Dyrektywa NIS2 jest kluczowym elementem unijnej strategii cyberbezpieczeństwa. Wejdzie w życie w październiku 2024 roku. Jej celem jest wzmocnienie poziomu cyberbezpieczeństwa we wszystkich państwach członkowskich Unii Europejskiej poprzez ustanowienie obowiązków dla określonych podmiotów w zakresie zarządzania ryzykiem oraz raportowania incydentów. Dyrektywa NIS2 – kogo dotyczy? W porównaniu do swojej poprzedniczki – dyrektywy NIS, NIS 2 rozszerza katalog podmiotów, które będą zobowiązane do przestrzegania nowych przepisów w zakresie cyberbezpieczeństwa. Jakie to podmioty? Sprawdzamy.
Jakie podmioty uznaje się za kluczowe i ważne według dyrektywy NIS2?
W poprzednim artykule wyjaśniłyśmy podział na podmioty kluczowe i ważne. W ramach przypomnienia warto wskazać, że
podmiotami kluczowymi są podmioty, które dostarczają niezbędne usługi do funkcjonowania społeczeństwa, jak i całej gospodarki.
za podmioty ważne uznaje się wszelkie podmioty, które nie zostały zdefiniowane jako kluczowe oraz są podmiotem, który został uwzględniony w załączniku I i II do dyrektywy NIS2.
Art. 2 dyrektywy wskazuje, że przepisy te dotyczą podmiotów zarówno publicznych jak prywatnych, które:
- kwalifikują się jako średnie przedsiębiorstwa lub
- przekraczają pułap średnich przedsiębiorstw lub
- które świadczą usługi lub prowadzą działalność w Unii.
Dyrektywa NIS2 – kogo dotyczy? Sektor podmiotów kluczowych
Podmioty kluczowe, to te mające najistotniejsze znaczenie dla funkcjonowania gospodarki i społeczeństwa oraz mogące mieć bezpośredni wpływ na bezpieczeństwo każdego państwa i jego obywateli. NIS2 definiuje je w Załączniku I. Są nimi:
- Energetyka (np. PSE)
- Transport
- Bankowość – czyli instytucje kredytowe (np. PKO)
- Infrastruktura rynków finansowych (np. Giełda Papierów Wartościowych): Operatorzy systemów obrotu, Kontrahenci centralni (CCP)
- Opieka zdrowotna
- Woda pitna (wszelkie zakłady uzdatniające wodę oraz organizacje dostarczające taką wodę)
- Ścieki (Miejskie Przedsiębiorstwo Wodociągów i Kanalizacji)
- Infrastruktura cyfrowa
- Zarządzanie usługami ICT
- Kwalifikowani dostawcy usług zaufania i rejestry nazw domen najwyższego poziomu oraz dostawcy usług DNS (niezależnie od ich wielkości)
- Dostawcy publiczni sieci łączności elektronicznej lub dostawcy publicznie dostępnych usług łączności elektronicznej
- Podmioty administracji publicznej (Ministerstwa): Podmioty w ramach instytucji rządowych na szczeblu centralnym zdefiniowanym przez państwo członkowskie zgodnie z prawem krajowym; Podmioty administracji publicznej na szczeblu regionalnym zdefiniowane przez państwo członkowskie zgodnie z prawem krajowym
- Przestrzeń kosmiczna – operatorzy infrastruktury naziemnej należącej do, zarządzanej i obsługiwanej przez państwa członkowskie lub podmioty prywatne, które wspierają świadczenie usług kosmicznych,
- Inne wskazane w załączniku I i II do dyrektywy, które zostały wskazane przez państwa członkowskie jako kluczowe
- Podmioty krytyczne (czyli organizacje, instytucje i infrastruktury, które są istotne dla funkcjonowania państwa i społeczeństwa)
- Podmioty wskazane przez państwo członkowskie przed 16 stycznia 2023 r. jako operatorzy kluczowi
Podmioty kluczowe w zakresie energetyki, transportu, zdrowia i cyfryzacji
Niemal każdy z wymienionych wyżej punktów zawiera uszczegółowienie podmiotów, których dotyczy dyrektywa NIS2. Przyjrzyjmy się najważniejszym kategoriom, do których należą zdecydowanie energetyka, transport, opieka zdrowotna czy infrastruktura cyfrowa.
Energetyka
- Energia energetyczna – Przedsiębiorstwa energetyczne, Operatorzy systemów dystrybucyjnych, Operatorzy systemów przesyłowych, Wytwórcy, Wyznaczeni operatorzy rynku energii elektrycznej, Uczestnicy rynku, Operatorzy punktów ładowania odpowiedzialni za zarządzanie punktem ładowania i jego obsługę;
- System ciepłowniczy lub chłodniczy (operatorzy takich systemów);
- Ropa naftowa – operatorzy ropociągów, Operatorzy instalacji służących do produkcji, rafinacji, przetwarzania, magazynowania i przesyłu, krajowe centrale zapasów;
- Gaz – Przedsiębiorstwa dostarczające gaz, Operatorzy systemów dystrybucyjnych, Operatorzy systemów przesyłowych, Operatorzy systemów magazynowania, Operatorzy systemów LNG, Przedsiębiorstwa gazowe, Operatorzy instalacji służących do rafinacji i przetwarzania gazu ziemnego;
- Wodór,
- Operatorzy instalacji;
Transport
- Lotniczy – Przewoźnicy lotniczy, Zarządzający portem lotniczym, Operatorzy zarządzający ruchem lotniczym zapewniający służbę kontroli ruchu lotniczego;
- Kolejowy – Zarządcy infrastruktury, Przedsiębiorstwa kolejowe;
- Wodny – armatorzy śródlądowego, morskiego i przybrzeżnego wodnego transportu pasażerów i towarów, organy zarządzające portami, operatorzy systemów ruchu statków;
- Drogowy – Organy administracji drogowej, Operatorzy inteligentnych systemów transportowych
Opieka zdrowotna (szpitale zarówno prywatne jak i publiczne, NFZ):
- Świadczeniodawcy,
- Laboratoria referencyjne,
- Podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych, podmioty produkujące wyroby medyczne uznane za mające krytyczne znaczenie podczas danego stanu zagrożenia zdrowia publicznego,
Infrastruktura cyfrowa
- Dostawcy punktu wymiany ruchu internetowego,
- Dostawcy usług DNS, z wyłączeniem operatorów głównych serwerów nazw, Rejestry nazw TLD,
- Dostawcy usług chmurowych,
- Dostawcy usług ośrodka przetwarzania danych,
- Dostawcy sieci dostarczania treści,
- Dostawcy usług zaufania,
- Dostawcy publicznych sieci łączności elektronicznej,
- Dostawcy publicznie dostępnych usług łączności elektronicznej.
