Mój koszyk

cień postaci kogo dotyczy nis2

Dyrektywa NIS2. Kogo dotyczy?

Dyrektywa NIS2 jest kluczowym elementem unijnej strategii cyberbezpieczeństwa. Wejdzie w życie w październiku 2024 roku. Jej celem jest wzmocnienie poziomu cyberbezpieczeństwa we wszystkich państwach członkowskich Unii Europejskiej poprzez ustanowienie obowiązków dla określonych podmiotów w zakresie zarządzania ryzykiem oraz raportowania incydentów. Dyrektywa NIS2 – kogo dotyczy? W porównaniu do swojej poprzedniczki – dyrektywy NIS, NIS 2 rozszerza katalog podmiotów, które będą zobowiązane do przestrzegania nowych przepisów w zakresie cyberbezpieczeństwa. Jakie to podmioty? Sprawdzamy.

Jakie podmioty uznaje się za kluczowe i ważne według dyrektywy NIS2?

W poprzednim artykule wyjaśniłyśmy podział na podmioty kluczowe i ważne. W ramach przypomnienia warto wskazać, że

podmiotami kluczowymi są podmioty, które dostarczają niezbędne usługi do funkcjonowania społeczeństwa, jak i całej gospodarki.

za podmioty ważne uznaje się wszelkie podmioty, które nie zostały zdefiniowane jako kluczowe oraz są podmiotem, który został uwzględniony w załączniku I i II do dyrektywy NIS2.

Art. 2 dyrektywy wskazuje, że przepisy te dotyczą podmiotów zarówno publicznych jak prywatnych, które:

  1. kwalifikują się jako średnie przedsiębiorstwa lub
  2. przekraczają pułap średnich przedsiębiorstw lub
  3. które świadczą usługi lub prowadzą działalność w Unii. 
tłum ludzi na lotnisku obrazek do wpisu dyrektywa nis2 kogo dotyczy

Dyrektywa NIS2 – kogo dotyczy? Sektor podmiotów kluczowych  

Podmioty kluczowe, to te mające najistotniejsze znaczenie dla funkcjonowania gospodarki i społeczeństwa oraz mogące mieć bezpośredni wpływ na bezpieczeństwo każdego państwa i jego obywateli. NIS2 definiuje je w Załączniku I. Są nimi:

  1. Energetyka (np. PSE)
  2. Transport
  3. Bankowość – czyli instytucje kredytowe (np. PKO)
  4. Infrastruktura rynków finansowych (np. Giełda Papierów Wartościowych): Operatorzy systemów obrotu, Kontrahenci centralni (CCP)
  5. Opieka zdrowotna
  6. Woda pitna (wszelkie zakłady uzdatniające wodę oraz organizacje dostarczające taką wodę)
  7. Ścieki (Miejskie Przedsiębiorstwo Wodociągów i Kanalizacji)
  8. Infrastruktura cyfrowa
  9. Zarządzanie usługami ICT
  10. Kwalifikowani dostawcy usług zaufania i rejestry nazw domen najwyższego poziomu oraz dostawcy usług DNS (niezależnie od ich wielkości)
  11. Dostawcy publiczni sieci łączności elektronicznej lub dostawcy publicznie dostępnych usług łączności elektronicznej
  12. Podmioty administracji publicznej (Ministerstwa): Podmioty w ramach instytucji rządowych na szczeblu centralnym zdefiniowanym przez państwo członkowskie zgodnie z prawem krajowym; Podmioty administracji publicznej na szczeblu regionalnym zdefiniowane przez państwo członkowskie zgodnie z prawem krajowym
  13. Przestrzeń kosmiczna – operatorzy infrastruktury naziemnej należącej do, zarządzanej i obsługiwanej przez państwa członkowskie lub podmioty prywatne, które wspierają świadczenie usług kosmicznych,
  14. Inne wskazane w załączniku I i II do dyrektywy, które zostały wskazane przez państwa członkowskie jako kluczowe
  15. Podmioty krytyczne (czyli organizacje, instytucje i infrastruktury, które są istotne dla funkcjonowania państwa i społeczeństwa)
  16. Podmioty wskazane przez państwo członkowskie przed 16 stycznia 2023 r. jako operatorzy kluczowi

