Sektor IT w NIS 2 – kogo dotyczą nowe regulacje?
Dyrektywa NIS 2 i ustawa o krajowym systemie cyberbezpieczeństwa (UKSC) stawiają firmy z branży IT w centrum uwagi. Do tej pory polskie regulacje miały ograniczony zakres, ale po nowelizacji obejmują znacznie więcej podmiotów. Organizacje zajmujące się dostarczaniem infrastruktury cyfrowej oraz zarządzaniem usługami ICT muszą samodzielnie ocenić, czy klasyfikują się jako podmiot ważny lub kluczowy, co nie zawsze jest proste ze względu na złożoność oferty usług (np. przenikanie się wzajemne usług profesjonalnych z usługami zarządzanymi), często szytej na miarę pod danego klienta. Jak więc podejść do samoidentyfikacji podlegania pod NIS 2?
Co obejmuje sektor infrastruktury cyfrowej oraz usług ICT i które z nich podlegają pod UKSC?
W kontekście NIS 2 kluczowe jest zrozumienie, jakie rodzaje usług IT ustawodawca uznał za istotne z perspektywy cyberbezpieczeństwa. Poniżej przedstawiamy, które podmioty z branży cyfrowej są zaliczane do podmiotów kluczowych lub ważnych – i dlaczego.
Kluczowe usługi IT w ujęciu UKSC
W ramach infrastruktury cyfrowej, komunikacji elektronicznej oraz zarządzania usługami ICT ustawa o krajowym systemie cyberbezpieczeństwa wyróżnia następujące kategorie dostawców kluczowych:
Dostawcy punktów wymiany ruchu internetowego (IXP)
Organizacje utrzymujące węzły, w których różni operatorzy sieci łączą się w celu bezpośredniej wymiany ruchu internetowego. Są one kluczowe dla funkcjonowania krajowego i globalnego Internetu, ponieważ to od ich stabilności zależy dostępność i jakość działania znacznej części krajowego (i często transgranicznego) internetu.
Dostawcy usług DNS
Podmioty obsługujące system domen internetowych, czyli zamianę nazw domen na odpowiadające im adresy IP. Ich prawidłowe działanie zapewnia użytkownikom dostęp do usług internetowych pod przyjaznymi nazwami zamiast liczbowych adresów. Cyberatak na takiego dostawcę jest niebezpieczny, bo DNS jest „książką telefoniczną” internetu – jeżeli zostanie zakłócony lub zmanipulowany, użytkownicy mogą stracić dostęp do wielu usług naraz, a także mogą zostać niepostrzeżenie przekierowani do fałszywych serwisów. Takie sytuacje eskalują ryzyko kradzieży danych, infekcji i ataków łańcuchowych.
Rejestry nazw domen najwyższego poziomu (TLD)
Organizacje zarządzające konkretnymi domenami najwyższego poziomu (krajowymi lub ogólnoświatowymi) odpowiadają za utrzymanie danej domeny (np. .pl, .com) oraz rejestrowanie pod nią nazw domen. Przykładem w Polsce jest instytut NASK, pełniący funkcję rejestru dla domeny .pl.
Dostawcy chmury obliczeniowej
Firmy udostępniające użytkownikom zewnętrznym moc obliczeniową, przestrzeń dyskową czy oprogramowanie w modelu usługowym (np. w modelu IaaS/PaaS/SaaS – infrastruktura, platforma lub oprogramowanie jako usługa). Umożliwiają klientom elastyczne korzystanie z zasobów IT bez potrzeby posiadania własnej infrastruktury. Dostawcy chmury koncentrują i współdzielą krytyczne dane oraz usługi wielu organizacji, więc cyberatak na chmurę może jednocześnie spowodować masową niedostępność, wyciek danych i rozprzestrzenienie się skutków incydentu na klientów oraz ich łańcuchy dostaw.
Dostawcy usług centrum przetwarzania danych
Podmioty oferujące infrastrukturę centrów danych, czyli zabezpieczone ośrodki obliczeniowe (z odpowiednim zasilaniem, chłodzeniem, łącznością itp.), w których klienci mogą umieszczać swoje serwery lub inne zasoby informatyczne. Dostawcy usług centrów danych stanowią fizyczną bazę działania systemów IT wielu organizacji, więc incydent cybernetyczny lub sabotaż w data center może jednocześnie unieruchomić wiele krytycznych usług i przerwać ciągłość działania różnych podmiotów.
