System Cyberbezpieczeństwa NIS2

Dyrektywa NIS2 weszła w życie dnia 16 stycznia 2023 r. Jednakże przepisy Dyrektywy NIS2 nie obowiązują polskich przedsiębiorców bezpośrednio. Każde z Państw Członkowskich UE zostało zobowiązanych do implementacji Dyrektywy NIS2. Czas na implementację dyrektywy upłynął w dniu 17 października 2024 r. Polski ustawodawca zdecydował się na implementację Dyrektywy NIS2 poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa. Wejście w życie nowelizacji planowane jest na 2025 r., jednak dokładna data nie jest jeszcze znana. Obecnie projekt nowelizacji procedowany jest przez Komitet do Spraw Europejskich i nie trafił nawet do prac w Parlamencie.

Dodatkowo każde Państwo Członkowskie UE do dnia 17 kwietnia 2025 r. ma obowiązek ustanowienia wykazu podmiotów kluczowych i ważnych, których dotyczą obowiązki określone w Dyrektywie NIS2. Polska prawdopodobnie nie dochowa przewidzianego prawem terminu. 

Obowiązki przewidziane Dyrektywą NIS2 dotkną 18 sektorów gospodarki. W porównaniu do Dyrektywy NIS1 jest to rozszerzenie aż o 11 nowych sektorów gospodarki. Obowiązki będą dotyczyć m.in.

• sektor żywności;
• sektor motoryzacji;
• sektor komunikacji elektronicznej;
• sektor gospodarowania odpadami;
• sektor producentów maszyn i urządzeń;
• sektor producentów chemikaliów.

Dyrektywa NIS2 wprowadza podział na:

• podmioty kluczowe, wymienione w załączniku I do Dyrektywy NIS2;
• podmioty ważne, wymienione w załączniku II do Dyrektywy NIS2.

Artykuł 2 ust. 1 Dyrektywy NIS2 reguluje zakres obowiązywania Dyrektywy. Należy wskazać, że przepisy Dyrektywy NIS2 mają zastosowanie do podmiotów publicznych lub prywatnych takiego rodzaju jak wskazane w załączniku 1 i 2 do Dyrektywy NIS2. Ponadto podmioty muszą mieć co najmniej status średniego przedsiębiorcy. 

Należy wskazać, że przepisy Dyrektywy NIS2 obowiązują:

• podmioty bez względu na wielkość (np. dostawca usług DNS);
• podmioty, które spełniają jednocześnie dwa warunki:
• są podmiotami określonej wielkości;
• działają we wskazanym w załącznikach sektorze.

Pierwszym elementem kluczowym do sprawdzenia, czy Twoja firma podlega przepisom Dyrektywy NIS2 jest analiza wielkości Twojego przedsiębiorstwa. Kluczowe są dwa pojęcia:

• przedsiębiorca średni;
• przedsiębiorca duży.

Wyznacznikiem klasyfikacji przedsiębiorstw jest art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu. Wobec powyższego przedsiębiorca jest przedsiębiorcą średnim, jeśli:

• zatrudnia więcej niż 50 osób (bez względu na podstawę zatrudnienia) lub
• ma obrót lub całkowity bilans roczny nie przekraczający 10 mln EURO.

Należy wskazać do uznania przedsiębiorcy za przedsiębiorcę średniego wystarczy spełnienie jednej z przesłanek. Dlatego, jeżeli zatrudniasz 20 osób, lecz obrót Twojej firmy przekracza 10 mln EURO to jesteś przedsiębiorcą średnim. 

Z kolei przedsiębiorca jest przedsiębiorcą dużym, jeżeli:

• zatrudnia minimum 250 osób (bez względu na podstawę zatrudnienia) lub
• ma obrót lub całkowity bilans roczny przekraczający 50 mln EURO.

Podobnie jak w przypadku przedsiębiorcy średniego, wystarczy by Twoja firma spełniała jeden z warunków i będziesz przedsiębiorcą dużym.

Drugim czynnikiem klasyfikującym organy podlegające przepisom Dyrektywy NIS2 jest określenie katalogu podmiotów kluczowych i ważnych. Jak wskazani powyżej Państwa Członkowskie UE mają czas do dnia 17 kwietnia 2025 r. do oznaczenia takich podmiotów. 

