Strefa Wiedzy

Pytania i odpowiedzi po webinarze „NIS 2 w sektorze energetycznym”

Dziękujemy wszystkim uczestnikom webinaru za aktywny udział i liczne pytania dotyczące wdrażania Dyrektywy NIS 2 oraz nowych obowiązków wynikających z nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Webinar został zorganizowany we współpracy z TPA Poland i Baker Tilly Legal Poland, spotkał się z dużym zainteresowaniem przedstawicieli sektora energetycznego, OZE oraz firm odpowiedzialnych za cyberbezpieczeństwo i zgodność regulacyjną.

Ze względu na dużą liczbę pytań przygotowaliśmy zestaw najważniejszych zagadnień poruszonych przez uczestników wydarzenia wraz z odpowiedziami eksperckimi.

Na pytania uczestników odpowiedział Grzegorz Antonowicz, Associate Partner w Baker Tilly Legal Poland, który podczas webinaru omówił najważniejsze aspekty nowych regulacji, ich wpływ na przedsiębiorstwa z sektora energetycznego oraz praktyczne wyzwania związane z wdrażaniem wymogów NIS 2.

Mamy nadzieję, że poniższe wyjaśnienia pomogą Państwu lepiej zrozumieć zakres nowych obowiązków oraz ich praktyczne konsekwencje dla firm działających w obszarze energetyki, odnawialnych źródeł energii i infrastruktury krytycznej.

Poniżej publikujemy pytania uczestników webinaru. Zachowano ich oryginalne brzmienie i pisownię.

Pytanie 1

A co z firmami, które świadczą usługi profesjonalne dla podmiotów objętych dyrektywą NIS 2? Chodzi mi o kancelarie prawne, brokerskie, firmy świadczące usługi ochrony osobistej i majątkowej itp. Wspomniane podmioty mają dostęp do informacji niejawnych, często kluczowych dla bezpieczeństwa

Pytanie 2

Jak się ma zakres podmiotów, których obejmują obowiązki NIS 2 do podmiotów, które dla podmiotów zobowiązanych świadczą usługi – np. usługi serwisowe, albo usługi gwarancyjne (po wybudowaniu infrastruktury krytycznej, którą zarządza podmiot zobowiązany do wypełniania obowiązków).

Odpowiedź:
Przedsiębiorcy świadczący usługi dla podmiotów objętych Dyrektywą NIS 2 nie są bezpośrednio objęci obowiązkami wynikającymi z KSC. Mogą oni zostać objęci skutkami wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji przez swoich klientów, którzy będą przenosili wymogi dotyczące cyberbezpieczeństwa na kolejne ogniwa łańcucha dostaw. Niemniej ewentualne obowiązki w tym zakresie będą wynikały przede wszystkim z wymogów kontraktowych stawianych przez podmioty kluczowe i podmioty ważne, dotyczących m.in. wymagań operacyjnych, zapisów umownych, procedur zakupowych, audytów czy okresowych ocen bezpieczeństwa.

Pytanie 3

Co w przypadku właściciela farmy fotowoltaicznej o mocy 1 MW czy 10 MW MW ? Często jest to prywatny inwestor, który wybudowanie farmy fotowoltaicznej traktuje jako inwestycję ? Jest to rolnik, a w innym przypadku właściciel hotelu, ubojni itp.

Odpowiedź:
Warunkiem podlegania pod przepisy KSC jest status przynajmniej średniego przedsiębiorcy (tj. przekroczenie progów, jakie musi spełniać małe przedsiębiorstwo) oraz posiadanie koncesji na wykonywanie działalności gospodarczej w zakresie wytwarzania energii elektrycznej. Wytwarzanie energii elektrycznej na podstawie koncesji jest formą prowadzenia działalności gospodarczej niezależnie od intencji posiadacza koncesji. Z drugiej strony, wytwarzanie energii elektrycznej w mikroinstalacji lub małej instalacji (tj. odnawialnym źródle energii o łącznej zainstalowanej mocy elektrycznej nie większej niż 1 MW) nie wymaga koncesji, w związku z czym nie podlega pod przepisy KSC.

Pytanie 4

Koncesje w zakresie dystrybucji posiada mikroprzedsiebiorstwo. Spółka ta jest kontrolowana w 90% przez inne przedsiębiorstwo (średnie przedsiębiorstwo). Czy obowiązki w zakresie cyberbezpieczeństwa dotyczyć będą „spółki matki”?

Odpowiedź:
Obowiązki wynikające z KSC dotyczą podmiotu wykonującego działalność w zakresie określonym w ustawie. W podanej sytuacji regulacjom w zakresie cyberbezpieczeństwa podlegać może jedynie przedsiębiorstwo posiadające koncesję na wykonywanie działalności gospodarczej w zakresie dystrybucji energii elektrycznej.

Pytanie 5

Czy muzea, muzea narodowe, muzea prowadzące wydawnictwa są objęte NIS2?

