Wejście w życie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa powoduje, że istotne znaczenie ma prawidłowa kwalifikacja modeli świadczenia usług IT w grupach spółek. Jednym z praktycznych pytań jest to, czy spółka działająca jako centrum usług wspólnych (CUW) i świadcząca usługi IT na rzecz innych podmiotów z grupy może zostać uznana za dostawcę usług zarządzanych w zakresie cyberbezpieczeństwa, a w konsekwencji — za podmiot kluczowy.
Czy spółka działająca jako centrum usług wspólnych może być dostawcą usług cyberbezpieczeństwa?
Dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa jest podmiot świadczący usługi związane z zarządzaniem ryzykiem w cyberbezpieczeństwie, w tym obsługę incydentów, testy bezpieczeństwa, audyty systemów informacyjnych oraz doradztwo. Jeżeli więc spółka działająca jako centrum usług wspólnych świadczy na rzecz innych spółek z grupy usługi obejmujące zarządzanie cyberbezpieczeństwem, monitorowanie zagrożeń, administrację zabezpieczeń czy obsługę incydentów, może mieścić się w tej definicji.
Szczególne znaczenie ma to w sytuacji, w której jedna spółka jest jedynym podmiotem zapewniającym obsługę IT i cyberbezpieczeństwo w grupie, a żadna zewnętrzna firma nie świadczy takich usług na rzecz pozostałych spółek.
Status podmiotu kluczowego — obniżony próg wejścia
W przypadku dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa status podmiotu kluczowego może powstać już przy spełnieniu wymogów dla małego przedsiębiorcy, czyli przy co najmniej 10 osobach zatrudnionych lub obrotach albo sumie bilansowej powyżej 2 mln euro. Jest to próg niższy niż w innych sektorach, w których wymagany jest status średniego przedsiębiorcy.
Oznacza to, że status podmiotu kluczowego może dotyczyć także spółek, które same w sobie nie są dużymi organizacjami.
Agregacja danych w grupie spółek
Przy ocenie wielkości przedsiębiorcy należy brać pod uwagę również przedsiębiorstwa partnerskie i powiązane, a więc także ich zatrudnienie, obroty i sumę bilansową. W efekcie nawet spółka zatrudniająca kilka osób może przekroczyć progi ustawowe, jeżeli jest częścią grupy kapitałowej.
Dlatego analiza statusu nie powinna ograniczać się wyłącznie do danych jednej spółki. Konieczne jest uwzględnienie relacji w grupie i danych pozostałych podmiotów powiązanych.
Wyjątek — niezależność systemów IT
Przepisy przewidują wyjątek dotyczący sytuacji, w której podmiot przekracza progi wyłącznie na skutek agregacji danych z przedsiębiorstw powiązanych, a jego system informacyjny jest niezależny od ich systemów. W takim przypadku podmiot nie jest uznawany za podmiot kluczowy.
W przypadku spółki świadczącej w grupie usługi IT przesłanka ta wymaga każdorazowo udokumentowanej analizy.
Co oznacza status podmiotu kluczowego?
Podmiot kluczowy podlega pełnemu zakresowi obowiązków wynikających z UKSC. Obejmują one w szczególności:
- rejestrację w wykazie,
- wdrożenie systemu zarządzania bezpieczeństwem informacji,
- ciągłe monitorowanie,
- obsługę incydentów, w tym wczesne ostrzeżenie w 24 godziny, zgłoszenie w 72 godziny i sprawozdanie końcowe w miesiąc,
- szkolenia kierownictwa co najmniej raz w roku,
- audyt bezpieczeństwa,
- nadzór proaktywny.
Są to najistotniejsze obowiązki, ale nie wyczerpują pełnego katalogu wymagań.
Dlaczego nie warto odkładać kwalifikacji?
Status podmiotu kluczowego bada się według stanu na dzień sporządzenia sprawozdania finansowego. W praktyce oznacza to, że organizacje dysponują już materiałem potrzebnym do przeprowadzenia kwalifikacji. Jednocześnie sześciomiesięczny termin na złożenie wniosku o wpis może już biec.
Kwalifikacja nie sprowadza się wyłącznie do wypełnienia formularza. Wymaga analizy charakteru usług IT, zbadania powiązań kapitałowych i osobowych oraz oceny niezależności systemów informatycznych. Jest to proces, który angażuje dział prawny, IT oraz zarząd.
Od kwalifikacji trzeba zacząć
W przypadku grup spółek i modeli opartych na centralizacji usług IT nie warto opierać się wyłącznie na gotowych formularzach lub kalkulatorach służących ocenie podlegania przepisom. Takie narzędzia nie oddają specyfiki organizacji, jej relacji w grupie ani stopnia złożoności definicji ustawowych. Podstawą należytego podejścia do obowiązków wynikających z UKSC powinna być udokumentowana analiza prawna.
Zapraszamy do kontaktu
Jeśli chcą Państwo ocenić, czy charakter usług IT świadczonych w grupie wpisuje się w definicje przyjęte przez UKSC, ustalić wielkość przedsiębiorcy z uwzględnieniem powiązań kapitałowych i osobowych, zbadać niezależność systemów IT lub przygotować się do wpisu do wykazu, zapraszamy do kontaktu z zespołem DSK. Możemy wesprzeć Państwa również we wdrożeniu dokumentacji, procedur incydentowych oraz planów ciągłości działania.
Kontakt: Natalia Wysocka, adwokat: n.wysocka@dsk-kancelaria.pl
Sprawdź też Alert DSK: CUW – kluczowy podmiot
_____
Przeczytaj również inne artykuły na ten temat:
