Cybersec Update #5: Twój system informacyjny a identyfikacja podmiotów kluczowych i ważnych
Sprawa istotna z punktu widzenia identyfikacji podmiotów kluczowych i ważnych, które ściśle współpracują ze swoimi podmiotami powiązanymi lub partnerskimi, a taka współpraca opiera się np. na wspólnym systemie informacyjnym.
Samoidentyfikacja przedsiębiorcy
Jest to jeden z kluczowych obowiązków dla podmiotów znajdujących się w spektrum oddziaływania NIS2 i ustawy nowelizującej ustawę o krajowym systemie cyberbezpieczeństwa. Jeżeli status podmiotu kluczowego lub podmiotu ważnego zależy od wielkości podmiotu, to przesłanki uznania za podmiot kluczowy lub podmiot ważny bada się według stanu na dzień sporządzenia sprawozdania finansowego.
NIS2 zezwala na stosowanie rozwiązań proporcjonalnych przez państwa członkowskie
Jeden z motywów (16) dyrektywy NIS2 zakłada, iż państwa członkowskie mogą uwzględnić fakt, że dany podmiot jest niezależny od przedsiębiorstw partnerskich lub powiązanych pod względem sieci i systemów informatycznych, z których korzysta przy świadczeniu usług, a także pod względem świadczonych przez siebie usług. W ten sposób uniknąć można nieproporcjonalnego uwzględnienia przedsiębiorstw powiązanych i partnerskich przy klasyfikacji danego podmiotu jako kluczowego lub ważnego.
Autorzy projektu ustawy nowelizującej UKSC skorzystali z możliwości jaką zapewniła dyrektywa NIS2. Oznacza to, że badając status mikro, małych i średnich przedsiębiorstw co do zasady należy również wziąć pod uwagę przychody, sumę bilansową i liczbę pracowników przedsiębiorstw powiązanych i partnerskich. Wpływać to może diametralnie na położenie sektora MŚP.
Kluczowym jest system informacyjny
Natomiast biorąc pod uwagę kryteria wielkościowe, jeśli podmiot spełnia wymogi dla uznania za podmiot kluczowy lub ważny, ale jednocześnie jego system informacyjny jest niezależny od systemów informacyjnych jego przedsiębiorstw powiązanych lub przedsiębiorstw partnerskich lub nie świadczy on usług wspólnie z jego przedsiębiorstwami powiązanymi lub przedsiębiorstwami partnerskimi, to będzie to dla niego oznaczało, że nie jest podmiotem kluczowym lub ważnym.
Niejasne przepisy projektu nowelizacji UKSC
Projekt ustawy nowelizującej UKSC przy całym dobrodziejstwie takiego postanowienia nie jest jednak precyzyjny, gdyż nie rozwija czym jest owa niezależność systemu informacyjnego.
W uzasadnieniu projektu możemy znaleźć informację, że o niezależność systemu informacyjnego możemy mówić m.in. wtedy, gdy do świadczenia usług przez ten podmiot nie jest konieczne działanie podmiotu powiązanego czy partnerskiego.
Takie wyjaśnienie w uzasadnieniu wydaje się być niewystarczającym i koniecznym jest doprecyzowanie tej kwestii w samej ustawie. Podmioty mogą wspólnie korzystać z wielu systemów informacyjnych. Nie każdy z nich będzie jednak musiał być wykorzystywany bezpośrednio do świadczenia usługi i takie systemy powinny zostać właśnie uznane za niezależne od siebie.
