Projektowana ustawa znacząco rozszerza katalog podmiotów zobowiązanych do realizacji obowiązków.
Zgodnie z NIS2 podmioty te ujęto w dwóch kategoriach – kluczowych oraz ważnych. Właściwe zaszeregowanie wymaga z jednej strony spojrzenia na rodzaj prowadzonej przez dany podmiot działalności przez pryzmat wykazu sektorów gospodarki uwzględnionego w załącznikach I i II do projektowanej ustawy. Z drugiej zaś niezbędnym pozostaje uwzględnienie kryterium wielkościowego, przy czym projektowanej ustawie będą podlegać również niektórzy mikro- i mali przedsiębiorcy. Zaznaczenia wymaga przy tym rozszerzenie katalogu sektorów (o np. produkcję, przetwarzanie i dystrybucję żywności czy też produkcję urządzeń elektronicznych), jak również rodzajów usług w ramach danego sektora gospodarki (np. w sektorze energii czy infrastruktury cyfrowej) wskazanych dla zidentyfikowania podmiotów kluczowych.
Nowelizacja zmieni dotychczasowy schemat postępowania w zakresie identyfikacji podmiotów zobowiązanych do wypełniania obowiązków w niej ustalonych. W miejsce inicjowania wpisu do wykazu przez organ właściwy do spraw cyberbezpieczeństwa (właściwych sektorowo ministrów, KNF) wprowadzony zostanie mechanizm samoidentyfikacji podmiotów. W przypadku pozytywnej weryfikacji podlegania przepisom tej ustawy podmioty kluczowe i ważne obowiązane będą do samodzielnego złożenia wniosku o wpis do wykazu i to w terminie dwóch miesięcy od dnia spełnienia wymogów do uznania za którykolwiek z wyżej wymienionych podmiotów. Istotnemu rozszerzeniu ulegnie zakres danych, jakie należy podać we wniosku o dokonanie wpisu w wykazie podmiotów kluczowych i ważnych – dotychczasowy katalog zawarty w siedmiu punktach rozrósł się w projekcie ustawy do 17 i – dla przykładu – uwzględnia m.in. obowiązek podania zakresu adresów IP wykorzystywanych przez podmiot kluczowy lub ważny.
O ile na mocy aktualnie obowiązującej ustawy o krajowym systemie cyberbezpieczeństwa wyznaczonych zostało 397 operatorów usług kluczowych, o tyle w ramach projektu ustawy nowymi obowiązkami w zakresie zarządzania bezpieczeństwem informacji objętych zostanie, szacunkowo, przeszło 38 500 podmiotów.
Podmioty kluczowe i ważne będą zobowiązane do wdrożenia systemu zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług przez ten podmiot, w tym w szczególności prowadzenia systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem, wdrożenia odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych ukierunkowanych na zapewnienie bezpieczeństwa sieci i systemów informacyjnych, zarządzania incydentami czy stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi. Istotnym pozostaje, że w ramach tych działań podmioty kluczowe i ważne zobowiązane będą do opracowania, stosowania i aktualizacji dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi, w tym polityki szacowania ryzyka oraz bezpieczeństwa systemu, polityk i procedur oceny skuteczności stosowanych środków technicznych i organizacyjnych, polityk i procedur stosowania kryptografii, w tym szyfrowania oraz szeregu innych dokumentów. Przy czym powyższe działania powinny zostać zrealizowane w terminie sześciu miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny – co dla niektórych podmiotów będzie tożsame z dniem wejścia w życie ustawy. Wartym zwrócenia uwagi pozostaje również obowiązek zapewnienia przez podmioty kluczowe i ważne przeprowadzenia, nie rzadziej niż raz na dwa lata i na własny koszt, audytu bezpieczeństwa systemu informacyjnego służącego do świadczenia usługi. Również co do tego obowiązku projekt zakreśla termin wykonania pierwszego audytu w okresie 12 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny – znów, w stosunku do niektórych podmiotów, początek biegu ww. terminu wyznaczony będzie przez dzień wejścia w życie ustawy.