Dostawcy sieci dostarczania treści (Content Delivery Network – CDN)
Przedsiębiorstwa utrzymujące rozproszone geograficznie sieci serwerów, które przyspieszają i zabezpieczają dostarczanie treści w internecie (np. stron WWW, plików, strumieni wideo). Dzięki nim użytkownicy szybciej otrzymują potrzebne dane, niezależnie od swojego położenia. Tacy dostawcy odpowiadają nie tylko za dystrybucję, ale i ochronę (w tym przeciw atakom DDoS) ogromnej liczby serwisów jednocześnie. Dlatego cyberatak lub awaria CDN może masowo zakłócić dostępność i bezpieczeństwo wielu usług internetowych naraz.
Kwalifikowani dostawcy usług zaufania
Podmioty świadczące tzw. usługi zaufania w rozumieniu rozporządzenia eIDAS (m.in. kwalifikowane usługi certyfikacji podpisu elektronicznego, pieczęci elektronicznej, walidacji podpisów, znacznika czasu itp.). Ze względu na wagę tych usług dla bezpieczeństwa elektronicznego obrotu prawnego, zostali oni wprost wymienieni w ustawie jako podmioty kluczowe bez względu na wielkość przedsiębiorstwa.
Podmioty świadczące usługę rejestracji nazw domen
Tak zwani rejestratorzy domen internetowych, czyli firmy pośredniczące między rejestrem TLD a abonentami domen. Umożliwiają one klientom końcowym rejestrację i utrzymywanie nazw domen w określonych TLD oraz zapewniają obsługę administracyjną z tym związaną.
Przedsiębiorcy komunikacji elektronicznej
Dostawcy publicznych sieci lub usług telekomunikacyjnych, świadczonych powszechnie użytkownikom. Pojęcie to obejmuje m.in. operatorów sieci telekomunikacyjnych (np. sieci telefonii komórkowej, internetu stacjonarnego) oraz dostawców publicznie dostępnych usług łączności (np. usług telefonicznych, dostępu do internetu). Przedsiębiorcy telekomunikacyjny zapewniają podstawową łączność dla społeczeństwa i gospodarki, więc cyberatak na ich sieci może jednocześnie zakłócić dostęp do usług krytycznych, sparaliżować komunikację oraz utrudnić reagowanie na incydenty w wielu sektorach naraz.
Dostawcy usług zarządzanych (ICT)
Firmy świadczące na rzecz innych organizacji usługi zewnętrznego zarządzania infrastrukturą informatyczną, systemami IT lub procesami ICT klientów. Działają w modelu outsourcingu – przejmują np. administrację systemami i siecią klienta, utrzymanie sprzętu i oprogramowania czy wsparcie użytkowników.
Dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa
Podmioty specjalizujące się w oferowaniu bezpieczeństwa IT jako usługi dla innych firm. Zapewniają m.in.:
- zdalne monitorowanie i reakcję na incydenty (Security Operations Center),
- testy penetracyjne i audyty bezpieczeństwa,
- doradztwo w zakresie ochrony systemów,
- zarządzanie podatnościami, czyli właściwości produktu ICT lub usługi ICT, które mogą być wykorzystane przez cyberzagrożenie.
Jakie są sektory ważne w ramach usług IT?
W ramach sektora ważnego ustawa wymienia dostawców usług cyfrowych, czyli operatorów największych platform online. Do tej kategorii należą trzy typy podmiotów świadczących usługi przez internet na szeroką skalę:
- internetowe platformy handlowe (umożliwiające transakcje B2C i C2C);
- wyszukiwarki internetowe;
- platformy usług sieci społecznościowych.
Choć operatorzy takich platform tradycyjnie nie kojarzą się z „infrastrukturą”, to również muszą dokonać samooceny i – o ile będą kwalifikować się jako podmiot ważny lub kluczowy – przestrzegać wymogów cyberbezpieczeństwa przewidzianych w UKSC.
Podsumowanie
Jeśli działają Państwo w organizacji, którą UKSC klasyfikuje jako podmiot kluczowy lub ważny, to do 3 października 2026 r. trzeba dokonać zgłoszenia do rejestru. W razie potrzeby wsparcia przy samoidentyfikacji, zachęcamy do kontaktu. Chętnie pomożemy w tym procesie, a także kolejnych obowiązkach, które obejmą podmioty z sektora IT w związku z UKSC.