NIS2: kogo dotyczy i jakie konsekwencje mogą ponieść członkowie zarządu za niespełnienie obowiązków w zakresie cyberbezpieczeństwa?

29 października 2024 |

Dyrektywa NIS2 [1] to jedno z głośniejszych haseł w ostatnim czasie. To już (raczej) powszechnie znany fakt, iż konieczność implementacji dyrektywy NIS2 w ramach przepisów krajowych, wiąże się ze znaczącym rozszerzeniem kręgu podmiotów, które będą zobowiązane do wdrożenia obowiązków wynikających z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa [2]. Na ustawę, dzięki której regulacje z dyrektywy NIS2 zostaną wprowadzone do naszego porządku prawnego, jeszcze musimy poczekać. Na stan obecny, na podstawie najświeższego projektu ustawy zmieniającej ustawę o krajowym systemie cyberbezpieczeństwa [3], możemy wyłącznie przewidywać, jak będzie klarował się przyszły stan prawny. Jako, iż na finalny kształt przepisów musimy poczekać, uwagi wymaga fakt, iż ostateczne rozwiązania mogą ulec zmianie i znacząco różnić się od aktualnego brzmienia projektu. Warto być jednak na bieżąco i budować świadomość o istotności tego tematu. Przechodząc do sedna: co wynika z niedawno opublikowanego, nowego projektu ustawy? Poniżej przedstawiamy kilka istotnych, wybranych aspektów w tym zakresie.

Zakres podmiotowy

Ustalenie zakresu podmiotowego projektowanej ustawy (czyli tego, kto zgodnie z aktualnym projektem miałby „podpadać” pod znowelizowaną ustawę o krajowym systemie cyberbezpieczeństwa) to nie lada wyzwanie. Jest to proces, na który – ujmując to najbardziej ogólnie – co do zasady składa się kilka czynników: rodzaj wykonywanej działalności, wielkość podmiotu, w tym liczba osób zatrudnionych, obrót lub suma bilansowa, a także ewentualne powiązania z innymi podmiotami.

Aktualny projekt ustawy, w ślad za dyrektywą NIS2, dzieli podmioty nią objęte na tzw. kluczowe i ważne.

W przypadku podmiotów kluczowych, można je z kolei podzielić na: zależne od wielkości i niezależne od wielkości.

Jeżeli chodzi o podmioty kluczowe zależne od wielkości, to projekt ustawy wymienia następujące podmioty:

  • podmiot wskazany w załączniku nr 1 ustawy, który przewyższa wymogi dla średniego przedsiębiorstwa określone w rozporządzeniu Komisji (UE) nr 651/2014 [4];
  • przedsiębiorca komunikacji elektronicznej, który co najmniej spełnia wymogi dla średniego przedsiębiorcy określone w rozporządzeniu Komisji (UE) nr 651/2014 [4];
  • dostawca usług zarządzanych w zakresie cyberbezpieczeństwa, który co najmniej spełnia wymogi dla małego lub średniego przedsiębiorcy określone w rozporządzeniu Komisji (UE) nr 651/2014 [4].

Jak wynika z powyższego wyliczenia, w zależności od prowadzonej działalności,  koniecznym działaniem może być „przejście” przez załącznik nr 1 projektu ustawy, który wymienia podmioty z sektora kluczowego.  W załączniku tym, odnajdziemy tabelę z następującymi pozycjami: sektory, podsektory oraz rodzaj podmiotuw tej ostatniej kolumnie znajdują się odniesienia do innych aktów prawnych, które stanowią ramy prawne statusu danego podmiotu oraz określają zakres jego działalności. Dla przykładu, w sektorze ochrona zdrowia i w jego podsektorze produkcja i dystrybucja substancji czynnych, produktów leczniczych i wyrobów medycznych, wymieniony jest między innymi podmiot produkujący podstawowe substancje farmaceutyczne oraz leki i pozostałe wyroby farmaceutyczne, o których mowa w sekcji C dział 21 klasyfikacji NACE Rev. 2. Potwierdza to zatem konieczność dokładnego zweryfikowania także trzeciej kolumny z tabeli, która wskazuje podmiot poprzez zakres jego działalności. Oczywiście, pierwszym krokiem jest zweryfikowanie, czy podmiot działa w sektorze wymienionym w załączniku nr 1, a mianowicie projekt ustawy wymienia następujące branże: energia, transport, bankowość i infrastruktura rynków finansowych [5], ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja, zbiorowe odprowadzanie ścieków, infrastruktura cyfrowa, zarządzanie usługami ICT, przestrzeń kosmiczna.

Jeżeli chodzi o podmioty kluczowe niezależne od wielkości, projekt ustawy wymienia następujące podmioty:

  • dostawca usług DNS;
  • kwalifikowany dostawca usług zaufania;
  • podmiot krytyczny;
  • podmiot publiczny;
  • podmiot zidentyfikowany jako podmiot kluczowy przez organ właściwy do spraw cyberbezpieczeństwa lub ministra do spraw informatyzacji (na warunkach wskazanych w ustawie);
  • podmiot niebędący przedsiębiorcą wskazany z nazwy w załączniku nr 1 do ustawy z nazwy albo poprzez określenie jego rodzaju;
  • operator obiektu energetyki jądrowej;
  • rejestr nazw domen najwyższego poziomu (TLD).

