NIS2 – kogo dotyczy dyrektywa i polska ustawa UoKSC

NIS2 dzieli sektory objęte regulacją na dwie grupy: wysokokrytyczne (załącznik I) i pozostałe krytyczne (załącznik II). Sektory wysokokrytyczne generują podmioty kluczowe, pozostałe krytyczne generują podmioty ważne.

Sektory wysokokrytyczne (załącznik I): energetyka (energia elektryczna, gaz, ropa, ciepło, wodór), transport (lotniczy, kolejowy, wodny, drogowy), bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna.

Sektory pozostałe krytyczne (załącznik II): usługi pocztowe i kurierskie, gospodarka odpadami, produkcja chemiczna, produkcja i dystrybucja żywności, produkcja sprzętu medycznego, produkcja komputerów i sprzętu elektronicznego, produkcja maszyn, produkcja pojazdów silnikowych i innych środków transportu, dostawcy cyfrowych usług, badania naukowe.

Lista jest na tyle szeroka, że pokrywa znaczną część polskiej gospodarki średniej – większość firm produkcyjnych, logistycznych, IT services, dostawców usług dla biznesu jest objęta NIS2 przy spełnieniu progu wielkości.

Podstawowa zasada NIS2: regulacja obejmuje podmioty średnie i duże w rozumieniu definicji UE. Średnia firma: 50–249 pracowników lub roczny obrót 10–50 mln EUR. Duża firma: 250+ pracowników lub obrót przekraczający 50 mln EUR.

Małe i mikro przedsiębiorstwa (poniżej 50 pracowników i poniżej 10 mln EUR obrotu) są co do zasady wyłączone z NIS2. Wyjątki: operatorzy infrastruktury krytycznej, administracja publiczna, niektóre podmioty wskazane przez państwa członkowskie.

Kryteria pracowników i obrotu liczy się na poziomie grupy kapitałowej, nie pojedynczej spółki. Firma 30 osób będąca częścią grupy 200 osób jest objęta NIS2 jako część grupy.

Klasyfikacja jako podmiot kluczowy lub ważny ma realne konsekwencje – podmioty kluczowe mają szerszy zakres obowiązków, wyższe maksymalne kary administracyjne (10 mln EUR / 2% obrotu vs 7 mln EUR / 1,4% obrotu).

Podstawowe kryterium: sektor (załącznik I = kluczowy, załącznik II = ważny) plus wielkość firmy. Duża firma w sektorze załącznika II jest klasyfikowana jako kluczowa, średnia firma w sektorze załącznika I może być kluczowa lub ważna.

Polska ustawa UoKSC doprecyzowuje kryteria klasyfikacji – m.in. w drodze rozporządzeń sektorowych (KNF dla finansów, UKE dla telekomunikacji, MZ dla ochrony zdrowia). Dla podmiotów wątpliwych warto formalnie wystąpić o klasyfikację do właściwego organu.

NIS2 wprowadza koncepcję bezpieczeństwa łańcucha dostaw. Podmioty objęte NIS2 mają obowiązek oceny ryzyka cyberbezpieczeństwa swoich dostawców i wymagania od nich wdrożenia odpowiednich środków bezpieczeństwa.

Typowe sytuacje: software house dostarczający systemy dla banku, agencja marketingowa obsługująca operatora telekomunikacyjnego, firma IT services świadcząca outsourcing dla szpitala. Wszystkie te podmioty mogą być zobowiązane kontraktowo do wdrożenia wymagań bezpieczeństwa.

Praktyczna konsekwencja: firmy, które jeszcze rok-dwa lata temu nie myślały o cyberbezpieczeństwie strategicznie, dziś otrzymują od kluczowych klientów ankiety bezpieczeństwa, wymogi dotyczące polityk, klauzule kontraktowe o standardach ochrony danych.

Krok pierwszy: identyfikacja sektora podstawowej działalności. Czy główna działalność firmy mieści się w jednym z 18 sektorów wymienionych w załącznikach I lub II do NIS2?

Krok drugi: sprawdzenie progu wielkości. Czy firma ma 50+ pracowników lub 10+ mln EUR rocznego obrotu? Jeśli należy do grupy kapitałowej – kryteria liczy się na poziomie grupy.

Krok trzeci: jeśli oba kryteria spełnione, klasyfikacja kluczowy/ważny. Sektor załącznika I + duża firma = kluczowy. Sektor załącznika II + duża firma = kluczowy. Sektor + średnia firma = zwykle ważny.

Krok czwarty: ocena łańcucha dostaw. Nawet jeśli firma nie podlega NIS2 bezpośrednio, sprawdzić czy główni klienci są podmiotami kluczowymi lub ważnymi.

Krok piąty: w przypadku wątpliwości – konsultacja prawna lub formalne wystąpienie o klasyfikację do właściwego organu nadzoru. Praktyczne wsparcie zapewnia program wdrożenia NIS2.