Zaprezentowany w kwietniu 2024 r. projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (wdrażający do polskiego porządku prawnego postanowienia Dyrektywy NIS 2) definiuje dwie kategorie podmiotów objętych regulacją zmienionej ustawy: podmioty kluczowe i podmioty ważne. Do kategorii „wyższej”- podmiotów kluczowych, na której ciążyć będzie więcej obowiązków, zaliczone zostały wszystkie spółki i zakłady budżetowe wykonujące działalność wodociągowo – kanalizacyjną.
Zgodnie z projektem do kategorii podmiotów kluczowych zalicza się (znowelizowany art. 5 ust 1) :
1) osoby fizyczne, osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej wskazane w załączniku nr 1 i nr 2 do ustawy, które przewyższają wymogi dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu,
2) przedsiębiorców komunikacji elektronicznej, którzy co najmniej spełniają wymogi dla średniego przedsiębiorcy określone w rozporządzeniu 651/2014/UE;
3) niezależnie od wielkości podmiotu:
- dostawców usług DNS,
- dostawców usług zarządzanych w zakresie cyberbezpieczeństwa,
- kwalifikowanych dostawców usług zaufania w rozumieniu art. 3 pkt 20 rozporządzenia 910/2014,
- podmioty krytyczne,
- podmioty publiczne,
- podmioty zidentyfikowane jako podmioty kluczowe na podstawie art. 7c ust. 2 pkt 1 znowelizowanej ustawy oraz
- rejestr nazw domen najwyższego poziomu (TLD).
Co do zasady zatem kwalifikacja danego podmiotu jako podmiotu kluczowego wymagała będzie spełnienia przezeń wymogów co najmniej dla średniego przedsiębiorstwa.
Jednakże w przypadku przedsiębiorstw wodociągowo – kanalizacyjnych wszystkie one zostaną automatycznie zaliczone do podmiotów kluczowych. Podobnie rzecz ma się z samymi gminami i ich jednostkami organizacyjnymi.
Wynika to z faktu, iż wszystkie te podmioty, jako wskazane w załączniku nr 1 do ustawy w sektorze administracji publicznej, są kwalifikowane jako podmioty publiczne. Dotyczy to jednostek sektora finansów publicznych, o których mowa w art. 9 pkt 1–6, 8 i 10–13 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, czyli między innymi gmin, ich związków, a także zakładów i jednostek budżetowych, a także spółek prawa handlowego wykonujących zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej.
Na marginesie należy dodać, iż odrębną podstawą zaliczenia mniejszych przedsiębiorstw wodociągowo – kanalizacyjnych do podmiotów kluczowych w drodze decyzji administracyjnej mogłyby być nowododane normy art. 7c ust. 1 i 2 ustawy.
Zgodnie z przywołanymi przepisami organ właściwy do spraw cyberbezpieczeństwa, w drodze decyzji, uznaje osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej za podmiot kluczowy jeżeli:
1) prowadzi działalność określoną w załączniku nr 1 do ustawy,
2) jest mikroprzedsiębiorcą albo małym przedsiębiorcą,
3) spełnia chociaż jedną z poniższych przesłanek:
- jako jedyna świadczy usługę, która ma kluczowe znaczenie dla krytycznej działalności społecznej lub gospodarczej,
- zakłócenie świadczenia usługi przez nią spowoduje poważne zagrożenie dla bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub obronności,
- zakłócenie świadczenia usługi przez nią spowoduje ryzyko systemowe zaprzestania świadczenia usług przez podmioty kluczowe lub podmioty ważne lub
- świadczenie przez nią usług ma istotne znaczenie na poziomie krajowym lub województwa lub ma znaczenie dla dwóch lub więcej sektorów określonych w załączniku nr 1 lub nr 2 do ustawy.
W załączniku nr 1 do ustawy zaś wskazane są między innymi przedsiębiorstwa wodociągowo – kanalizacyjne i to bez względu na to czy prowadzą działalność w obu zakresach, czy tylko wodociągową bądź tylko kanalizacyjną.
Oczywiście automatyczne zaliczenie do grona podmiotów kluczowych wszystkich spółek prawa handlowego wykonujących zadania o charakterze użyteczności publicznej (bez względu na ich wielkość) eliminuje potrzebę dokonywania takiej kwalifikacji na podstawie decyzji administracyjnej w stosunku do spółek będących mikroprzedsiębiorcą albo małym przedsiębiorcą.
Warto dodać, iż zgodnie ze nowelizowanym art. 7 ustawy Minister właściwy do spraw informatyzacji prowadził będzie wykaz podmiotów kluczowych i podmiotów ważnych. Każdy podmiot, który zidentyfikuje się na podstawie kryteriów ustawowych jako podmiot kluczowy albo podmiot ważny, zobowiązany będzie do złożenia wniosku o wpis w wykazie (będzie miał na to 2 miesiące od dnia spełnienia wymogów do uznania się za podmiot zaliczony do jednej z powyższych kategorii). Co jednak istotne w przypadku podmiotów publicznych (czyli dla przypomnienia między innymi gmin, ich związków, jednostek i zakładów budżetowych, a także spółek realizujących zadania użyteczności publicznej) minister właściwy do spraw informatyzacji wpisze sam dane do wykazu dotyczące tych podmiotów w oparciu o dane zawarte w rejestrach publicznych lub przekazane przez właściwe organy nadzorcze, jednakże podmioty te będą zobowiązane uzupełnić brakujące dane w wykazie składając wniosek o zmianę wpisu w wykazie.
Do danych zawartych w wykazie nie będą miały zastosowania przepisy ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej oraz ustawy z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego.
