Dyrektywa NIS2 oraz projekt nowej ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) znacząco rozszerzają katalog sektorów objętych obowiązkami cyberbezpieczeństwa. Regulacje, które wcześniej dotyczyły jedynie infrastruktury krytycznej i kilku wybranych usług, obejmą teraz znacznie większą część gospodarki, w tym wiele firm prywatnych, które do tej pory nie podlegały żadnym podobnym wymaganiom.
W tym artykule przedstawiamy:
- pełną listę sektorów NIS2,
- różnicę między podmiotami kluczowymi i ważnymi,
- oraz praktyczne wskazówki, jak ocenić, czy sektor firmy faktycznie wchodzi w zakres regulacji.
Sektory NIS2 UKSC – dwa poziomy regulacji sektorowych
Dyrektywa NIS2 określa, które sektory i typy działalności są objęte cyber-obowiązkami.
Projekt ustawy KSC przenosi te przepisy bezpośrednio do polskiego prawa, wskazując:
- podmioty kluczowe (essential entities) – najwyższy poziom obowiązków,
- podmioty ważne (important entities) – obowiązki podobne, lecz o nieco innym podejściu nadzorczym.
Sprawdź, czy podlegasz pod UKSC (NIS2)
Sprawdz w minutę, czy Twoja firma podlega pod UKSC / NIS2. Masz pytanie? Skontaktuj się z nami!
Sektory kluczowe NIS2 (Essential Entities)
Sektory kluczowe to te, które mają fundamentalne znaczenie dla funkcjonowania państwa, bezpieczeństwa i infrastruktury życia publicznego. Podmioty działające w tych obszarach niemal zawsze podlegają regulacji.
Lista sektorów kluczowych NIS2:
- Energia (elektroenergetyka, gaz, ropa, ciepłownictwo)
- Transport (kolej, lotnictwo, drogowy, morski, żegluga śródlądowa)
- Bankowość i infrastruktura rynków finansowych
- Ochrona zdrowia (szpitale, kliniki, laboratoria, producenci wyrobów medycznych)
- Zaopatrzenie w wodę pitną i jej dystrybucję
- Infrastruktura cyfrowa (np. IXP, CDN, centra danych)
- Zarządzanie usługami ICT (w tym dostawcy usług zarządzanych – MSP)
- Przestrzeń kosmiczna
Sektory ważne NIS2 (Important Entities)
Druga grupa to sektory ważne — obszary gospodarki, które nie są klasyfikowane jako krytyczne państwowo, ale mają duże znaczenie dla rynku i ciągłości działania usług.
Lista sektorów ważnych NIS2:
- Produkcja, wytwarzanie i dystrybucja chemikaliów
- Produkcja i przetwarzanie żywności
- Pozostała produkcja (m.in. elektronika, maszyny, urządzenia przemysłowe)
- Usługi pocztowe i kurierskie
- Gospodarka odpadami (zbieranie, przetwarzanie, utylizacja)
- Dostawcy usług cyfrowych (hosting, platformy, marketplace)
- Badania naukowe
- Dostawcy usług DNS
- Dostawcy usług zaufania (kwalifikowani i niekwalifikowani)
- Podmioty publiczne (urzędy, instytucje publiczne, JST)
- Infrastruktura krytyczna
- Rejestry domen najwyższego poziomu (TLD)
- Przedsiębiorcy komunikacji elektronicznej
Uwaga: sektor to nie wszystko. Kwalifikacja zależy także od wielkości firmy
Aby firma w danym sektorze podlegała NIS2, musi spełnić progi:
Pracownicy:
- < 50 — zwykle nie podlega
- 50–250 — najczęściej podlega
- 250 — podlega prawie zawsze
Obrót:
- < 10 mln EUR — zwykle nie
- 10–50 mln EUR — bardzo często
- 50 mln EUR — praktycznie zawsze
Co z firmami „pośrednio związanymi” z sektorami kluczowymi?
To jeden z najciekawszych obszarów NIS2.
W praktyce pod regulacje mogą podlegać również firmy, które:
- działają jako dostawcy usług IT/ICT,
- obsługują infrastrukturę cyfrową klientów regulowanych,
- produkują komponenty lub urządzenia dla sektorów kluczowych,
- realizują procesy, których niedostępność mogłaby wywołać incydent w firmie regulowanej.
Przykłady firm, które często wpadają w zakres NIS2, mimo że nie należą „formalnie” do sektorów:
- software house’y obsługujące banki / energetykę / zdrowie,
- firmy IT świadczące usługi zarządzane (MSP),
- producenci podzespołów dla energetyki, telekomów lub logistyki,
- operatorzy transportowi współpracujący z podmiotami krytycznymi.
Sektory NIS2 UKSC. Czy podlegam pod NIS2?
Najłatwiej ustalić, czy sektor Państwa firmy podlega NIS2/UKSC, korzystając z ankiety powyżej. Odpowiedzi na kilka pytań pozwalają w kilka chwil uzyskać jednoznaczną ocenę.
SEDIVIO to zgodność z UKSC i NIS2
W SEDIVIO pomagamy organizacjom przejść przez cały proces wdrożenia wymagań wynikających z projektu ustawy o krajowym systemie cyberbezpieczeństwa – od kwalifikacji, przez audyt, aż po przygotowanie dokumentacji, procesów i zabezpieczeń technicznych.
Wspieramy nie tylko zgodność z przepisami, ale również realne podnoszenie poziomu cyberbezpieczeństwa. Korzystamy z narzędzi, które umożliwiają monitorowanie podatności, zarządzanie incydentami, weryfikację ryzyka i poprawę odporności operacyjnej na co dzień, dzięki czemu wdrożenie UKSC jest trwałe i praktyczne
