Zmiany w ustawie o krajowym systemie cyberbezpieczeństwa. Kogo dotyczą?

W listopadzie został udostępniony kolejny projekt ustawy mającej implementować dyrektywę NIS2 oraz zestaw narzędzi Toolbox 5G. Kto będzie zobowiązany do stosowania procedur w zakresie cyberbezpieczeństwa w 2025 roku?

17 października upłynął termin na wdrożenie dyrektywy NIS2 w państwach członkowskich Unii Europejskiej. Nowe przepisy rozszerzają znacząco katalog podmiotów zobligowanych do stosowania odpowiednich procedur w zakresie cyberbezpieczeństwa. Z uwagi na formę unijnego aktu, niezbędna jest jednak implementacja zawartych w nim regulacji. Powyższe skutkowało przedłożeniem projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa.

Pierwotna treść projektu odznaczała się niejasnymi kryteriami ich klasyfikacji, utrudniając tym samym ustalenie zakresu obowiązków i potencjalnych konsekwencji w konkretnych przypadkach.

Podmioty kluczowe

Aktualny projekt ustawy wskazuje, że podmiotami kluczowymi są osoby fizyczne, osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej, które mieszczą się w załączonym do projektu ustawy wykazie sektorów kluczowych i które przewyższają wymogi dla średniego przedsiębiorstwa.

Ustawodawca zrezygnował z zastosowanej wcześniej koniunkcji i odniesienia do wykazu podmiotów ważnych. Zabieg ten sprawił, że do podmiotów kluczowych zakwalifikowane będą mogły być te podmioty, które przewyższają wymogi dla średniego przedsiębiorstwa i prowadzą działalność o określonym charakterze w sektorach takich jak:

∑ energia, w tym wydobywanie kopalin, energia elektryczna, ciepło, ropa i paliwa, gaz...