Speaker A
Cześć Marcinie. Cześć Michale. Miło cię widzieć na naszym szkoleniu z Nisa dwójki.
Szkolenie o NIS2/KSC2: od teorii do praktyki z perspektywy prawnej, technicznej i organizacyjnej. Darmowe webinary i konkursy.
Key Takeaways
- NIS2/KSC2 to nowe regulacje wymagające rejestracji i dostosowania organizacji do wymogów cyberbezpieczeństwa.
- Do 3 października 2026 roku należy zarejestrować się w wykazie podmiotów kluczowych i ważnych.
- Brak dostosowania się do wymogów grozi sankcjami finansowymi od 2028 roku.
- Szkolenia SekurakTV oferują kompleksowe podejście: prawne, techniczne i praktyczne.
- Aktywne uczestnictwo w webinarach i konkursach pozwala zdobyć wiedzę i nagrody.
Summary
- Wprowadzenie do tematu NIS2 i KSC2 oraz omówienie planów szkoleniowych.
- Prezentacja Marcina Serafina na temat oceny statusu organizacji względem KSC2.
- Omówienie kryteriów podlegania pod przepisy KSC2: skala działalności, sektor oraz wyjątki.
- Informacje o obowiązku rejestracji w wykazie podmiotów kluczowych i ważnych do 3 października 2026.
- Przedstawienie konsekwencji finansowych za brak wdrożenia lub nieprawidłowe zgłoszenie, które zaczną obowiązywać od 2028 roku.
- Zapowiedź kolejnych webinarów i Akademii NIS2/KSC2 z podziałem na aspekty prawne i techniczne.
- Prezentacja praktycznych aspektów reagowania na incydenty bezpieczeństwa przez Tomasza Turbę z Sekuraka.
- Informacje o konkursach z nagrodami (plecaki) podczas sesji szkoleniowych.
- Zachęta do rejestracji na platformie startersekurak.pl i korzystania z dodatkowych materiałów.
- Podkreślenie znaczenia zrozumienia i przygotowania się do wymogów NIS2/KSC2 dla firm i instytucji.
Chapters
- 00:00Wprowadzenie i powitanie uczestników
- 05:33Prezentacja Marcina Serafina – wprowadzenie do NIS2/KSC2
- 11:31Ocena statusu organizacji względem KSC2 – kryteria i wyjątki
- 23:06Rejestracja w wykazie podmiotów kluczowych i ważnych
- 34:40Konsekwencje prawne i finansowe niewdrożenia wymogów
- 42:52Aspekty techniczne i praktyczne – obsługa incydentów bezpieczeństwa
- 52:47Informacje o konkursach i nagrodach
- 59:23Sesja pytań i odpowiedzi oraz podsumowanie szkolenia
Full Transcript — Download SRT & Markdown
Speaker A
Cześć też wszystkim. Mam nadzieję, że nas dobrze słychać i dobrze widać.
Speaker A
Dajcie dla pewności znać na czacie. Jest nas obecnie 2000, widzę ponad 2000 na live'ie, więc mega, mega mocne zainteresowanie tematem.
Speaker A
Ja tak bardzo w skrócie opowiem, gdzie my tutaj jesteśmy, co my tutaj robimy, jakie są plany na przyszłość. Dosłownie dwie, trzy minutki.
Speaker A
I no i oddam głos naszemu głównemu tutaj gościowi prowadzącemu, czyli Marcinowi Serafinowi.
Speaker A
Dobra, tak jak widzicie tutaj na tym pierwszym ekranie, gdyby ktoś tutaj był troszeczkę tak z boku, czyli bez rejestracji u nas, można się bezpłatnie zarejestrować pod tym
Speaker A
adresem startersekurak.pl, pl to polecam to zrobić, bo będziemy na maile, które nam podacie, dosyłać ekstra materiały, w szczególności całą prezentację Marcina jeszcze dzisiaj.
