NIS 2: czy Twoja firma jest ważna? A może kluczowa?

Przeczytaj także: Cyberbezpieczeństwo: dlaczego polskie firmy boją się dyrektyw UE?

Kogo obejmuje dyrektywa NIS 2?

Dyrektywa NIS 2 (ang. Network and Information Security Directive 2 – dalej NIS 2) dotyczy szerokiej grupy podmiotów, które działają w różnych sektorach i są istotne dla funkcjonowania społeczeństwa oraz gospodarki. Wprowadza podział na podmioty kluczowe (essential) i podmioty ważne (important), w zależności od ich wielkości oraz znaczenia dla bezpieczeństwa sieci i systemów informacyjnych. Ich obowiązki są niemal takie same, prawdopodobnie jednak (zgodnie z projektem ustawy nowelizującej procedowanym na szczeblu rządowym), inne będą podmioty nadzorujące ich realizację.

Czy jesteś kluczowy?

„Kluczowe”, w rozumieniu Dyrektywy NIS 2, są firmy i organizacje, które świadczą usługi najistotniejsze. Kluczowym może być wyłącznie duży podmiot, to jest ten, który:

• Zatrudnia co najmniej 250 osób.
• Ma roczny obrót przekraczający 50 milionów euro i/lub sumę bilansową przekraczającą 43 miliony euro.

Jeśli zatem spełniasz kryteria zatrudnienia i obrotu, sprawdź jeszcze, czy należysz do sektora lub branży kluczowej objętej obowiązkami z Dyrektywy NIS 2:

• Energetyka: firmy zajmujące się produkcją i dystrybucją energii elektrycznej, gazu oraz ropy.
• Transport: przedsiębiorstwa transportowe, w tym lotniska, porty, linie kolejowe oraz drogowi operatorzy transportowi.
• Finanse: banki i inne instytucje finansowe.
• Zdrowie: szpitale i inne placówki ochrony zdrowia.
• Woda i ścieki: przedsiębiorstwa wodociągowe i kanalizacyjne.
• Infrastruktura cyfrowa: operatorzy centrów danych, dostawcy usług chmurowych oraz inne firmy zarządzające infrastrukturą teleinformatyczną.
• Administracja publiczna: podmioty administracji rządowej i samorządowej wskazane w ustawie.

… a może ważny?

„Ważne”, w rozumieniu Dyrektywy NIS 2, są podmioty średnie, czyli te, które:

• Zatrudniają od 50 do 249 osób.
• Mają roczny obrót od 10 do 50 milionów euro i/lub sumę bilansową od 10 do 43 milionów euro.

Jeśli zatem jesteś podmiotem średnim i działasz w branży kluczowej albo w jednej z poniższych branż istotnych, to masz obowiązek dostosowania się do wymogów dyrektywy w zakresie cyberbezpieczeństwa:

• Poczta i kurierzy: podmioty świadczące usługi pocztowe i kurierskie.
• Odpady: podmioty zajmujące się zarządzaniem odpadami, w tym ich zbieraniem, transportem, przetwarzaniem i unieszkodliwianiem.
• Żywność: przedsiębiorstwa działające w sektorze produkcji i dystrybucji żywności.
• Chemikalia: firmy zajmujące się produkcją i dystrybucją substancji chemicznych.
• Produkcja:
  • wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro,
  • komputerów, wyrobów elektronicznych i optycznych,
  • urządzeń elektrycznych, innych maszyn i urządzeń,
  • pojazdów samochodowych, przyczep i naczep oraz pozostałego sprzętu transportowego.
• Dostawcy usług cyfrowych: internetowych platform handlowych, wyszukiwarek internetowych, platform usług sieci społecznościowych.
• Badania naukowe: organizacje naukowo-badawcze.

Podmioty podlegające dyrektywie NIS 2, mają obowiązek podjąć szereg działań mających na celu zwiększenie bezpieczeństwa ich sieci i systemów informacyjnych.

Jeśli zatem jesteś duży lub średni i działasz we wskazanych branżach – jesteś kluczowy/ważny, dla gospodarki oraz dla społeczeństwa.

Zła wiadomość jest taka, że na dostosowanie do wymogów dyrektywy pozostało już mniej niż 3 miesiące…

Małgorzata Woźniak, adwokat, Partner w