charakter: po pierwsze jednostka może zaliczać się do jednej z tych grup ze względu na rodzaj wykonywanej działalności — ustawa określa sektory i podsektory gospodarki, do których wymogi NIS2 mają zastosowanie — oraz ze względu na rozmiar prowadzonej działalności, tj. czy podmiot może być kwalifikowany jako np. średni przedsiębiorca;
  • co istotne ten sam podmiot, początkowo zaliczony do podmiotów ważnych, z czasem może zostać zakwalifikowany jako podmiot kluczowy: przecież może się zmienić profil firmy, może się zmienić rozmiar prowadzonej działalności, może się zmienić profil firmy — stąd w sumie konieczność przeprowadzania samooceny pod kątem NIS2 maksimum co pół roku — a przecież jeden podmiot może w wykazie figurować kilka razy, bo przecież podmiot kluczowy lub podmiot ważny prowadzący kilka rodzajów działalności wykazuje je we wniosku odrębnie (art. 7d ust. 2 ustawy), zaś każdą zmianę należy zgłosić do wykazu w ciągu 14 dni od zaistnienia zmiany;
  • przechodząc do meritum (w jeszcze większym skrócie): podstawowy podział na podmioty kluczowe i podmioty ważne wynika z dwóch załączników do ustawy; pierwszy z nich (numer 1, zgadliście) do podmiotów kluczowych zalicza: przedsiębiorstwa prowadzące działalność w sektorze energetycznym (m.in. prowadzące wydobycie węgla, gazu, ropy naftowej, producentów i dystrybutorów energii elektrycznej, ciepła, zajmujące się przesyłaniem paliw, etc.,etc.); branżę transportową (m.in. przewoźników lotniczy i kolejowi, zarządców lotnisk, infrastruktury kolejowej i portów, armatorów morskich i żeglugi śródlądowej; bankowość i infrastrukturę rynków finansowych (m.in. banki i SKOK-i, instytucje kredytowe, administratorzy wskaźników kluczowych; ochronę zdrowia (podmioty lecznicze, Krajowe Centrum Monitorowania Ratownictwa Medycznego, podwykonawców świadczących usługi dla podmiotów kluczowych i ważnych, producentów leków i wyrobów farmaceutycznych, hurtownie farmaceutyczne); przedsiębiorstwa wodociągowo-kanalizacyjne, oczyszczalnie ścieków; infrastrukturę cyfrową (dostawców usług DNS, rejestry nazw domen najwyższego poziomu, podmioty będące rejestratorami nazw domen, dostawców chmury obliczeniowej, dostawców usług centrum przetwarzania danych, przedsiębiorstwa komunikacji elektronicznej; podmioty zarządzające usługami ICT; niektórej podmioty publiczne (m.in. NBP i BGK, KNF, PFRON i „Wody Polskie”, Polska Agencja Prasowa, ale też starostwa powiatowe i urzędy gmin, o ile zatrudniają przeszło 50 osób);
  • natomiast listę podmiotów ważnych opisano w załączniku nr 2 do ustawy, a tworzą ją m.in. operatorzy pocztowi; przedsiębiorstwa prowadzące działalność w zakresie zbierania i transportu odpadów; producenci chemikaliów; przedsiębiorstwa spożywcze, niektórzy producenci komputerów, urządzeń elektrycznych i pojazdów samochodowych; dostawcy usług cyfrowych (dostawcy internetowej platformy handlowej, dostawcy platformy sieci usług społecznościowych, dostawcy wyszukiwarki internetowej); organizacje badawcze; niektóre podmioty publiczne (m.in. samorządowe jednostki i zakłady budżetowe, samorządowe instytucje kultury);
  • (jeszcze raz podkreślę: powyższy opis proszę traktować wyłącznie w kategoriach publicystycznych, osoby szczególnie zainteresowane pogłębieniem wiedzy uprasza się o zapoznanie z tabelami na str. 87-99 ustawy);
  • ale to przecież nie wszystko, bo podmioty kluczowe i podmioty ważne definiuje przede wszystkim art. 5 ust. 1 ustawy, z którego wynika, że podmiotem kluczowym będzie jednostka sektorowo wskazana w załączniku nr 1 jak i przedsiębiorca komunikacji elektronicznej, którzy przewyższają wymogi dla średniego przedsiębiorstwa w rozumieniu rozporządzenia 651/2014, ale już w przypadku dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa wystarczający jest status małego lub średniego przedsiębiorcy — zaś np. w przypadku dostawców usług DNS, kwalifikowanych dostawców usług zaufania czy też rejestratorów nazw domen wielkość podmiotu nie jest istotna (tj. każdy z nich będzie podmiotem kluczowym);
  • dla odmiany podmiotem ważnym może być nawet podmiot wskazany w załączniku nr 1 do ustawy, o ile spełnia wymogi dla średniego przedsiębiorcy, niekwalifikowany dostawca usług zaufania będący mikro-, małym lub średnim przedsiębiorcą, przedsiębiorca komunikacji elektronicznej będący mikro- lub małym przedsiębiorcą, przedsiębiorca komunikacji elektronicznej będący mikro- lub małym przedsiębiorcą, etc., etc.;
  • przy czym jeśli status zależy od wielkości podmiotu, to przesłanki bada się na dzień sporządzenia sprawozdania finansowego;
  • natomiast służby specjalne i podmioty podległe i nadzorowane przez MON w ogóle nie są zaliczane do podmiotów kluczowych i ważnych, acz wiele może zależeć od „niepodlegającej ogłoszeniu” decyzji ministra….
  • nieco inaczej jest z podmiotami leczniczymi, które nie są przedsiębiorcami: będą one podmiotem ważnym, jeśli zatrudniają od 50 do 249 osób, a podmiotem kluczowym jeśli zatrudniają co najmniej 250 osób (komplajans lubi pogłębione pytania: zatrudnione ale na jakiej podstawie? tylko umowa o pracę, czy też na kontraktach? czy chodzi też o pracowników kuchni, czy tylko pracowników wykonujących zawody medyczne?);
  • upraszczając: to bardzo skomplikowane i nie ma ogólnej reguły, zatem prowadząc samoweryfikację na potrzeby NIS2 będzie trzeba mieć tę obszerną wyliczankę cały czas w ręku — i cały czas w pod ręką będzie trzeba mieć na uwadze rozmiary prowadzonej działalności…
  • (dla ułatwienia zrozumienia: sektor finansowy ma swoją regulację „odpornościową”, zaś zgodnie z art 8i ustawy jej przepisy stosuje się do sektora bankowego tylko częściowo — więc być może każdy podmiot powinien sprawdzić, czy nie ma o nim wyjątków lub wyjątków od wyjątków…).