Jeżeli chodzi o podmioty ważne, projekt ustawy wymienia następujące podmioty:

  • podmiot wskazany w załączniku nr 1 lub 2 do ustawy, który spełnia wymogi dla średniego przedsiębiorcy określone w rozporządzeniu Komisji (UE) nr 651/2014 [4], a który nie jest podmiotem kluczowym;
  • niekwalifikowany dostawca usług zaufania będący mikro przedsiębiorcą, małym lub średnim przedsiębiorcą zgodnie z rozporządzeniem Komisji UE nr 651/2014 [4];
  • przedsiębiorca komunikacji elektronicznej będący mikro przedsiębiorcą, małym lub średnim przedsiębiorcą zgodnie z rozporządzeniem Komisji UE nr 651/2014 [4];
  • inwestor obiektu energetyki jądrowej;
  • podmiot zidentyfikowany za ważny przez organ właściwy do spraw cyberbezpieczeństwa;
  • podmiot niebędący przedsiębiorcą wskazany z nazwy w załączniku nr 2 do ustawy z nazwy albo poprzez określenie jego rodzaju.

Jak już była o tym mowa powyżej, rodzaj prowadzonej działalność, to nie jedyny czynnik który ma mieć znaczenie dla oceny, czy dany podmiot kwalifikuje się pod nowe przepisy. Istotna jest bowiem także wielkość podmiotu. Nie dotyczy to oczywiście podmiotów, które mają „podpadać” pod przepisy niezależnie od ich wielkości. Wracając jednakże do aspektu wielkości, kluczową kwestią w tym zakresie jest:

  • wielkość zatrudnienia,
  •  a także w większości przypadków – obroty lub suma bilansowa,

– liczone zgodnie z rozporządzeniem Komisji (UE) nr 651/2014 [4].

Oznacza to, iż konieczne może okazać się wzięcie pod uwagę liczby zatrudnienia, obrotów lub sumy bilansowej podmiotów powiązanych lub partnerskich zgodnie z ww. rozporządzeniem unijnym. Innymi słowy, podmiot powinien ocenić, czy jest podmiotem samodzielnym, partnerskim bądź powiązanym w rozumieniu ww. przepisów. Co jednak istotne, projekt ustawy zakłada, iż jeżeli podmiot spełnia wymogi do uznania go za podmiot kluczowy lub ważny z uwagi na jego wielkość ustaloną poprzez bycie podmiotem partnerskim lub powiązanym, ale system informacyjny tego podmiotu jest niezależny od systemów informacyjnych jego podmiotów powiązanych lub partnerskich, nie będzie on podmiotem kluczowym lub ważnym.

Ważnym przypadkiem jest także podmiot leczniczy, który nie jest przedsiębiorcą – wówczas kluczowy jest aspekt liczby zatrudnionych osób, bowiem wówczas podmiot taki:

  • jest podmiotem ważnym, jeżeli zatrudnia od 50 do 240 osób;
  • jest podmiotem kluczowym, jeżeli zatrudnia co najmniej 250 osób.

Konsekwencje dla organizacji i zarządu

Zgodnie z projektowanymi przepisami, organ właściwy do spraw cyberbezpieczeństwa ma zostać uprawniony m.in. do wydawania nakazów podmiotom zobowiązanym do realizacji obowiązków określonych ustawą (których jest całkiem sporo i o których napiszemy w ramach kolejnych artykułów na Blogu). W przypadku niezastosowania się do takich nakazów, organ właściwy do spraw cyberbezpieczeństwa, może:

  • podjąć działania w celu uniemożliwienia prowadzenia działalności objętej koncesją lub zezwoleniem do czasu usunięcia uchybień lub zaprzestania naruszeń (poprzez wystąpienie do właściwego organu o zawieszenie lub ograniczenie koncesji albo o cofnięcie zezwolenia);
  • wystąpić do sądu o nałożenie tymczasowego zakazu zajmowania kierowniczego stanowiska przez kierownika podmiotu kluczowego lub tymczasowego zakazu pełnienia funkcji zarządczych przez odpowiedniego przedstawiciela tego podmiotu do czasu usunięcia uchybień lub zaprzestania naruszeń.

Ponadto, projekt ustawy jest „naszpikowany” wysokimi karami pieniężnymi.

Mamy świadomość, że poruszona w ramach niniejszego artykułu tematyka jest obszerna i skomplikowana, dlatego też już teraz zapowiadamy, iż na łamach naszego Bloga z całą pewnością będziemy poruszać tematykę dyrektywy NIS2 oraz przyjętych na jej podstawie przepisów krajowych.

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2), Dz.U.UE.L.2022.333.80 z dnia 2022.12.27

[2] ustawa z dnia 5 lipca 2018 r. o krajowym systemiecyberbezpieczeństwa, Dz.U.2024.1077 t.j. z dnia 2024.07.19

[3] Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw z dnia 3 października 2024r. dostępny pod adresem: Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw

[4] Rozporządzenie Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznające niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu, Dz.U.UE.L.2014.187.1 z dnia 2014.06.26

[5] uwaga: podmioty z tego sektora co do zasady mają podlegać pod tzw. lex specialis – tzw. rozporządzenie DORA, a tylko w pewnym zakresie będą miały podlegać pod regulacje przyjęte w zw. z dyrektywą NIS2


Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.


Ta strona wykorzystuje pliki cookies. Poprzez kliknięcie przycisku „Akceptuj", bądź „X", wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Więcej o możliwościach zmiany ich ustawień, w tym ich wyłączenia, przeczytasz w naszej Polityce prywatności.
AKCEPTUJ