Dyrektywa NIS2[1] wprowadza podział podmiotów na kluczowe i ważne, opierając się na kryteriach sektorów działalności oraz wielkości przedsiębiorstwa. Spełnienie obu tych przesłanek oznacza, że Twoja firma będzie musiała dostosować się do wymogów NIS2. Sprawdź, czy Twoja firma spełnia kryteria wielkości określone w Dyrektywie.

O czym mówi Dyrektywa NIS2?

Zakres zastosowania Dyrektywy obejmuje podmioty:

• stanowiące średnie i duże przedsiębiorstwa[2] oraz
• działające w sektorach objętych Dyrektywą.

Sektory działalności omówiliśmy w poprzedniej części naszego biuletynu.

Jakie podmioty należą do średnich lub dużych przedsiębiorstw?

Średnie przedsiębiorstwa to takie, które w co najmniej jednym roku z dwóch ostatnich lat obrotowych:

1. zatrudniały od 50 do 249 osób oraz
   1. których obroty roczne wynosiły 10 mln EUR – 50 mln EUR lub roczna suma bilansowa wynosiła 10 mln EUR – 43 mln EUR.

Przedsiębiorstwa przekraczające te pułapy należą do kategorii dużych. Duże przedsiębiorstwa to takie, które w co najmniej jednym roku z dwóch ostatnich lat obrotowych:

1. zatrudniały co najmniej 250 osób oraz
   1. których obroty roczne wynosiły powyżej 50 mln EUR lub roczna suma bilansowa wynosiła powyżej 43 mln EUR.

Obrót roczny i roczna suma bilansowa – jak policzyć?

Kwota obrotów jest obliczana z wyłączeniem podatku od wartości dodanej (VAT) oraz innych podatków pośrednich.

Roczna suma bilansowa to suma aktywów przedsiębiorstwa.

Wielkości wyrażone w PLN przelicza się na EUR według średniego kursu ogłaszanego przez Narodowy Bank Polski w ostatnim dniu roku obrotowego wybranego do określenia statusu przedsiębiorcy.

Liczba pracowników – co trzeba wiedzieć?

Liczba zatrudnionych osób w skali roku odpowiada liczbie „rocznych jednostek roboczych” (RJR), czyli liczbie osób pracujących w pełnym wymiarze czasu w danym przedsiębiorstwie lub w jego imieniu przez cały badany okres.

Obejmuje ona zarówno zatrudnionych na umowę o pracę, jak i na umowy cywilnoprawne.

Pracę osób, które:

• nie przepracowały pełnego roku,
• były zatrudnione w niepełnym wymiarze czasu, niezależnie od okresu jej trwania oraz
• były pracownikami sezonowymi

liczy się jako ułamkowe części jednostek RJR.

Przy obliczaniu liczby pracowników nie uwzględnia się:

• praktykantów lub studentów odbywających szkolenie zawodowe na podstawie umowy o praktykę lub szkolenie zawodowe,
• pracowników przebywających na urlopie macierzyńskim ani wychowawczym.

Powiązania między przedsiębiorstwami

Określając dane przedsiębiorstwa, trzeba uwzględnić wszelkie relacje danego przedsiębiorstwa z innymi przedsiębiorstwami (bezpośrednie lub pośrednie). Szczególną uwagę należy zwrócić na to, czy przedsiębiorstwo sporządza skonsolidowane sprawozdanie finansowe lub jest w nim ujęte.

Załącznik do zalecenia 2003/361/WE wyróżnia trzy kategorie według rodzaju powiązań:

• przedsiębiorstwo niezależne,
• przedsiębiorstwo partnerskie,
• przedsiębiorstwo powiązane.

Wyjątki

Niektóre podmioty podlegają dyrektywie NIS2 niezależnie od kryterium wielkości. Dyrektywa obejmuje m.in.:

• podmioty uznane za krytyczne na mocy dyrektywy (UE) 2022/2557,
• kwalifikowanych dostawców usług zaufania i rejestrów nazw domen,
• dostawców usług DNS.

