Dyrektywa NIS2 wprowadza pewne obowiązki także dla tzw. podmiotów kluczowych i ważnych (PKW), do których mogą się zaliczać niektórzy administratorzy danych osobowych. Niedopełnienie tych obowiązków, precyzowanych przez projekt polskiej ustawy wdrażającej, pociąga za sobą różne dotkliwości. Sprawdź, jakie sankcje grożą za naruszenie dyrektywy NIS2.
Administratorzy danych osobowych będący podmiotami kluczowymi i ważnymi (PKW)
Podmioty kluczowe i ważne (PKW) powinny stosować niektóre przepisy dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 (dalej zwanej NIS-2 lub dyrektywą; patrz: podstawa prawna). W jakim zakresie? Podstawowe znaczenie ma tu zaliczenie konkretnego administratora do sektora PKW na podstawie dyrektywy i projektu ustawy ją wdrażającej, tj. nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.
Szczegóły postępowania z PKW i datę wejścia w życie nowych obowiązków zostaną ustalone we wspomnianej nowelizacji.
Do podmiotów kluczowych zaliczane są zwłaszcza podmioty będące dużymi przedsiębiorcami, wymienione sektorowo w załączniku nr 1 do projektowanej ustawy. Z kolei do podmiotów ważnych przepisy zaliczają wymienione sektorowo w załączniku nr 1 lub 2 ustawy podmioty, które spełniają wymogi dla średniego przedsiębiorcy i nie są jednocześnie podmiotami kluczowymi.
Przykład: Załącznik nr 1 wymienia np. konkretną działalność wydobywczą, energetyczną, bankową oraz podmioty lecznicze. Załącznik nr 2 obejmuje np. produkcję, wytwarzanie i dystrybucję chemikaliów.
Niezależnie od wielkości podmiotu, za PKW można np. dodatkowo uznać podmiot tak zidentyfikowany na podstawie przepisów ustawy.
Każdy administrator musi samodzielnie ocenić, czy zalicza się do kategorii PKW i na tej podstawie docelowo złożyć wniosek o wpis do wykazu PKW (ustawa będzie regulować procedurę wpisową).
Posiadanie określonej kategorii PKW ma wpływ głównie na zakres odpowiedzialności konkretnego administratora za naruszenie przepisów.