Odpowiedź:
Działalność muzeów jako taka nie jest objęta zakresem KSC. Niemniej jednak muzea będą podlegały regulacjom KSC w zakresie jakim prowadzone są przez podmioty publiczne podlegające regulacjom ustawy.

Pytanie 6

Czy może Pan omówić wyłączenia dla grup kapitałowych? W szczególności pojęcia wspólnego świadczenia usług – jak to interpretować.

Odpowiedź:
Wspólne świadczenie usług można interpretować jako świadczenie tej samej usługi wspólnie z przedsiębiorstwem partnerskim lub przedsiębiorstwem powiązanym.

Pytanie 7

Czy SPVka na etapie dewelopmentu projeku PV / BESS (prezed RTB, bez koncesji) a zatem bez obrotów i samodzielnie mikroprzedsiębiorca, ale po zagregowaniu danych całej grupy, może potencjalnie podlegać rejestracji i obowiązki NIS2?

Odpowiedź:
Przedsiębiorstwo na etapie dewelopmentu nie podlega pod regulacje KSC ze względu na brak spełnienia warunków kwalifikacji (brak koncesji), niezależnie od statusu wynikającego z wielkości przedsiębiorstwa. Zgodnie z art. 7c KSC, podmiot kluczowy lub podmiot ważny składa wniosek o wpis do wykazu w terminie 6 miesięcy od spełnienia warunków kwalifikacji, a zatem – co do zasady – w terminie 6 miesięcy od uzyskania koncesji (przy założeniu posiadania statusu średniego przedsiębiorstwa). Natomiast obowiązki wynikające z KSC podmiot taki musi zacząć realizować w terminie 12 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny (zgodnie z art. 16 KSC).

Pytanie 8

Czy samo kryterium obrotu powyżej 43mln euro może nas kwalifikować?

Odpowiedź:
Nie. Obowiązki wynikające z KSC obejmują podmioty spełniające przede wszystkim kryterium prowadzenia działalności w określonym ustawą zakresie. Sam status dużego przedsiębiorcy nie oznacza obowiązku stosowania wymogów KSC w zakresie cyberbezpieczeństwa.

Pytanie 9

A co w przypadku PV, która nie posiada koncesji, ale zgodnie z nowelizacją p.e. będzie prowadzić sprzedaż energii w okresie rozruchu technologicznego?

Odpowiedź:
Przesłanką określoną w Załączniku nr 1 do KSC określającym sektory kluczowe jest posiadanie koncesji na wykonywanie działalności gospodarczej w zakresie wytwarzania energii elektrycznej. Do momentu uzyskania koncesji w tym zakresie przedsiębiorca nie spełnia kryterium kwalifikacji jako podmiot kluczowy lub podmiot ważny.

Pytanie 10

JDG 2 wiatraki (do 0,8 MW) wpisana do MIOZE (wcześniej była koncesja, teraz brak potrzeby) również podlega pod przepisy NIS 2?

Odpowiedź:
Przesłanką określoną w Załączniku nr 1 do KSC określającym sektory kluczowe jest posiadanie koncesji na wykonywanie działalności gospodarczej w zakresie wytwarzania energii elektrycznej. Wytwarzanie energii elektrycznej w mikroinstalacji lub małej instalacji (tj. odnawialnym źródle energii o łącznej zainstalowanej mocy elektrycznej nie większej niż 1 MW) nie wymaga koncesji, w związku z czym nie podlega pod przepisy KSC.

Pytanie 11

Czy można prosić o link do wyjaśnień MC?

Pytanie 12

Podbijam prośbę o link. Czy te wyjaśnienia były w Q&A od MC?

Odpowiedź:
Wyjaśnienia (Q&A) Ministerstwa Cyfryzacji: https://cyber.gov.pl/faq
https://www.gov.pl/attachment/c19a078f-60ca-49ab-ac19-f743f8f64903

Pytanie 13

Co trzeba zapewnić pod kątem technicznym żeby spełniać wymogi NIS 2 na farmach wiatrowych/PVkach/BESS?

Odpowiedź:
Wymagania techniczne powinny każdorazowo uwzględniać kontekst organizacji i być uzależnione m.in. od zakresu i rodzaju oszacowanego ryzyka. Nie można ich uniwersalnie określić z zastosowaniem do każdego przypadku.

Pytanie 14

Czy do wyłączenia wystarczy spełnienie jednego z tych kryteriów (brak niezależności systemów lub brak wspólnego świadczenia usług)? Jeśli farma wiatrowa (małe przedsiębiorstwo) samodzielnie w ramach koncesji sprzedaje energię, a jednocześnie korzysta z usług zarządzania z grupy i posiada wspólne rozwiązania informatyczne (np. sharepointy), będzie kwalifikowało się pod NIS2?

Odpowiedź:
Oceniając przesłanki wyłączenia w świetle treści Dyrektywy NIS 2 należy uznać, że co do zasady przesłanki te powinny być spełnione łącznie. Celem wyjątku jest wyłączenie takich przedsiębiorstw w grupie kapitałowej, których niezależność samoistnie ogranicza ryzyka w zakresie cyberbezpieczeństwa. Niemniej jednak każdy taki przypadek powinien być indywidualnie badany i oceniany, uwzględniając również aspekty techniczne.