Wnioski i rekomendacje

Wielkość przedsiębiorstwa jest kluczowym kryterium decydującym o kwalifikacji podmiotu jako kluczowego lub ważnego. Ma ona również znaczenie dla ustanowienia odpowiednich środków zarządzania ryzykiem w cyberbezpieczeństwie na podstawie NIS2. Co do zasady Dyrektywa obejmuje średnie i duże przedsiębiorstwa, jednak implementujące ja przepisy mogą rozszerzyć obowiązki również na mikro- i małe przedsiębiorstwa.

Jeśli masz wątpliwości, do jakiej kategorii należy Twoja firma, skontaktuj się z nami.

Wypełnij ankietę i sprawdź, czy NIS2 Cię dotyczy.

Autor: Klaudia Szymańska, aplikant radcowski, Junior Associate w Lawspective.

E-mail: klaudia.szymanska@lawspective.pl

Autor: Maciej Tabor, adwokat, Senior Associate w Lawspective.

E-mail: maciej.tabor@lawspective.pl

---

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.

[2] W rozumieniu art. 2 załącznika do zalecenia Komisji 2003/361/WE

1 marca Marianna Valirakis oraz Paweł Litwiński mieli zaszczyt uczestniczyć w Wielkiej Gali Liderów Polskiego Biznesu BCC 2025, biorąc udział w finale 32. edycji konkursu Lider Polskiego Biznesu. To prestiżowe wydarzenie, gromadzące kluczowe postacie ze świata biznesu, polityki, nauki i kultury, stało się świętem polskiej przedsiębiorczości i doskonałą okazją do wymiany doświadczeń.

Gratulacje dla laureatów

Serdecznie gratulujemy wszystkim nagrodzonym, którzy otrzymali Statuetki i Diamenty Lidera Polskiego Biznesu. Szczególne uznanie kierujemy w stronę laureatów Nagród Specjalnych – prof. Ewy Łętowskiej oraz Jerzego Owsiaka, których osiągnięcia stanowią ogromną wartość dla polskiego społeczeństwa.

Niezapomniana atmosfera i inspirujące rozmowy

Wielka Gala to nie tylko oficjalna ceremonia, ale również wyjątkowe spotkania i rozmowy, które otwierają drzwi do nowych możliwości. Była to doskonała okazja do nawiązania wartościowych kontaktów biznesowych i wymiany doświadczeń z liderami różnych branż.

Serdecznie dziękujemy organizatorom oraz partnerom wydarzenia za perfekcyjne przygotowanie tego niezapomnianego wieczoru. Cieszymy się, że mogliśmy być częścią tego prestiżowego wydarzenia i z niecierpliwością czekamy na kolejną edycję!

Do zobaczenia za rok!

Dyrektywa NIS2[1] znacząco rozszerza zakres podmiotów objętych regulacjami o cyberbezpieczeństwie i wprowadza dwie kategorie podmiotów  – podmioty kluczowe i ważne. Obowiązkami zostaną objęte różne sektory mające istotne znaczenie społeczne i gospodarcze. Dowiedz się, jaki jest cel tego podziału oraz jakie sektory rozróżnia NIS2.

Cel podziału na podmioty ważne i kluczowe

Podział na operatorów usług kluczowych i dostawców usług cyfrowych wprowadzony przez dyrektywę NIS1 stał się nieaktualny. Dyrektywa NIS2 dostosowuje zakres podmiotowy do obecnych realiów. Rozróżnienie na podmioty kluczowe i ważne oraz większa ilość sektorów ma wyeliminować niedociągnięcia z dyrektywy NIS1.

W związku z szybko postępującą transformacją cyfrową, sieci i systemy informatyczne stały się naszą codziennością, jednak doprowadziło to do powstania nowych cyberzagrożeń. Aktualizacja zakresu podmiotów odzwierciedli współczesne sektory i usługi, przygotowując je na rosnące niebezpieczeństwa.

Kogo zaliczymy do podmiotów kluczowych?

