Trudności związane z oceną podlegania pod NIS 2 na przykładzie branży IT 

NIS 2 i ustawa o krajowym systemie cyberbezpieczeństwa (UKSC) wprowadzają pozornie jasne definicje podmiotów, które mają obejmować przepisy. Jednak w praktyce kwalifikacja działalności konkretnej firmy do ustawowych kategorii bywa skomplikowana.  

Główne wątpliwości dotyczą klasyfikacji pod NIS 2 podmiotów, które: 

  • prowadzą działalność w różnych obszarach jednocześnie; 
  • oprócz działalności głównej – która nie podlega NIS 2, świadczą uboczne usługi uznane w UKSC za ważne lub kluczowe; 
  • świadczą usługi na rzecz spółek z grupy (polskich lub zagranicznych). 

Trudności może sprawiać też interpretacja niektórych ustawowych definicji. Szerzej o najważniejszych problemach przedsiębiorców piszemy poniżej. 

Działalność główna a uboczna – co decyduje o kwalifikacji podmiotu pod NIS 2?  

Przepisy nie ograniczają się do poszczególnych usług, lecz obejmują całe podmioty wykonujące dany rodzaj działalności. Pojawia się więc pytanie, czy firma podlega pod UKSC, jeżeli tylko niewielka część jej działalności mieści się w kategoriach zaliczanych do ważnych lub kluczowych? 

W przypadku niektórych sektorów dyrektywa wprost wyłącza spod regulacji część usług świadczonych incydentalnie (np. dostawcę wody, dla którego dystrybucja wody pitnej nie stanowi istotnej części działalności).  

Jednak w obszarze IT brakuje takiego wyłączenia – przepisy posługują się kategoriami takimi jak „dostawca usług chmurowych” czy „dostawca usług zarządzanych” bez doprecyzowania, czy chodzi o działalność przeważającą. 

Przyjmuje się więc, że jeżeli dana usługa IT jest świadczona na rzecz klientów zewnętrznych (nawet jeśli to uboczna linia biznesowa firmy), należy brać ją pod uwagę przy kwalifikacji podmiotu jako ważnego lub kluczowego w rozumieniu NIS 2.

Przykładowo, producent oprogramowania, który dodatkowo oferuje klientom hosting w chmurze dla swoich systemów, prawdopodobnie będzie uznany za dostawcę usługi chmurowej. Mimo że usługa ta tylko wspiera sprzedaż jego podstawowego produktu. Granica bywa trudna do wytyczenia, przez co pojawia się pole do błędnej interpretacji przepisów. 

Świadczenie usług ważnych i kluczowych a klasyfikacja całej działalności 

Firmy IT często oferują pakietowe rozwiązania łączące cechy różnych usług. Przykładowo przedsiębiorstwo może prowadzić fizyczne data center i jednocześnie oferować usługi chmurowe (na tej infrastrukturze), a także świadczyć usługi bezpieczeństwa zarządzanego (monitorując systemy). Taka firma wpisuje się w kilka kategorii ujętych w UKSC naraz. Jak ją zatem zaklasyfikować?  

Na gruncie NIS 2 nie ma potrzeby wybierania jednej etykiety – dlatego każdą z ról (każdy rodzaj działalności) należy przeanalizować osobno.  

W efekcie przedsiębiorstwo musi spełnić wymagania właściwe dla wszystkich typów usług, które świadczy. A status całego podmiotu (kluczowy lub ważny) określa się według najsilniej regulowanej z tych ról. 

Jeżeli choć jedna wykonywana działalność plasuje firmę w sektorze kluczowym, to powinna się ona przygotować na obowiązki podmiotu kluczowego.  

Niejasności definicyjne w UKSC – czy pojawią się dodatkowe wytyczne?

Wstępne analizy doktryny wskazują na pewne wątpliwości interpretacyjne – np. brak precyzyjnych definicji niektórych pojęć. Problematyczne kwestie dotyczą m.in. tego: 

  • co dokładnie odróżnia usługę chmurową od tradycyjnego hostingu,  
  • kiedy usługa staje się „publicznie dostępna” w rozumieniu ustawy. 

Praktyka stosowania nowych przepisów dopiero się kształtuje, więc możliwe, że z czasem pojawią się dodatkowe wytyczne krajowe dotyczące kwalifikacji podmiotów pod NIS 2. Polski ustawodawca może np. doprecyzować kategorie podmiotów w rozporządzeniu.  

Warto więc śledzić oficjalne interpretacje, a także wypowiedzi organów nadzorczych oraz ekspertów. Pozwoli to właściwie odczytać intencje ustawodawcy i zapobiec błędom w klasyfikacji działalności.  

Bądź na bieżąco w temacie NIS 2 

Monitorujemy zmiany i śledzimy terminy kluczowe dla przedsiębiorców objętych zmianami w ustawie o krajowym systemie cyberbezpieczeństwa. 