Dyrektywa NIS2 – kogo dotyczy? Przykłady podmiotów ważnych
Podmioty ważne, chociaż mają mniejsze znaczenie dla bezpieczeństwa niż podmioty kluczowe, to również muszą spełniać wymogi wskazane w dyrektywie NIS2. Podmioty te są z sektorów o mniejszym znaczeniu zarówno gospodarczym, jak i społecznym, jednak ich działalność nie jest bezpośrednio związana z funkcjonowaniem infrastruktury.
Do podmiotów ważnych dyrektywa zalicza podmioty świadczące następujące usługi:
- Usługi pocztowe i kurierskie (np. Poczta Polska) – operatorzy świadczący usługi pocztowe;
- Gospodarowanie odpadami – przedsiębiorstwa zajmujące się gospodarowaniem odpadami i recyklingiem;
- Produkcja, przetwarzanie i dystrybucja żywności (np. mleczarnie, wszelkie przedsiębiorstwa zajmujące się dystrybucją żywnościową na dużą skalę) – przedsiębiorstwa spożywcze;
- Produkcja: wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, komputerów, wyrobów elektronicznych i optycznych, urządzeń elektrycznych, maszyn i urządzeń, gdzie indziej niesklasyfikowana, pojazdów samochodowych, przyczep i naczep, pozostałego sprzętu transportowego;
- Dostawcy usług cyfrowych (np. Allegro, Google czy inne media społecznościowe) – dostawcy internetowych platform handlowych, dostawcy wyszukiwarek internetowych, dostawy usług sieci społecznych
- Badania naukowe, czyli organizacje badawcze (m.in. uniwersytety oraz politechniki).
Podsumowanie
Rozróżnienie na podmioty kluczowe i ważne ma ogromne znaczenie dla odpowiedniego zarządzania cyberbezpieczeństwem na poziomie zarówno krajowym jak i europejskim. Dyrektywa nakłada na członków UE obowiązek monitorowania i nadzorowania przestrzegania przepisów przez podmioty z obu kategorii. Robi to w celu zapewnienia stabilności i bezpieczeństwa oraz zminimalizowania ryzyka wynikającego z potencjalnych cyberataków. Jednym z najważniejszych celów niniejszej dyrektywy jest zarządzanie ryzykiem. Podmioty zarówno kluczowe jak i ważne muszą wdrożyć systemy zarządzania ryzykiem, które pozwolą na sprawne i szybkie reagowanie na wszelkiego rodzaju incydenty. Podmioty kluczowe, działające w sektorach krytycznych dla funkcjonowania państw, muszą spełniać surowsze wymagania. Natomiast podmioty ważne, choć podlegają mniejszym rygorom, również mają istotny wpływ na stabilność gospodarki i społeczeństwa.
Dowiedz się więcej o dyrektywie NIS2
Ten artykuł to kolejny z cyklu naszych postów o cyberbezpieczeństwie i dyrektywie NIS2. Dowiedz się więcej, czego dotyczy ta dyrektywa oraz kiedy i jak zostanie zaimplementowania do porządku prawnego w Polsce. Zobacz te wpisy:
- Dyrektywa NIS2 – co to jest i kogo dotyczy?
- CSIRT w Dyrektywie NIS2 – kto zadba o bezpieczeństwo cyfrowe w Polsce?
Pomożemy Ci przygotować się do wdrożenia NIS2 w Twojej organizacji
W naszej gdańskiej kancelarii armińska radcowie prawni pomożemy Twojej firmie dostosować się do nowych wymogów prawnych w obszarze cyberbezpieczeństwa. Oferujemy kompleksowe wsparcie – od szkoleń po plany wdrożeń rozwiązań dostosowujących przedsiębiorstwo do wymogów NIS2.
- Przeszkolimy Twój zespół z dyrektywy NIS2. Skontaktuj się z naszą kancelarią.
- szkolenia i warsztaty dla zarządu i pracowników, które zapewnią im solidną wiedzę na temat NIS2 i najlepszych praktyk zarządzania ryzykiem cyfrowym,
- szczegółowe audyty, pozwalające na ocenę poziomu zgodności Twojej instytucji ze zmianami, które będą wymagane na podstawie NIS2,
- pomoc w planowaniu i wdrażaniu rozwiązań odpowiadających NIS2, aby zapewnić płynne przejście i zgodność z nowymi regulacjami,
- prawną obsługę spółek – korporacyjną, w zakresie zatrudnienia, własności intelektualnej i danych osobowych.