Pytanie 15

Czy w przypadku przedsiębiorstwa które posiada wiele rozdrobnionych projektów PV (do 1 MW – bez konieczności uzyskania koncesji na wytwarzanie energii elektrycznej), może wynikać sytuacja, że suma projektów spowoduje podleganie pod NIS2?

Odpowiedź:
Suma projektów nie powinna skutkować kwalifikacją przedsiębiorcy jako podmiotu kluczowego lub podmiotu ważnego. Przesłanką określoną w Załączniku nr 1 do KSC określającym sektory kluczowe jest bowiem posiadanie koncesji na wykonywanie działalności gospodarczej w zakresie wytwarzania energii elektrycznej (w przeciwieństwie np. do sektora gazowego, gdzie koncesja nie zawsze jest przesłanką konieczną).

Pytanie 16

Firma zatrudnia ok 120 osób, obroty wynoszą poniżej 50M Euro, zajmuje się budowaniem na zlecenie farm fotowoltaicznych o mocach od 1 MW do 13 MW. Posiada swój autorski system SCADA którym monitoruje pracę farm. Kontrolujemy pracę farm na zlecenie innych przedsiębiorców. Obecna moc kontrolowanych farm wynosi ok 270 MW. Wg przedstawionych wytycznych wychodzi że będziemy podmiotem Ważnym. Pytanie: Czy my jako podmiot zarządzający pracą farm, musimy przygotować jakąś dokumentację dla właścicieli farm ??

Odpowiedź:
Z treści pytania wynika, że Spółka nie prowadzi koncesjonowanej działalności w zakresie wytwarzania energii elektrycznej, w związku z czym wielkość mocy zainstalowanej u kontrahentów (klientów) nie będzie miała rozstrzygającego znaczenia. Natomiast – według opisu – Spółka może spełniać kryteria uznania za dostawcę usług zarządzanych, co objęte jest Załącznikiem nr 1 Podmioty kluczowe w ramach sektora usług ICT. W takim zaś przypadku ciężar obowiązków wynikających z KSC będzie dotyczyć bezpośrednio Spółki, a nie odbiorców jej usług (klientów).

Pytanie 17

Kto przeprowadza audyt bezpieczeństwa?

Pytanie 18

Wspomnieliście Państwo o możliwości przeprowadzenia audytu. Jakie certyfikaty, papiery taka firma musi posiadać, aby przeprowadzić audyt. Swoją drogą, jakie podmioty będą przeprowadzały ten cykliczny audyt „zewnętrzny”?

Odpowiedź:
Uprawnienia do przeprowadzania audytów bezpieczeństwa określa art. 15 ust. 2 KSC. Audyt taki może przeprowadzać jednostka akredytowana zgodnie z przepisami ustawy o systemach oceny zgodności i nadzoru rynku lub co najmniej dwóch audytorów posiadających uprawnienia określone we wskazanym przepisie.

Pytanie 19

Czy jako osoby do kontaktu z KSC można wskazać pracowników podmiotu świadczącego usługi MSSP (ze spółki matki) oraz czy należy przyjąć, że osoby te muszą posługiwać się językiem polskim (spółka matka z innego kraju UE)? podmiot kluczowy, którego to dotyczy nie zatrudnia żadnych pracowników (SPV).

Odpowiedź:
Nie ma zakazu w tym zakresie. Niemniej osoby wyznaczone do utrzymywania kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa muszą zapewnić realizację komunikacji w pełnym zakresie obowiązków wynikających z KSC (a w ślad za tym należy przyjąć, że osoby takie powinny posługiwać się językiem polskim). Odpowiedzialność za prawidłowe wyznaczenia takich osób ponosi bezpośrednio kierownik jednostki.

Pytanie 20

Czy jeśli spółka matka z obszaru EU realizuje obowiązki z zakresu cyberbezpieczeństwa dla spółki polskiej, to zwalnia to polską spółkę z obowiązków wynikających z dyrektywy?

Odpowiedź:
Nie. Obowiązki wynikające z KSC spoczywają bezpośrednio na przedsiębiorcy podlegającemu pod przepisy ustawy, zwłaszcza w zakresie odpowiedzialności zarządczej spoczywającej bezpośrednio na kierowniku podmiotu. Czym innym jest sposób realizacji tych obowiązków.

Pytanie 21

Czy prowadzony jest centralny rejestr urzadzeń zgodnych z ICT? gdzie go znaleźć?

Odpowiedź:
KSC nie przewiduje prowadzenia rejestru urządzeń zgodnych. Na stronie BIP Pełnomocnika Rządu ds. Cyberbezpieczeństwa publikowane są natomiast rekomendacje dotyczące stosowania produktów ICT lub usług ICT w przypadku wykrycia w nich podatnośc

Poprzedni wpis