Konsekwencje błędnej kwalifikacji podmiotu pod NIS 2

Ustawodawca wprowadził mechanizm samoidentyfikacji, oczekując, że przedsiębiorcy sami zrozumieją nowe regulacje i dobrowolnie zgłoszą się do rejestru podmiotów kluczowych lub ważnych. Zlekceważenie tego obowiązku lub pomyłka w ocenie może jednak mieć poważne skutki. 

Kary finansowe  

Wdrożenie wymaganych zabezpieczeń, raportowanie incydentów czy współpraca z CSIRT to część obowiązków podmiotów podlegających pod UKSC. Jeśli organizacja nie będzie ich realizować (ze względu na błędną klasyfikację), to naruszy przepisy, za co grożą dotkliwe sankcje administracyjne.  

Maksymalne kary finansowe to: 

  • 10 mln euro lub 2% światowego obrotu w przypadku podmiotu kluczowego (w zależności, która wartość jest wyższa) oraz 
  • 7 mln euro lub 1,4% obrotu dla podmiotu ważnego (w zależności, która wartość jest wyższa).  

Jeśli zaniedbanie cyberbezpieczeństwa spowodowałoby zagrożenie dla bezpieczeństwa państwa lub zdrowia publicznego, polskie przepisy przewidują   karę do 100 mln zł.  

Odpowiedzialność osobista kadry zarządzającej 

Nowością jest wprowadzenie personalnej odpowiedzialności członków zarządów i kierownictwa za zgodność z wymogami cyberbezpieczeństwa. Za rażące naruszenia menedżerom grozić mogą kary finansowe do 300% miesięcznego wynagrodzenia, a w skrajnych wypadkach nawet czasowy zakaz pełnienia funkcji kierowniczych w podmiocie objętym regulacją.  

Oznacza to, że niezastosowanie NIS 2 może skutkować konsekwencjami nie tylko dla firmy, ale i osobiście dla decydentów.  

Ryzyko reputacyjne i kontraktowe 

Niedostosowanie się do nowych regulacji ustawy o krajowym systemie cyberbezpieczeństwa może oznaczać utracenie zaufania klientów – zwłaszcza tych dużych, którzy coraz częściej wymagają od dostawców statusu „zgodności z NIS 2” w łańcuchu dostaw. 

Ponadto niezgłoszenie poważnego incydentu lub jego niewłaściwe obsłużenie może spotkać się z roszczeniami kontraktowymi ze strony klientów dotkniętych takim incydentem. Skoro prawo wymaga określonych działań, łatwiej będzie im wykazać zaniedbanie dostawcy.  

Branża IT w NIS 2 – kogo dotyczą nowe regulacje? 

Sprawdź, które podmioty z branży IT są zaliczane do podmiotów kluczowych lub ważnych – i dlaczego.

Podsumowanie 

Proces klasyfikacji dostawców usług cyfrowych w świetle NIS 2 to fundamentalne zadanie dla firm z branż IT i telekomunikacyjnej. Nowe przepisy wprowadzają jednolitą, surową regulację cyberbezpieczeństwa, w której to przedsiębiorca sam musi rozstrzygnąć, czy jest „kluczowy”, „ważny” czy też wcale nie podlega pod wprowadzone zmiany.  

Wymaga to: 

  • analizy oferty usługowej pod kątem definicji ustawowych,  
  • oceny charakteru i znaczenia tych usług,  
  • uwzględnienia kryteriów wielkości podmiotu.  

Zmiennych jest sporo, a od poprawnej kwalifikacji zależy, czy firma wdroży obowiązkowe zabezpieczenia i procedury, unikając kar oraz incydentów – czy też znajdzie się pod lupą regulatora w najmniej oczekiwanym momencie.  

Jeśli potrzebują Państwo wsparcia w określeniu, czy i w jakim zakresie organizacja podlega pod NIS 2, to zachęcamy do kontaktu. Lepiej zawczasu uporządkować swój status w krajowym systemie cyberbezpieczeństwa, niż później tłumaczyć się z zaniedbań lub płacić wysokie kary. 

Cyberbezpieczeństwo w sektorze IT to dziś nie tylko kwestia techniczna, ale i prawna – warto mieć pewność, że organizacja zna swoją rolę w nowym systemie i jest gotowa sprostać wymaganiom regulatora. 

Autor :
Marta Kocińska-Furga
Senior Associate Radca prawny | OW Legal
W codziennej pracy zajmuje się kompleksowym doradztwem na rzecz średnich oraz dużych przedsiębiorstw działających w branży IT, nowych technologii, a także w branży produkcyjnej i budowlanej.
Autor :
Dawid Knop
Junior Associate | OW Legal

może zainteresuje Cię również