Home » Ankieta zgodności NIS2
Δ
Proszę odpowiedzieć na poniższe pytania, aby ustalić kategorię wielkości podmiotu.
Nawet jeśli jesteś małą firmą, podlegasz pod ustawę jako podmiot kluczowy, jeśli spełniasz którykolwiek z poniższych warunków:
Dostawca usług DNS: Świadczysz publiczne usługi rozpoznawania nazw domen dla użytkowników końcowych. Rejestr nazw domen najwyższego poziomu (TLD): Zarządzasz domeną taką jak „.pl” lub „.com.pl”. Podmiot świadczący usługi rejestracji nazw domen: Jesteś rejestratorem działającym w imieniu rejestrów (sprzedajesz domeny końcowym klientom). Dostawca usług zaufania: Wydajesz certyfikaty podpisu elektronicznego, pieczęci elektronicznych lub znaczniki czasu (kwalifikowane lub niekwalifikowane).
Podmiot krytyczny: Zostałeś zidentyfikowany jako podmiot krytyczny na podstawie dyrektywy CER (odporność fizyczna). Wyłączność/Ryzyko systemowe: Jesteś jedynym dostawcą w Polsce usługi kluczowej dla gospodarki lub Twoje zakłócenie wywołałoby poważne zagrożenie dla bezpieczeństwa publicznego.
Jeśli z Kroku 1 wynika, że jesteś średnim lub dużym przedsiębiorstwem, sprawdź, czy Twój profil działalności znajduje się w załącznikach do ustawy.
Energetyka: Energia elektryczna, systemy ciepłownicze, ropa naftowa, gaz, wodór, energetyka jądrowa . Transport: Lotniczy, kolejowy, wodny, drogowy . Bankowość i infrastruktura rynków finansowych: Instytucje kredytowe, operatorzy systemów obrotu . Ochrona zdrowia: Podmioty lecznicze, laboratoria referencyjne, produkcja leków i wyrobów medycznych . Woda pitna i ścieki: Dostawcy wody oraz podmioty odprowadzające ścieki . Infrastruktura cyfrowa: IXP, DNS, TLD, chmura obliczeniowa, centra przetwarzania danych (data center), sieci dostarczania treści (CDN), usługi zaufania, komunikacja elektroniczna (operatorzy telco) . Zarządzanie usługami ICT (B2B): Dostawcy usług zarządzanych (MSP) oraz dostawcy usług zarządzanych w zakresie bezpieczeństwa (MSSP). Przestrzeń kosmiczna: Operatorzy infrastruktury naziemnej wspierający usługi kosmiczne. Podmioty publiczne: Administracja rządowa, urzędy gmin (min. 50 osób), NFZ, ZUS, sądy
Usługi pocztowe i kurierskie. Gospodarowanie odpadami. Produkcja, wytwarzanie i dystrybucja chemikaliów. Produkcja, przetwarzanie i dystrybucja żywności (produkcja przemysłowa i hurt). Produkcja (Przemysł): Wyroby medyczne, komputery, elektronika, optyka, urządzenia elektryczne, maszyny i urządzenia, pojazdy samochodowe, przyczepy, pozostały sprzęt transportowy . Dostawcy usług cyfrowych: Internetowe platformy handlowe (marketplaces), wyszukiwarki internetowe, platformy sieci społecznościowych. Badania naukowe: Organizacje badawcze.
Na podstawie informacji przekazanych w ankiecie można uznać, że istnieje wysokie prawdopodobieństwo, iż Twoja firma może być objęta wymogami NIS2 jako podmiot ważny. Ocena ta została przygotowana na podstawie podanych odpowiedzi i nie zastępuje indywidualnej analizy prawnej lub regulacyjnej.
Status podmiotu ważnego wynika z artykułu 5 ustęp 2 znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa. Dotyczy on przedsiębiorstw średniej wielkości, czyli zatrudniających od 50 do 249 pracowników lub osiągających obrót do 50 milionów euro, które operują w sektorach kluczowych. Obejmuje również wszystkie firmy średnie i duże z pozostałych sektorów krytycznych, takich jak produkcja żywności, chemikaliów, wyrobów metalowych, a także usługi pocztowe i gospodarka odpadami.