Podmioty kluczowe w zakresie energetyki, transportu, zdrowia i cyfryzacji

Niemal każdy z wymienionych wyżej punktów zawiera uszczegółowienie podmiotów, których dotyczy dyrektywa NIS2. Przyjrzyjmy się najważniejszym kategoriom, do których należą zdecydowanie energetyka, transport, opieka zdrowotna czy infrastruktura cyfrowa.

Energetyka

  1. Energia energetyczna – Przedsiębiorstwa energetyczne, Operatorzy systemów dystrybucyjnych, Operatorzy systemów przesyłowych, Wytwórcy, Wyznaczeni operatorzy rynku energii elektrycznej, Uczestnicy rynku, Operatorzy punktów ładowania odpowiedzialni za zarządzanie punktem ładowania i jego obsługę;
  2. System ciepłowniczy lub chłodniczy (operatorzy takich systemów);
  3. Ropa naftowa – operatorzy ropociągów, Operatorzy instalacji służących do produkcji, rafinacji, przetwarzania, magazynowania i przesyłu, krajowe centrale zapasów;
  4. Gaz – Przedsiębiorstwa dostarczające gaz, Operatorzy systemów dystrybucyjnych, Operatorzy systemów przesyłowych, Operatorzy systemów magazynowania, Operatorzy systemów LNG, Przedsiębiorstwa gazowe, Operatorzy instalacji służących do rafinacji i przetwarzania gazu ziemnego;
  5. Wodór,
  6. Operatorzy instalacji;

Transport

  1. Lotniczy – Przewoźnicy lotniczy, Zarządzający portem lotniczym, Operatorzy zarządzający ruchem lotniczym zapewniający służbę kontroli ruchu lotniczego;
  2. Kolejowy – Zarządcy infrastruktury, Przedsiębiorstwa kolejowe;
  3. Wodny – armatorzy śródlądowego, morskiego i przybrzeżnego wodnego transportu pasażerów i towarów, organy zarządzające portami, operatorzy systemów ruchu statków;
  4. Drogowy – Organy administracji drogowej, Operatorzy inteligentnych systemów transportowych

Opieka zdrowotna (szpitale zarówno prywatne jak i publiczne, NFZ):

  1. Świadczeniodawcy,
  2. Laboratoria referencyjne,
  3. Podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych, podmioty produkujące wyroby medyczne uznane za mające krytyczne znaczenie podczas danego stanu zagrożenia zdrowia publicznego,

Infrastruktura cyfrowa

  1. Dostawcy punktu wymiany ruchu internetowego,
  2. Dostawcy usług DNS, z wyłączeniem operatorów głównych serwerów nazw, Rejestry nazw TLD,
  3. Dostawcy usług chmurowych,
  4. Dostawcy usług ośrodka przetwarzania danych,
  5. Dostawcy sieci dostarczania treści,
  6. Dostawcy usług zaufania,
  7. Dostawcy publicznych sieci łączności elektronicznej,
  8. Dostawcy publicznie dostępnych usług łączności elektronicznej.
dyrektywa nis2 kogo dotyczy podmioty ważne ludzie przy stole

Dyrektywa NIS2 – kogo dotyczy? Przykłady podmiotów ważnych

Podmioty ważne, chociaż mają mniejsze znaczenie dla bezpieczeństwa niż podmioty kluczowe, to również muszą spełniać wymogi wskazane w dyrektywie NIS2. Podmioty te są z sektorów o mniejszym znaczeniu zarówno gospodarczym, jak i społecznym, jednak ich działalność nie jest bezpośrednio związana z funkcjonowaniem infrastruktury.

Do podmiotów ważnych dyrektywa zalicza podmioty świadczące następujące usługi:

  1. Usługi pocztowe i kurierskie (np. Poczta Polska) – operatorzy świadczący usługi pocztowe;
  2. Gospodarowanie odpadami – przedsiębiorstwa zajmujące się gospodarowaniem odpadami i recyklingiem;
  3. Produkcja, przetwarzanie i dystrybucja żywności (np. mleczarnie, wszelkie przedsiębiorstwa zajmujące się dystrybucją żywnościową na dużą skalę) – przedsiębiorstwa spożywcze;
  4. Produkcja: wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, komputerów, wyrobów elektronicznych i optycznych, urządzeń elektrycznych, maszyn i urządzeń, gdzie indziej niesklasyfikowana, pojazdów samochodowych, przyczep i naczep, pozostałego sprzętu transportowego;
  5. Dostawcy usług cyfrowych (np. Allegro, Google czy inne media społecznościowe) – dostawcy internetowych platform handlowych, dostawcy wyszukiwarek internetowych, dostawy usług sieci społecznych
  6. Badania naukowe, czyli organizacje badawcze (m.in. uniwersytety oraz politechniki).

Podsumowanie

            Rozróżnienie na podmioty kluczowe i ważne ma ogromne znaczenie dla odpowiedniego zarządzania cyberbezpieczeństwem na poziomie zarówno krajowym jak i europejskim. Dyrektywa nakłada na członków UE obowiązek monitorowania i nadzorowania przestrzegania przepisów przez podmioty z obu kategorii. Robi to w celu zapewnienia stabilności i bezpieczeństwa oraz zminimalizowania ryzyka wynikającego z potencjalnych cyberataków. Jednym z najważniejszych celów niniejszej dyrektywy jest zarządzanie ryzykiem. Podmioty zarówno kluczowe jak i ważne muszą wdrożyć systemy zarządzania ryzykiem, które pozwolą na sprawne i szybkie reagowanie na wszelkiego rodzaju incydenty. Podmioty kluczowe, działające w sektorach krytycznych dla funkcjonowania państw, muszą spełniać surowsze wymagania. Natomiast podmioty ważne, choć podlegają mniejszym rygorom, również mają istotny wpływ na stabilność gospodarki i społeczeństwa.

Dowiedz się więcej o dyrektywie NIS2

Ten artykuł to kolejny z cyklu naszych postów o cyberbezpieczeństwie i dyrektywie NIS2. Dowiedz się więcej, czego dotyczy ta dyrektywa oraz kiedy i jak zostanie zaimplementowania do porządku prawnego w Polsce. Zobacz te wpisy:


Pomożemy Ci przygotować się do wdrożenia NIS2 w Twojej organizacji

W naszej gdańskiej kancelarii armińska radcowie prawni pomożemy Twojej firmie dostosować się do nowych wymogów prawnych w obszarze cyberbezpieczeństwa. Oferujemy kompleksowe wsparcie – od szkoleń po plany wdrożeń rozwiązań dostosowujących przedsiębiorstwo do wymogów NIS2.

Nasze usługi obejmują m.in.:

  • szkolenia i warsztaty dla zarządu i pracowników, które zapewnią im solidną wiedzę na temat NIS2 i najlepszych praktyk zarządzania ryzykiem cyfrowym,
  • szczegółowe audyty, pozwalające na ocenę poziomu zgodności Twojej instytucji ze zmianami, które będą wymagane na podstawie NIS2,
  • pomoc w planowaniu i wdrażaniu rozwiązań odpowiadających NIS2, aby zapewnić płynne przejście i zgodność z nowymi regulacjami,
  • prawną obsługę spółek – korporacyjną, w zakresie zatrudnienia, własności intelektualnej i danych osobowych.
Radczynie prawne i prawniczki z kancelarii armińska radcowie prawni
Zapraszamy do współpracy

Podoba Ci się ten artykuł? Udostępnij:

Facebook
Twitter
LinkedIn
WhatsApp