Zaprezentowany w kwietniu 2024 r. projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (wdrażający do polskiego porządku prawnego postanowienia Dyrektywy NIS 2) definiuje dwie kategorie podmiotów objętych regulacją zmienionej ustawy: podmioty kluczowe i podmioty ważne. Do kategorii „wyższej”- podmiotów kluczowych, na której ciążyć będzie więcej obowiązków, zaliczone zostały wszystkie spółki i zakłady budżetowe wykonujące działalność wodociągowo – kanalizacyjną. 

Zgodnie z projektem do kategorii podmiotów kluczowych zalicza się (znowelizowany art. 5 ust 1) :

1)     osoby fizyczne, osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej wskazane w załączniku nr 1 i nr 2 do ustawy, które przewyższają wymogi dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu,

2)     przedsiębiorców komunikacji elektronicznej, którzy co najmniej spełniają wymogi dla średniego przedsiębiorcy określone w rozporządzeniu 651/2014/UE;

3)     niezależnie od wielkości podmiotu:

  1. dostawców usług DNS,
  2. dostawców usług zarządzanych w zakresie cyberbezpieczeństwa,
  3. kwalifikowanych dostawców usług zaufania w rozumieniu art. 3 pkt 20 rozporządzenia 910/2014,
  4. podmioty krytyczne,
  5. podmioty publiczne,
  6. podmioty zidentyfikowane jako podmioty kluczowe na podstawie art. 7c ust. 2 pkt 1 znowelizowanej ustawy oraz
  7. rejestr nazw domen najwyższego poziomu (TLD).

Co do zasady zatem kwalifikacja danego podmiotu jako podmiotu kluczowego wymagała będzie spełnienia przezeń wymogów co najmniej dla średniego przedsiębiorstwa.

Jednakże w przypadku przedsiębiorstw wodociągowo – kanalizacyjnych wszystkie one zostaną automatycznie zaliczone do podmiotów kluczowych. Podobnie rzecz ma się z samymi gminami i ich jednostkami organizacyjnymi.

Wynika to z faktu, iż wszystkie te podmioty, jako wskazane w załączniku nr 1 do ustawy w sektorze administracji publicznej, są kwalifikowane jako podmioty publiczne. Dotyczy to jednostek sektora finansów publicznych, o których mowa w art. 9 pkt 1–6, 8 i 10–13 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, czyli między innymi gmin, ich związków, a także zakładów i jednostek budżetowych, a także spółek prawa handlowego wykonujących zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej.

Na marginesie należy dodać, iż odrębną podstawą zaliczenia mniejszych przedsiębiorstw wodociągowo – kanalizacyjnych do podmiotów kluczowych w drodze decyzji administracyjnej mogłyby być nowododane normy art. 7c ust. 1 i 2 ustawy.

Zgodnie z przywołanymi przepisami organ właściwy do spraw cyberbezpieczeństwa, w drodze decyzji, uznaje osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej za podmiot kluczowy jeżeli:

1)     prowadzi działalność określoną w załączniku nr 1 do ustawy,

2)     jest mikroprzedsiębiorcą albo małym przedsiębiorcą,

3)     spełnia chociaż jedną z poniższych przesłanek:

  1. jako jedyna świadczy usługę, która ma kluczowe znaczenie dla krytycznej działalności społecznej lub gospodarczej,
  2. zakłócenie świadczenia usługi przez nią spowoduje poważne zagrożenie dla bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub obronności,
  3. zakłócenie świadczenia usługi przez nią spowoduje ryzyko systemowe zaprzestania świadczenia usług przez podmioty kluczowe lub podmioty ważne lub
  4. świadczenie przez nią usług ma istotne znaczenie na poziomie krajowym lub województwa lub ma znaczenie dla dwóch lub więcej sektorów określonych w załączniku nr 1 lub nr 2 do ustawy.

W załączniku nr 1 do ustawy zaś wskazane są między innymi przedsiębiorstwa wodociągowo – kanalizacyjne i to bez względu na to czy prowadzą działalność w obu zakresach, czy tylko wodociągową bądź tylko kanalizacyjną.

Oczywiście automatyczne zaliczenie do grona podmiotów kluczowych wszystkich spółek prawa handlowego wykonujących zadania o charakterze użyteczności publicznej (bez względu na ich wielkość) eliminuje potrzebę dokonywania takiej kwalifikacji na podstawie decyzji administracyjnej w stosunku do spółek będących mikroprzedsiębiorcą albo małym przedsiębiorcą.

Warto dodać, iż zgodnie ze nowelizowanym art. 7 ustawy Minister właściwy do spraw informatyzacji prowadził będzie wykaz podmiotów kluczowych i podmiotów ważnych. Każdy podmiot, który zidentyfikuje się na podstawie kryteriów ustawowych jako podmiot kluczowy albo podmiot ważny, zobowiązany będzie do złożenia wniosku o wpis w wykazie (będzie miał na to 2 miesiące od dnia spełnienia wymogów do uznania się za podmiot zaliczony do jednej z powyższych kategorii). Co jednak istotne w przypadku podmiotów publicznych (czyli dla przypomnienia między innymi gmin, ich związków, jednostek i zakładów budżetowych, a także spółek realizujących zadania użyteczności publicznej) minister właściwy do spraw informatyzacji wpisze sam dane do wykazu dotyczące tych podmiotów w oparciu o dane zawarte w rejestrach publicznych lub przekazane przez właściwe organy nadzorcze, jednakże podmioty te będą zobowiązane uzupełnić brakujące dane w wykazie składając wniosek o zmianę wpisu w wykazie.

Do danych zawartych w wykazie nie będą miały zastosowania przepisy ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej oraz ustawy z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego.

Ostatnie wpisy

Nowa dyrektywa ściekowa przyjęta przez Radę UE

Aktualności

Mniejsze aglomeracje, obowiązek oczyszczania ścieków z terenów mniej zaludnionych, regulacje dla większej...

07-11-2024

Czytaj więcej

Zamrożenie podstawy wymiaru a waloryzacja wynagrodzeń członków organów spółek…

Aktualności

Zasady ustalania wynagrodzeń organów spółek komunalnych zostały określone w ustawie z dnia...

08-10-2024

Czytaj więcej

Dyrektywa w sprawie jakości wody - projekt ustawy opublikowany

Aktualności

Późnym popołudniem na stronach Rządowego Centrum Legislacji opublikowany został dzisiaj nowy projekt...

03-10-2024

Czytaj więcej