Ustawa o krajowym systemie cyberbezpieczeństwa a podmioty medyczne – dzisiaj i jutro

Klasyfikacja operatorów usług kluczowych

Bardziej istotne zmiany, zawężające swobodę uznawania konkretnych grup podmiotów za operatorów usług kluczowych, projekt wprowadził w zasadach ich klasyfikacji. Po pierwsze, w miejsce dotychczasowego podziału na operatorów usług kluczowych i łagodniej potraktowanych operatorów usług cyfrowych (w polskiej transpozycji) wprowadzono pojęcia „podmiotów kluczowych” (essential entities) oraz „podmiotów istotnych” (important entities), zastrzegając jednocześnie, że przynależność odpowiednich podmiotów zostanie wskazana bezpośrednio w załącznikach do dyrektywy, a nie jak to miało miejsce dotychczas, gdzie doprecyzowanie cech określających nawet w poszczególnych podsektorach następowało w aktach prawa krajowego, co siłą rzeczy powodowało duże rozbieżności w nakładaniu obowiązków operatorów usług kluczowych w poszczególnych krajach unijnych. Tu warto wspomnieć jako swojego rodzaju ciekawostkę, że Polska wprowadziła podsektor, który w ogóle nie był przewidziany do objęcia regulacją w źródłowej dyrektywie, a mianowicie w sektorze energii wskazano podsektor wydobycia węgla kamiennego i brunatnego, co jest oczywiste, zważywszy na udział tego podsektora w produkcji energii elektrycznej w Polsce.

W projekcie do grupy „podmiotów kluczowych” zaliczono zarówno niektóre grupy znajdujące się dotychczas w grupie dostawców usług cyfrowych, jak i określono nowe grupy podmiotów, które nie były objęte zasięgiem obecnej dyrektywy. I tak przykładowo:

• dostawcy usług chmurowych (cloud services providers), w dotychczasowej dyrektywie określeni jako dostawcy usług cyfrowych;
• dostawcy usług określanych jako „data center” (data centre service providers), do tej pory nieobjęci rygorami dyrektywy;
• dostawcy u...