W jakich organizacjach wymagane jest stosowanie przepisów dyrektywy NIS2?

ODPOWIEDŹ

Kwestia, w jakich konkretnie organizacjach stosowanie przepisów dyrektywy NIS2 będzie wymagane w Polsce, zostanie ostatecznie rozstrzygnięta w ustawie o krajowym systemie cyberbezpieczeństwa (KSC), której projekt jest obecnie w trakcie prac legislacyjnych. Poniższe informacje opierają się wyłącznie na założeniach wynikających bezpośrednio z dyrektywy NIS2 (UE) 2022/2555 i mogą ulec doprecyzowaniu na poziomie krajowym.

Zgodnie z dyrektywą NIS2, obowiązki w zakresie cyberbezpieczeństwa będą miały zastosowanie do:

• Podmiotów kluczowych (essential entities), czyli m.in.:dostawców usług energetycznych (elektroenergetyka, gazownictwo, ciepłownictwo),podmiotów z sektora transportu (kolej, lotnictwo, żegluga, drogowy),dostawców usług zdrowotnych (w tym szpitale, laboratoria, dostawcy e-zdrowia),dostawców usług wodnych (zaopatrzenie w wodę i oczyszczanie ścieków),dostawców usług cyfrowych (np. DNS, rejestry domen, chmura),administracji publicznej (wybrane podmioty administracji centralnej i samorządowej).
• Podmiotów ważnych (important entities), czyli m.in.:dostawców usług pocztowych i kurierskich,producentów urządzeń elektronicznych, komputerowych, optycznych, medycznych,podmiotów z sektora żywności i chemikaliów,usług doradczych i badawczych istotnych dla infrastruktury krytycznej,dostawców niektórych usług ICT na rzecz podmiotów kluczowych.

Zasadniczo dyrektywa stosuje się do organizacji zatrudniających powyżej 50 pracowników lub osiągających roczny obrót/przychód powyżej 10 mln euro. Wyjątkiem są organizacje działające w sektorach szczególnie wrażliwych – w ich przypadku obowiązki mogą mieć zastosowanie niezależnie od wielkości.