Głównym obowiązkiem takiej organizacji jest zgłoszenie się do krajowego wykazu podmiotów oraz wdrożenie skutecznego systemu zarządzania bezpieczeństwem, który obejmuje zarówno procedury organizacyjne, jak i zabezpieczenia techniczne. Podmiot musi być gotowy do raportowania poważnych incydentów w ścisłym rygorze czasowym, przesyłając wczesne ostrzeżenie w ciągu doby od wykrycia problemu. Dodatkowo zarząd ma ustawowy obowiązek udziału w szkoleniach, a cała firma musi prowadzić działania edukacyjne dla pracowników w zakresie podstaw cyberbezpieczeństwa.
W przypadku naruszenia tych zasad, na organizację może zostać nałożona kara finansowa sięgająca siedmiu milionów euro lub ponad jeden procent jej globalnego rocznego obrotu. Członkowie zarządu ryzykują natomiast karą indywidualną do wysokości trzech swoich miesięcznych pensji. Nadzór nad podmiotem ważnym ma charakter następczy, co oznacza, że organy państwowe kontrolują firmę zazwyczaj dopiero po wystąpieniu incydentu lub otrzymaniu informacji o nieprawidłowościach.
Możesz teraz przejść do krótkiej sekcji samooceny i sprawdzić, w jakim stopniu spełniasz wybrane podstawowe wymagania wynikające z NIS2 i UKSC.
Na podstawie informacji przekazanych w ankiecie można uznać, że istnieje wysokie prawdopodobieństwo, iż Twoja firma może być objęta wymogami NIS2 jako podmiot kluczowy. Ocena ta została przygotowana na podstawie podanych odpowiedzi i nie zastępuje indywidualnej analizy prawnej lub regulacyjnej.
Podmiot zostaje uznany za kluczowy na podstawie artykułu 5 ustęp 1 ustawy, jeśli jest dużym przedsiębiorstwem zatrudniającym powyżej 250 osób w sektorach strategicznych, takich jak energetyka, bankowość, ochrona zdrowia czy transport. Status ten posiadają również wszystkie jednostki administracji publicznej oraz dostawcy krytycznej infrastruktury cyfrowej, na przykład operatorzy systemów nazw domen, bez względu na ich wielkość i liczbę pracowników.
Zakres zadań jest tu szerszy niż u podmiotów ważnych. Poza wszystkimi standardowymi obowiązkami dotyczącymi rejestracji, dokumentacji i raportowania incydentów, podmiot kluczowy musi obowiązkowo poddawać się niezależnemu audytowi zewnętrznemu co trzy lata, finansując go z własnych środków. Taka firma znajduje się pod stałym nadzorem prewencyjnym, co oznacza, że urząd może w dowolnym momencie przeprowadzić planową kontrolę i sprawdzić realny stan zabezpieczeń przed wystąpieniem jakiegokolwiek zagrożenia.
Sankcje za niedopełnienie wymogów są najsurowsze i wynoszą do dziesięciu milionów euro lub dwóch procent rocznego światowego obrotu. Zarząd, poza wysokimi karami finansowymi, musi liczyć się z możliwością czasowego zawieszenia w pełnieniu funkcji lub czasowym cofnięciem zezwoleń na prowadzenie działalności przez firmę, jeśli naruszenia przepisów będą miały charakter uporczywy.
Na podstawie informacji przekazanych w ankiecie można uznać, że istnieje wysokie prawdopodobieństwo, iż Twoja firma nie jest objęta wymogami NIS2. Wynik ten należy jednak traktować jako ocenę wstępną, zależną od kompletności i poprawności udzielonych odpowiedzi.
Chcesz otrzymać wynik na e-maila? W następnym kroku podaj swój e-mail
Ocena ryzyka: Wysokie
Występują istotne braki w spełnianiu podstawowych wymagań. Na podstawie udzielonych odpowiedzi można przyjąć, że poziom ryzyka jest wysoki i wymaga pilnych działań.
Ocena ryzyka: Średnie
Część podstawowych wymagań wydaje się spełniona, ale nadal widoczne są obszary wymagające uzupełnienia. Na podstawie udzielonych odpowiedzi poziom ryzyka można ocenić jako średni.
Ocena ryzyka: Niskie
Większość kluczowych wymagań wydaje się być zaadresowana. Na podstawie udzielonych odpowiedzi poziom ryzyka można ocenić jako niski, choć wynik nadal ma charakter orientacyjny.