Regulacje dla podmiotów kluczowych są surowsze, ponieważ oczekuje się od nich najwyższych standardów bezpieczeństwa. Do tej kategorii należą sektory uznane za niezbędne dla funkcjonowania społeczeństwa i gospodarki. Podmioty kluczowe to m.in.:

• podmioty spełniające łącznie dwa wymagania:
  • wielkości, tj. podmioty duże, czyli przekraczające pułapy dla przedsiębiorstw średnich, o czym będzie szerzej mowa w kolejnym artykule naszego biuletynu; i
  • podmioty działające w choćby jednym z poniższych sektorów:
    • energetyki,
    • transportu,
    • bankowości,
    • infrastruktury rynków finansowych,
    • opieki zdrowotnej,
    • wody pitnej,
    • ścieków,
    • infrastruktury cyfrowej,
    • zarządzania usługami ICT,
    • podmiotów administracji publicznej,
    • przestrzeni kosmicznej;
• kwalifikowani dostawcy usług zaufania i rejestry nazw domen najwyższego poziomu, a także dostawcy usług DNS, niezależnie od ich wielkości.
  
  

Jakie podmioty należą do podmiotów ważnych?

Podmioty ważne mają istotny wpływ na społeczeństwo i gospodarkę. Ich działalność nie odgrywa jednak tak krytycznej roli, jak podmiotów kluczowych. Pomioty ważne obejmują:

• podmioty z sektorów wymienionych wyżej, które nie spełniają kryterium wielkości – stanowią średnie przedsiębiorstwa;
• średnie lub duże przedsiębiorstwa, należące do sektorów:
  • usług pocztowych i kurierskich,
  • gospodarowania odpadami,
  • produkcji, wytwarzania i dystrybucji chemikaliów,
  • produkcji, przetwarzania i dystrybucji żywności,
  • produkcji,
  • dostawców usług cyfrowych,
  • badań naukowych;
• Ostatni projekt nowelizacji UKSC, opublikowany 12.02.2025 r., przewiduje dodatkowe sektory ważne, oprócz powyższych: inwestycje w energetykę jądrową oraz niektóre podmioty publiczne, takie jak:
  • samorządowe jednostki budżetowe,
  • samorządowe zakłady budżetowe,
  • samorządowe instytucje kultury,
  • spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej.

Wnioski i rekomendacje

Podział na podmioty kluczowe i ważne oraz zwiększenie liczby sektorów ma sprostać aktualnym wyzwaniom w cyberbezpieczeństwie. Pomioty kluczowe muszą w szczególności spełniać kryterium wielkości oraz należeć do sektorów kluczowych. Może być natomiast mylące, że podmioty ważne zalicza się zarówno do sektorów kluczowych jako średnie przedsiębiorstwa, jak i do sektorów ważnych jako średnie i duże przedsiębiorstwa. W przypadku wątpliwości możemy wskazać, do jakiej grupy należy dany podmiot.

Warto zauważyć, że NIS2 wyznacza tylko minimalne standardy i polski ustawodawca może jeszcze rozszerzyć krąg podmiotów objętych obowiązkami. Już w najnowszym projekcie UKSC[2] zostały przewidziane dodatkowe sektory. Ustalenie przynależności do podmiotów kluczowych lub ważnych potrafi być skomplikowane – jeśli potrzebujesz pomocy, skontaktuj się z nami.

Wypełnij ankietę i sprawdź, czy NIS2 Cię dotyczy.

Autor: Klaudia Szymańska, aplikant radcowski, Junior Associate w Lawspective.

E-mail: klaudia.szymanska@lawspective.pl

Autor: Marta Adranowska, adwokat, Senior Associate w Lawspective.

E-mail: marta.adranowska@lawspective.pl

---

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.

[2] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie bezpieczeństwa.

Z radością informujemy, że właśnie ukazał się nowy komentarz do ustawy o ofercie publicznej pod redakcją naukową prof. Tomasz Sójka!

Wśród współautorów znajdują się nasi prawnicy:

• dr Kinga Dziennik – opracowanie przepisów dotyczących oferty publicznej i dopuszczenia instrumentów finansowych do obrotu.
• Maksymilian Saczywko – analiza regulacji dotyczących wezwań.

To kompleksowe opracowanie powstało z myślą o praktykach rynku kapitałowego, łącząc doświadczenie zawodowe autorów z dogłębną analizą teoretyczną.

Uwzględnia najnowszy stan prawny na 1 stycznia 2025 r., a jego treść odzwierciedla liczne zmiany, które na przestrzeni lat nastąpiły w prawie polskim i unijnym, w szczególności w związku z  rozporządzeniem prospektowym i rozporządzeniem MAR.