Za sektory kluczowe uznaje się:

• energetykę, w tym:
• energię elektryczną,
• system ciepłowniczy i chłodniczy,
• ropę naftową,
• gaz,
• wodór.
• transport, w tym:
• transport lotniczy,
• transport kolejowy,
• transport wodny,
• transport drogowy.
• bankowość,
• infrastrukturę rynków finansowych,
• opiekę zdrowotną,
• wodę pitną,
• ścieki,
• infrastrukturę cyfrową,
• zarządzanie usługami ICT,
• podmioty administracji publicznej,
• przestrzeń kosmiczną,

Z kolei sektorami ważnymi są:

• usługi pocztowe i kurierskie,
• gospodarowanie odpadami,
• produkcja, wytwarzanie i dystrybucja chemikaliów,
• produkcja, przetwarzanie i dystrybucja żywności,
• produkcja, w tym:
• produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro,
• produkcja komputerów i wyrobów elektronicznych i optycznych,
• produkcja urządzeń elektrycznych,
• produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana,
• produkcja pojazdów samochodowych, przyczep i naczep,
• produkcja pozostałego sprzętu transportowego.
• dostawa usług cyfrowych,
• badania naukowe.

Należy wskazać, że część z sektorów dzieli się także na podsektory. Dyrektywa NIS2 precyzuje konkretne podmioty lub kategorie podmiotów, których dotyczy. Przykładem podmiotu objętego nowymi przepisami są operatorzy świadczący usługi pocztowe zgodnie z definicją zawartą w art. 2 pkt 1a dyrektywy 97/67/WE, w tym dostawcy usług kurierskich.

Należy wskazać, że przedsiębiorstwa średnie w rozumieniu rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. są uznawane za podmioty kluczowe, jeżeli są przedsiębiorstwem dużym. Z kolei przedsiębiorstwa średnie są uważane za podmioty ważne.

Dyrektywa NIS2 nakłada na podmioty objęte regulacją szereg obowiązków i procedur związanych z zarządzaniem ryzykiem cyberbezpieczeństwa. Wśród najważniejszych obowiązków zalicza się:

• zgłaszanie incydentów zagrożenia cybernetycznego,
• zapewnienie ciągłości działania i zarządzania kopiami zapasowymi,
• zapewnienie bezpieczeństwa łańcucha dostaw,
• wprowadzanie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem,
• powiadomienie odbiorców o poważnych incydentach cybernetycznych,
• wdrożenie polityk i procedur związanych z oceną ryzyka w cyberbezpieczeństwie,
• przeprowadzanie audytów bezpieczeństwa,
• stosowanie własnych (lub nabytych) produktów, usług i procesów ITC zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa,
• szkolenie w celu zdobycia wiedzy i umiejętności z zakresu cyberbezpieczeństwa.

Nieprzestrzeganie przepisów Dyrektywy NIS2 grozi nałożeniem na przedsiębiorcę surowych kar finansowych. Podmioty ważne, które uchybią przewidzianym prawem obowiązkom narażają się na karę do 7 mln EURO lub 1,4 % łącznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa.. Z kolei w zakresie podmiotów kluczowych kary finansowe będą mogły osiągnąć pułap do 10 mln EURO lub 2 % przychodów za poprzedni rok obrotowy. Należy pamiętać, że każdorazowo zastosowanie znajduje wyższa z kwot. Polski ustawodawca planuje wprowadzenie minimalnej wysokości kar. Dla podmiotów ważnych kara minimalna będzie wynosić 15.000 zł, a dla podmiotów kluczowych 20.000 zł.

Dyrektywa NIS2 stanowi rewolucję w cyberbezpieczeństwie i na nowo definiuje obowiązki przedsiębiorców w tym zakresie. Wielowątkowość oraz złożoność przepisów może nastręczać trudności interpretacyjnych. Obowiązki dotkną ponad 6.000 przedsiębiorców. Kary za nieprzestrzeganie przepisów są niezwykle surowe. Dlatego w zakresie obowiązywania Dyrektywy NIS2 warto skonsultować się z ekspertami z Kancelarii Adwokackiej RITE LEGAL. Oferujemy kompleksowe wsparcie w sprawach prawa korporacyjnego, w tym w zakresie analizy obowiązku dostosowania Twojej firmy do przepisów Dyrektywy NIS 2 oraz wdrożenia odpowiednich procedur. Umów się na spotkanie już teraz!