Kluczowe pytanie: czy ten cały podział na podmioty kluczowe i podmioty ważne jest tak pieruńsko istotny? Ano jest, bo przecież:

  • wniosek o wpis do wykazu podmiotów kluczowych i ważnych powinien określać m.in. „sektor, podsektor i rodzaj lub rodzaje podmiotu, zgodnie z załącznikiem nr 1 lub 2 do ustawy” (art. 7c ust. 2 ustawy);
  • oraz deklarację podmiotu kluczowego lub podmiotu ważnego, czy spełnia kryteria mikroprzedsiębiorcy, małego przedsiębiorcy, średniego przedsiębiorcy lub liczbę osób zatrudnionych (to te podmioty lecznicze);
  • jak też wskazanie organu właściwego d/s cyberbezpieczeństwa, jak też właściwego sektorowo CSIRT i podstawę prawną wpisania do wykazu;
  • zaś każdy wniosek musi być opatrzony oświadczeniem kierownika podmiotu, iż jest świadom odpowiedzialności karnej za złożenie fałszywego oświadczenia (art. 233 par. 6 kk)…
  • …więc wychodzi na to, że w ramach samoweryfikacji pod kątem wdrożenia NIS2 każdy podmiot powinien ocenić także to, czy należy zakwalifikować się jako podmiot kluczowy, czy podmiot ważny…

Wcale nie na marginesie:

  • poszczególne rodzaje podmiotów kluczowych i ważnych (jak rozumiem: sektorowo) będą się wpisywały do wykazu według harmonogramu, który ma podać minister d/s informatyzacji;
  • niektóre kary wynikające z ustawy nie będą nakładane przez pierwsze dwa lata od wejścia w życie ustawy — przy czym dotyczy to także kary za brak złożenia wniosku o wpis do wykazu, jak i kary nakładanej na kierownika podmiotu.
subskrybuj
Powiadom o
guest

Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.

4 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
4
0
komentarze są tam :-)x