Począwszy od dnia 18 października 2024 r. powinny wejść w życie przepisy krajowe wdrażające do polskiego porządku prawnego dyrektywę NIS-2. Termin ten wydaje się – póki co – możliwy do dotrzymania przez polskie władze, bo prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, w ramach której ma być wdrożona dyrektywa NIS-2, trwają już od kwietnia bieżącego roku. W tym kontekście warto przyjrzeć się temu, na które branże rozszerzone zostaną obowiązki w zakresie cyberbezpieczeństwa wskazane w tych przepisach.
Na początek kilka słów przypomnienia. Dyrektywa NIS-2 przewiduje, że jej postanowienia stosuje się do dwóch kategorii podmiotów – podmiotów kluczowych oraz podmiotów ważnych. W skrócie, podmiotami kluczowymi będą podmioty z sektorów wskazanych w załącznikach do dyrektywy NIS-2, jeśli są dużymi przedsiębiorcami, a także niektóre inne jednostki (bez względu na ich wielkość). Natomiast podmiotami ważnymi będą podmioty wskazane w tych samych załącznikach, które są średnimi przedsiębiorcami (o ile nie kwalifikują się jako podmioty kluczowe) i niektóre inne jednostki. Z punktu widzenia dyrektywy NIS-2 kluczowe jest zatem określenie wielkości danego podmiotu oraz sektora gospodarki, w którym on działa.
Niektóre branże już obecnie są objęte regulacją dyrektywy NIS-1 (mającej odzwierciedlenie w aktualnym brzmieniu ustawy o krajowym systemie cyberbezpieczeństwa). Te branże z pewnością śledzą temat zmian i trzymają rękę na pulsie. Ponieważ jednak dyrektywa NIS-2 ma znaczenie szerszy zakres przedmiotowy niż dyrektywa NIS-1, pewne sektory gospodarki, które dotychczas nie były objęte regulacjami z zakresu cyberbezpieczeństwa, zostaną nimi objęte. Moim zdaniem to właśnie te „nowe” sektory dotknięte są potencjalnie największym ryzykiem braku zgodności prawnej, ponieważ wewnątrz poszczególnych organizacji nie ma często odpowiedniej świadomości prawnej w tym zakresie. Dlatego też w tym artykule chciałbym zasygnalizować, kto powinien zwrócić szczególną uwagę na dyrektywę NIS-2.
Przede wszystkim dyrektywą NIS-2 powinien zainteresować się sektor produkcyjny, bo do tej pory nie był on zasadniczo objęty regulacjami z zakresu cyberbezpieczeństwa. Jednakże, nie każda działalność produkcyjna kwalifikuje do objęcia dyrektywą NIS-2, a jedynie konkretne, wskazane w przepisach jej podsektory. W tym kontekście należy wymienić:
- podsektor produkcji chemikaliów: producenci substancji, mieszanin lub wyrobów w rozumieniu rozporządzenia REACH (rozporządzenie unijne nr 1907/2006),
- podsektor produkcji spożywczej: przedsiębiorstwa spożywcze zajmujące się przemysłową produkcją i przetwarzaniem żywności (w rozumieniu rozporządzenia unijnego nr 178/2002),
- podsektor produkcji wyrobów medycznych: producenci wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro,
- podsektor produkcji komputerów, wyrobów elektronicznych i optycznych: producenci komputerów i sprzętu peryferyjnego, producenci komponentów elektronicznych do urządzeń komputerowych, producenci sprzętu komunikacyjnego, producenci elektroniki konsumenckiej, producenci narzędzi do wykonywania pomiarów, testów lub nawigacji, producenci zegarów i zegarków, producenci sprzętu elektromedycznego, producenci instrumentów optycznych i sprzętu fotograficznego, producenci nośników magnetycznych i optycznych,
- podsektor produkcji urządzeń elektrycznych: producenci silników elektrycznych, generatorów, transformatorów i sprzętu dystrybucji energii, producenci baterii i akumulatorów, producenci kabli światłowodowych i innego rodzaju okablowania, producenci sprzętu oświetleniowego, producenci sprzętu AGD, producenci innego sprzętu elektrycznego,
- podsektor produkcji maszyn i urządzeń: producenci silników i turbin (za wyjątkiem tych przeznaczonych do samolotów i samochodów), producenci pomp i kompresorów, producenci zaworów, łożysk i przekładni, producenci pieców i palników, producenci sprzętu do podnoszenia i manipulowania, producenci sprzętu biurowego (za wyjątkiem komputerów i sprzętu peryferyjnego), producenci narzędzi ręcznych napędzanych energią, producenci sprzętu wentylacyjnego i klimatyzacji przemysłowej, producenci sprzętu wykorzystywanego w produkcji rolniczej i leśnej, producenci urządzeń i maszyn wykorzystywanych w metalurgii, wydobywaniu kopalin, budownictwie, produkcji żywności, napojów lub wyrobów tytoniowych, produkcji tekstylnej i odzieżowej, produkcji papieru i tektury oraz obróbce tworzyw sztucznych i gumy, producenci innego rodzaju urządzeń specjalistycznych,
- podsektor produkcji pojazdów samochodowych, przyczep i naczep: producenci pojazdów samochodowych, producenci karoserii/nadwozi, przyczep i naczep, producenci sprzętu elektrycznego i elektronicznego (podzespołów) do pojazdów samochodowych, producenci innego rodzaju części (podzespołów) i akcesoriów do pojazdów samochodowych,
- podsektor produkcji pozostałego sprzętu transportowego: producenci statków i łodzi, producenci lokomotyw i taboru kolejowego, producenci samolotów i statków kosmicznych oraz urządzeń z nimi związanych, producenci pojazdów wojskowych, producenci motocykli, producenci rowerów i wózków inwalidzkich, producenci pozostałych środków transportu.
Powyższe wyliczenie obrazuje obszar oddziaływania NIS-2 na sektor produkcji na dosyć dużym poziomie ogólności. Dlatego też po wstępnym stwierdzeniu, że dany podmiot prowadzi działalność tego typu, warto przyjrzeć się detalom, aby dokładnie ocenić sytuację w świetle zasad klasyfikacji działalności gospodarczej zawartych w metodykach unijnych.
Z pozostałych, pozaprodukcyjnych sektorów gospodarki, które powinny zainteresować się tematyką NIS-2 należy wymienić:
- przedsiębiorców telekomunikacyjnych i podmioty świadczące usługi komunikacji interpersonalnej niewykorzystujące numerów (komunikatory, email),
- dostawców usług zarządzanych, tj. podmioty świadczące usługi związane z instalacją, eksploatacją lub konserwacją produktów ICT, usług ICT, procesów ICT lub systemów informacyjnych poprzez wsparcie lub aktywną administrację, zarówno w modelu zdalnym jak i on-site, w tym w szczególności dostawców usług zarządzanych w zakresie cyberbezpieczeństwa,
- operatorów pocztowych, w tym firmy kurierskie,
- podmioty z sektora gospodarowania odpadami, prowadzące zbieranie, transport lub przetwarzanie odpadów, a także sprzedawców i pośredników w obrocie odpadami.
Autor: r.pr. Piotr Grzelczak, kancelaria GFP_Legal | Grzelczak Fogel i Partnerzy | Wrocław