Spółki Komunalne a Dyrektywa NIS2: Status Podmiotu Kluczowego w Świetle Nowej Ustawy o Cyberbezpieczeństwie

Zapisz

Spółki Komunalne a Dyrektywa NIS2: Status Podmiotu Kluczowego w Świetle Nowej Ustawy o Cyberbezpieczeństwie

 

W obliczu rosnących zagrożeń cyfrowych i dynamicznych zmian technologicznych, Unia Europejska wprowadza nowe regulacje mające na celu wzmocnienie odporności kluczowych sektorów gospodarki. Dyrektywa NIS2 oraz związana z nią nowelizacja polskiej ustawy o krajowym systemie cyberbezpieczeństwa nakładają nowe obowiązki na wiele podmiotów, w tym spółki komunalne. Kluczowe staje się pytanie: czy Państwa spółka zostanie uznana za podmiot kluczowy i jakie obowiązki się z tym wiążą?

 

Cel Nowelizacji: Wzrost Odporności Cyfrowej w UE

 

Ustawodawca polski pracuje nad implementacją Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555, znanej jako Dyrektywa NIS2. Celem nowych regulacji jest podniesienie poziomu odporności cyfrowej w obliczu rosnącej liczby incydentów, ich skali oraz skutków. Jest to również odpowiedź na dynamiczny rozwój technologiczny oraz zmiany związane z transformacją cyfrową i sytuacją geopolityczną, co rodzi nowe wyzwania w zakresie ochrony sieci i systemów informatycznych.

 

Kogo Dotyczy Dyrektywa NIS2? Nowy Podział na Podmioty Kluczowe i Ważne

 

Należy zauważyć, że w dyrektywie NIS 2 dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne ustępuje miejsca rozgraniczeniu na podmioty kluczowe i ważne. Co istotne, rozszerzeniu ulega katalog sektorów objętych działaniem dyrektywy. Dyrektywa wprowadza zasadę samookreślenia, co oznacza, że każdy podmiot musi samodzielnie ocenić, czy spełnia wymogi objęcia go nowymi obowiązkami.

Zgodnie z dyrektywą, ma ona zastosowanie do podmiotów publicznych lub prywatnych wymienionych w załącznikach I lub II, które kwalifikują się jako co najmniej średnie przedsiębiorstwa i które świadczą usługi lub prowadzą działalność na terenie Unii. Dyrektywa NIS2 wskazuje na minimum harmonizacyjne, co uprawnia państwa członkowskie do wprowadzenia bardziej rygorystycznych regulacji.

 

Definicja Podmiotu Kluczowego w Projekcie Ustawy

 

Zgodnie z aktualnym projektem nowelizacji ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa:

„Art. 5. 1. Podmiotem kluczowym jest: 1) osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej wskazana w załączniku nr 1 i nr 2 do ustawy, która przewyższa wymogi dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. […]”

 

Czy Spółki Komunalne to Podmioty Kluczowe?

 

Aby odpowiedzieć na to pytanie, należy wskazać, że polski ustawodawca przyjął, za projektodawcą unijnym, kryteria formalne i rozmiarowe w celu określenia statusu podmiotu kluczowego. Innymi słowy, podmiot musi być wskazany w załączniku do ustawy i być „większy” niż określony próg.

W załączniku nr I do projektu ustawy znajdziemy wykaz podmiotów kluczowych z podziałem na sektor, podsektor i rodzaj podmiotu. W sektorze

Administracja publiczna na ostatniej pozycji znajduje się rodzaj podmiotów: Spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2021 r. poz. 679).

 

Kryterium Wielkości i Struktury Własnościowej

 

Jak już wskazano, aby spółka prawa handlowego mogła być zaliczona do kategorii podmiotów kluczowych, musi również przewyższać wymogi dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014.

Przywołany załącznik wskazuje, iż do kategorii mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw („MŚP”) należą przedsiębiorstwa, które

zatrudniają mniej niż 250 pracowników i których roczny obrót nie przekracza 50 milionów EUR lub roczna suma bilansowa nie przekracza 43 milionów EUR.

Co niezwykle istotne, w artykule 3 pkt 4 załącznika wskazano, że przedsiębiorstwa nie można uznać za małe lub średnie, jeżeli

25% lub więcej kapitału lub praw głosu kontroluje bezpośrednio lub pośrednio, wspólnie lub indywidualnie, co najmniej jeden organ publiczny.

Wyjątkiem od tej zasady jest sytuacja, w której nie dochodzi do przekroczenia 25% udziałów w spółce przez organ publiczny. Drugim, rzadziej spotykanym wyjątkiem jest przekroczenie pułapu 25% przez niezależne władze lokalne z rocznym budżetem poniżej 10 milionów EUR oraz liczbą mieszkańców poniżej 5 000.

 

Wnioski: Spółki Komunalne w Reżimie Nowych Regulacji

 

Reasumując, w naszej ocenie, spółki komunalne, co do zasady, winny być uznane za podmioty podlegające reżimowi regulacji o ochronie cyberbezpieczeństwa.

 

Najczęściej Zadawane Pytania (FAQ)

 

1. Jaki jest główny cel Dyrektywy NIS2 i nowelizacji polskiej ustawy? Celem nowych przepisów jest podniesienie poziomu odporności cyfrowej w Unii Europejskiej w odpowiedzi na rosnącą liczbę i skalę cyberzagrożeń oraz postępującą transformację cyfrową.

2. Jakie podmioty obejmuje Dyrektywa NIS2? Dyrektywa NIS2 zastępuje stary podział na operatorów usług kluczowych i dostawców usług cyfrowych nowym rozgraniczeniem na

podmioty kluczowe i ważne. Obejmuje ona podmioty publiczne i prywatne z określonych sektorów, które kwalifikują się jako co najmniej średnie przedsiębiorstwa.

3. Jak zdefiniowano podmiot kluczowy w polskim projekcie ustawy? Podmiot kluczowy to podmiot (osoba fizyczna, prawna lub jednostka organizacyjna) wskazany w załączniku nr 1 lub 2 do ustawy, który jednocześnie jest większy niż średnie przedsiębiorstwo.

4. Na jakiej podstawie spółka komunalna może zostać uznana za podmiot kluczowy? Spółka komunalna może zostać uznana za podmiot kluczowy, jeśli spełnia dwa warunki łącznie:

  • Jest spółką prawa handlowego wykonującą zadania o charakterze użyteczności publicznej.
  • Przekracza progi dla średniego przedsiębiorstwa, z uwzględnieniem specyficznych zasad dotyczących własności publicznej.

5. Jakie są kryteria wielkościowe dla średniego przedsiębiorstwa? Średnie przedsiębiorstwo to takie, które zatrudnia mniej niż 250 pracowników, a jego roczny obrót nie przekracza 50 mln EUR lub roczna suma bilansowa nie przekracza 43 mln EUR. Aby być podmiotem kluczowym, spółka musi te progi przekraczać.

6. Jak własność publiczna wpływa na status spółki komunalnej? Zasadniczo, jeśli organ publiczny kontroluje 25% lub więcej kapitału lub praw głosu w przedsiębiorstwie, nie może ono być uznane za małe lub średnie przedsiębiorstwo (MŚP), co w praktyce oznacza, że podlega ono obowiązkom ustawy, nawet jeśli nie spełnia kryteriów wielkościowych dotyczących zatrudnienia i obrotów.

ROZPOCZNIJ ROZPATRZENIE SWOJEJ SPRAWY

Napisz Do Nas