W jakich organizacjach wymagane jest stosowanie przepisów dyrektywy NIS2?
ODPOWIEDŹ
Kwestia, w jakich konkretnie organizacjach stosowanie przepisów dyrektywy NIS2 będzie wymagane w Polsce, zostanie ostatecznie rozstrzygnięta w ustawie o krajowym systemie cyberbezpieczeństwa (KSC), której projekt jest obecnie w trakcie prac legislacyjnych. Poniższe informacje opierają się wyłącznie na założeniach wynikających bezpośrednio z dyrektywy NIS2 (UE) 2022/2555 i mogą ulec doprecyzowaniu na poziomie krajowym.
Zgodnie z dyrektywą NIS2, obowiązki w zakresie cyberbezpieczeństwa będą miały zastosowanie do:
- Podmiotów kluczowych (essential entities), czyli m.in.:
- dostawców usług energetycznych (elektroenergetyka, gazownictwo, ciepłownictwo),
- podmiotów z sektora transportu (kolej, lotnictwo, żegluga, drogowy),
- dostawców usług zdrowotnych (w tym szpitale, laboratoria, dostawcy e-zdrowia),
- dostawców usług wodnych (zaopatrzenie w wodę i oczyszczanie ścieków),
- dostawców usług cyfrowych (np. DNS, rejestry domen, chmura),
- administracji publicznej (wybrane podmioty administracji centralnej
i samorządowej).
- Podmiotów ważnych (important entities), czyli m.in.:
- dostawców usług pocztowych i kurierskich,
- producentów urządzeń elektronicznych, komputerowych, optycznych, medycznych,
- podmiotów z sektora żywności i chemikaliów,
- usług doradczych i badawczych istotnych dla infrastruktury krytycznej,
- dostawców niektórych usług ICT na rzecz podmiotów kluczowych.
Zasadniczo dyrektywa stosuje się do organizacji zatrudniających powyżej 50 pracowników lub osiągających roczny obrót/przychód powyżej 10 mln euro. Wyjątkiem są organizacje działające w sektorach szczególnie wrażliwych – w ich przypadku obowiązki mogą mieć zastosowanie niezależnie od wielkości.