Obecnie trwają prace nad czwartym projektem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (PKSC), podyktowanej implementacją dyrektywy NIS21, która wprowadza szereg istotnych zmian2. Jedną z nich jest modyfikacja zasad identyfikacji podmiotów kluczowych i ważnych, a w szczególności wprowadzenie dwóch kryteriów dla przedsiębiorstw należących do grup kapitałowych wyłączających podmiot spod reżimu ustawy.
Podmiotem kluczowym jest osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej wskazana w załączniku nr 1 do projektu ustawy, która przewyższa wymogi dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014/UE (art. 5 ust. 1 pkt 1 PKSC).
Natomiast podmiotem ważnym, jest osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej wskazana w załączniku nr 1 lub 2 do projektu ustawy, która spełnia wymogi dla średniego przedsiębiorcy określone w art. 2 ust. 1 załącznika I rozporządzenia 651/2014/UE oraz która nie jest podmiotem kluczowym (art. 5 ust. 2 pkt 1 PKSC).
Średnie przedsiębiorstwo to takie, które spełnia przynajmniej dwa z poniższych warunków:
- Zatrudnia mniej niż 250 pracowników;
- Osiąga roczny obrót netto nieprzekraczający 50 milionów euro lub roczna suma bilansowa nie przekracza 43 miliony EUR.
art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE
Nowelizacja wprowadza jednak dwa dodatkowe kryteria wyłączające podmiot z kwalifikacji do kategorii podmiotów kluczowych i ważnych, które należy wziąć pod uwagę przy identyfikacji podmiotów w grupach kapitałowych.
Po pierwsze, niezależność systemu informacyjnego danego podmiotu od systemów jego przedsiębiorstw powiązanych lub partnerskich.
Po drugie, brak wspólnego świadczenia usług z przedsiębiorstwami powiązanymi lub partnerskimi tego podmiotu.
UZASADNIENIE KRYTERIÓW WYŁĄCZENIA
Kluczowe znaczenie dla omawianych zmian ma motyw 7 dyrektywy NIS2, który wskazuje na konieczność ujednolicenia kryteriów identyfikacji podmiotów kluczowych objętych regulacją w celu wyeliminowania rozbieżności między państwami członkowskimi i zapewnienia wszystkim podmiotom pewności prawa. Wcześniej, na podstawie dyrektywy NIS13, to państwa członkowskie były odpowiedzialne za identyfikację operatorów usług kluczowych, co prowadziło do znaczących różnic w interpretacji i stosowaniu przepisów.
Wprowadzenie jednolitego kryterium, opartego na zasadzie wielkościowej, ma na celu zapewnić spójne i przewidywalne podejście do identyfikacji podmiotów objętych regulacją. Motyw 16 dyrektywy NIS2 doprecyzowuje zasady identyfikacji podmiotów w grupach kapitałowych, dając państwom członkowskim możliwość wyłączenia zasady uwzględniania danych spółek powiązanych i partnerskich przy ustalaniu wielkości danego podmiotu. To elastyczne podejście ma na celu uniknięcie sytuacji, w której podmioty, które faktycznie nie stanowią zagrożenia dla cyberbezpieczeństwa, byłyby objęte nowymi regulacjami.
Jak zostało zasygnalizowane powyżej, polski ustawodawca, implementując dyrektywę NIS2, wprowadził dwa kryteria, które wyłączają kwalifikację jako podmiot kluczowy lub ważny.
Pierwszym kryterium jest niezależność systemu informacyjnego od systemów informacyjnych przedsiębiorstw powiązanych lub partnerskich. Oznacza to, że jeżeli system informacyjny danego podmiotu jest całkowicie niezależny od systemów innych podmiotów z grupy kapitałowej, to nie ma podstaw do nakładania na ten podmiot surowych obowiązków przewidzianych dla podmiotów kluczowych lub ważnych.
Drugim kryterium wyłączenia jest brak wspólnego świadczenia usług z przedsiębiorstwami powiązanymi lub partnerskimi. Jeżeli podmiot nie świadczy usług wspólnie z innymi podmiotami z grupy, to ryzyko rozprzestrzeniania się incydentu jest znikome i nie ma uzasadnienia dla kwalifikowania go jako kluczowego lub ważnego.
Wprowadzenie tych kryteriów przez polskiego ustawodawcę jest zgodne z motywem 16 dyrektywy NIS2, który dopuszcza możliwość wyłączenia sumowania danych spółek powiązanych i partnerskich.
EWOLUCJA PROJEKTU USTAWY
Analizując ewolucję przepisów art. 5 ust. 6 i 7 w kolejnych projektach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, można zauważyć zmiany w podejściu do kwalifikacji podmiotów w grupach kapitałowych jako podmiotów kluczowych lub ważnych. W projekcie ustawy wprowadzono kryteria, które wyłączają taką kwalifikację, nawet jeśli podmiot przekraczałby progi dla średniego przedsiębiorstwa.
Pierwszy projekt nowelizacji4 nie uwzględniał specyfiki grup kapitałowych i nie przewidywał żadnych kryteriów wyłączających kwalifikację jako podmiotu kluczowego lub ważnego.
Drugi projekt5 wprowadził art. 5 ust. 6 i 7, który stanowił, że podmiot nie jest uznawany za podmiot kluczowy lub ważny, jeżeli jego system informacyjny jest niezależny od systemów informacyjnych przedsiębiorstw powiązanych lub partnerskich. To kryterium niezależności systemu informacyjnego stanowiło pierwszy krok w kierunku bardziej elastycznego podejścia do kwalifikacji podmiotów w grupach kapitałowych.
Trzeci projekt6 utrzymał kryterium niezależności systemu informacyjnego i jednocześnie dodał drugie kryterium wyłączenia. Zgodnie z tym przepisem, podmiot nie jest uznawany za podmiot kluczowy lub ważny, jeżeli nie świadczy usług wspólnie ze swoimi przedsiębiorstwami powiązanymi lub partnerskimi.
W czwartym projekcie widzimy utrzymanie postanowień z trzeciego projektu, gdzie wprowadzono kryteria wyłączające kwalifikację podmiotu jako kluczowego lub ważnego, nawet jeśli przekraczałby progi dla średniego przedsiębiorstwa.
Należy zwrócić uwagę, że kryterium wyłączenia podmiotu ze względu na brak świadczenia usług wspólnie z przedsiębiorstwami powiązanymi lub partnerskimi danego podmiotu zostało zaproponowane przez Ministra do spraw Unii Europejskiej. Jednocześnie Minister do spraw Unii Europejskiej zwrócił uwagę, że to organ państwa, powinien oceniać, czy podmiot spełnia kryteria podmiotu kluczowego lub ważnego, w tym czy świadczy usługi wspólnie z innymi podmiotami z grupy7.
Ministerstwo Cyfryzacji częściowo uwzględniło tę uwagę, dodając do art. 5 ust. 6 i 7 postanowienie o badaniu, czy dany podmiot świadczy usługi wspólnie z przedsiębiorstwami z grupy kapitałowej. Jednakże, Ministerstwo Cyfryzacji podtrzymało model „samoidentyfikacji", zgodnie z którym to podmiot sam ocenia, czy spełnia kryteria podmiotu kluczowego lub ważnego, w tym czy świadczy usługi wspólnie z innymi podmiotami z grupy kapitałowej. Ministerstwo Cyfryzacji argumentowało, że dotychczasowe doświadczenia z identyfikacją operatorów usług kluczowych w drodze decyzji administracyjnych były długie i nieefektywne. Według Ministerstwa Cyfryzacji model „samoidentyfikacji" ma usprawnić proces i zmniejszyć obciążenia administracyjne. Jednocześnie organ właściwy do spraw cyberbezpieczeństwa będzie miał prawo odpytać podmiot, czy spełnia przesłanki dla podmiotu kluczowego/ważnego, a także będzie mógł wpisać do wykazu podmiot, który nie wpisał się samodzielnie8.
„ŚWIADCZENIE USŁUG WSPÓLNIE" – WYZWANIE INTERPRETACYJNE
O ile przesłanka niezależnego systemu informacyjnego, stosowana przy określaniu, czy dany podmiot powinien zostać uznany za podmiot kluczowy lub ważny, wydaje się jasna, to przesłanka braku świadczenia usług wspólnie z przedsiębiorstwami powiązanymi lub partnerskimi może budzić wątpliwości interpretacyjne.
Ustawodawca nie wskazał, jakie kryteria należy spełnić, aby uznać, że dwa lub więcej podmiotów świadczy usługi wspólnie. Czy wystarczy, że oferują one podobne usługi na tym samym rynku, czy też konieczne jest istnienie jakiejś formy współpracy lub współzależności, np. współdzielenie infrastruktury lub zasobów?
Dodatkowo, zastosowany w ustawie model „samoidentyfikacji" przerzuca ciężar oceny na sam podmiot. To rodzi ryzyko subiektywnych ocen, które mogą być motywowane chęcią uniknięcia dodatkowych obowiązków związanych z cyberbezpieczeństwem. Brak jasnych wytycznych co do sposobu oceny, czy dane podmioty nie świadczą usługi wspólnie, może prowadzić do niejednolitości w stosowaniu przepisów i osłabiać skuteczność całego systemu cyberbezpieczeństwa.
RÓŻNICE REGULACYJNE W NIEMCZECH
W naszej ocenie kwestia ustalania wielkości przedsiębiorstwa w kontekście implementacji dyrektywy NIS2 stanowi jedno z kluczowych zagadnień regulacyjnych. Niemiecki ustawodawca przyjął w tym zakresie inne rozwiązanie, które zostało uregulowane w §28 ust. 3 projektu BSIG-E9.
Podstawowym założeniem jest stosowanie kryteriów określonych w Zaleceniu Komisji 2003/361/WE10, przy czym wyłączono stosowanie art. 3 ust. 4 załącznika do tego zalecenia. Oznacza to, że zasadniczo przy obliczaniu progów wielkości przedsiębiorstwa należy uwzględniać dane przedsiębiorstw partnerskich i powiązanych.
Niemiecka regulacja przewiduje dwa możliwe podejścia interpretacyjne. Zgodnie z pierwszym, uwzględniać należy tylko tych pracowników lub obroty, które służą realizacji działalności danego przedsiębiorstwa. Według drugiej interpretacji, w przypadku zależnych procesów IT, uwzględniane są wszystkie wskaźniki przedsiębiorstwa powiązanego lub partnerskiego.
Kluczowym elementem niemieckiej regulacji jest jednak mechanizm wyłączenia, zgodnie z którym dane przedsiębiorstw partnerskich lub powiązanych nie są uwzględniane, jeżeli dane przedsiębiorstwo wykazuje niezależność w zakresie systemów informatycznych. Co istotne, niezależność ta jest oceniana przez pryzmat trzech aspektów: prawnego, ekonomicznego i faktycznego, a dotyczy zarówno nabywania, jak i eksploatacji systemów informatycznych, ich komponentów oraz procesów.
Takie podejście niemieckiego ustawodawcy różni się od rozwiązań przyjętych m.in. w Polsce. Niemiecka regulacja koncentruje się wyłącznie na aspektach związanych z IT, przyjmując bardziej techniczne podejście do kwestii niezależności podmiotu.
Przyjęte rozwiązanie może mieć istotne znaczenie praktyczne dla grup kapitałowych, w których poszczególne spółki zachowują autonomię w zakresie zarządzania swoją infrastrukturą IT. W takich przypadkach, nawet jeśli pod względem kapitałowym podmioty są ze sobą powiązane, mogą być traktowane niezależnie na gruncie przepisów krajowych implementujących dyrektywę NIS2.
Należy jednak zauważyć, że ocena niezależności w zakresie systemów informatycznych może w praktyce nastręczać trudności interpretacyjnych, szczególnie w kontekście konieczności uwzględnienia wszystkich trzech aspektów: prawnego, ekonomicznego i faktycznego. Praktyka stosowania tych przepisów pokaże, jak organy nadzorcze będą podchodzić do weryfikacji spełnienia przesłanek niezależności IT.
Zespół kancelarii BSJP bnt we współpracy ze specjalistami z zakresu cyberbezpieczeństwa zapewnia kompleksowe doradztwo w zakresie spełnienia wymogów określonych w Dyrektywie NIS2. W razie jakichkolwiek pytań związanych ze zmianami zachęcamy do kontaktu z naszymi ekspertami Marcinem Krollem (marcin.kroll@bsjp.pl) oraz Rafałem Wieczerzakiem (rafal.wieczerzak@bsjp.pl).
1 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148
3 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii
7 https://legislacja.gov.pl/docs//2/12384504/13055217/13055218/dokument693217.pdf oraz https://legislacja.gov.pl/docs//2/12384504/13055217/13055218/dokument695598.pdf
8 Ibidem
10 Zalecenie Komisji z dnia 6 maja 2003 r. dotyczące definicji przedsiębiorstw mikro, małych i średnich (notyfikowane jako dokument nr C(2003) 1422), (2003/361/WE)