Speaker A
No właśnie dzisiaj sobie powiemy na czy poopowiadamy, czy Marcin troszeczkę was zaciekawi takim tematem,
Speaker A
czy moja firma, instytucja podlega pod NIS2.
Speaker A
Kolejny webinar czy kolejne krótkie godzinne szkolenie w ramach tego startera właśnie, na którym jesteśmy. To jest roadmapa KSC2, czyli co kiedy trzeba ewentualnie robić. Tutaj Marcin Wysocki z Ministerstwa Cyfryzacji nam ten temat
Speaker A
przedstawi. No i starter kończymy tematem bardziej technicznym, bardziej myślę, że ciekawym, chociaż to dzisiaj też na pewno będzie bardzo ciekawe dla ludzi technicznych, dla IT.
Speaker A
Tutaj nasz Tomek Turba z Sekuraka. Ja też jestem z Sekuraka.
Speaker A
Jakoś tak ferworze walki, jak ktoś mnie nie zna, jestem założycielem Sekuraka. Tomek Turba w każdym razie z Sekuraka pokaże nam obsługę incydentu bezpieczeństwa na żywo, czyli co robić, jak ktoś się nam dostanie do komputerów, do infrastruktury, jak
Speaker A
reagować, tego typu rzeczy. I te trzy szkolenia, one są bezpłatne. Nazywamy je sobie NIS 2 starter. To jest taki początek wgłębiania się w temat. Nawet jak ktoś nie będzie miał do czynienia z NIS2, jest to, myślę, fajna
Speaker A
wiedza, którą warto znać. Jeśli ktoś z kolei wdraża NIS2, to mamy później kontynuację tego wszystkiego, czyli Akademię NIS2, KSC2, o tym jeszcze więcej powiem. Marcin zresztą też tam jest prelegentem. Można sobie tutaj to zobaczyć, co to w ogóle jest
Speaker A
pod adresem nisekurak.pl. 30 szkoleń podzielonych na prawne, na bardziej cyberowe. Macie ekstremalnie dobry też rabat na to szkolenie z tym linkiem, który działa do końca jutra. O tym jeszcze powiem. No i wreszcie ostatnia już absolutnie sprawa. Będą konkursy na
Speaker A
tym szkoleniu. Sięgam tutaj po plecak. Plecaki, które będzie można wygrać, wyglądają mniej więcej mniej więcej w ten sposób. Marcin będzie miał w trakcie prezentacji dwa konkursy, ale będzie też jeden konkurs absolutnie na samym końcu, czyli po sesji pytań i odpowiedzi.
Speaker A
Właśnie pytania i odpowiedzi i kwestie logistyczne. Jak to ma Marcin, już ostatnia z ostatnich rzeczy, czyli mamy mniej więcej na tę część Marcina godzinę. Później sobie zrobimy króciutką przerwę, trzy, pięć minutek, tak mniej więcej, żeby troszeczkę odsapnąć. Po
Speaker A
tym, po tej przerwie będzie sesja pytań i odpowiedzi. 15, 20, 25 minut. Zobaczymy, ile będzie potrzeba. I po tej sesji pytań i odpowiedzi będzie też jeszcze jeden ekstra konkurs też z plecakami dla tych najbardziej wytrwałych. No dobrze, to ja się w takim razie już nagadałem.
Speaker A
Marcin, jakbyś mógł udostępnić jeszcze swoją prezentację, to będę wdzięczny. A w międzyczasie pamiętajcie, żeby pytania, jeśli macie jakiekolwiek, zadawać na czacie, poprzedzając je literką Q, tak żebyśmy mogli w tym lesie, który nas bardzo cieszy pytań czy
Speaker A
komentarzy, raczej wyłuskać właśnie pytania i odpowiedzieć je w trakcie sesji pytań i odpowiedzi. Dobrze, w takim razie ja już moją prezentację usuwam.
Speaker A
Twoją prezentację już też widać. Także powodzenia na szkoleniu i wszystkim życzę pozyskania nowej, fajnej, wartościowej wiedzy.
Speaker A
Dzięki Michale. Witajcie wszyscy. Słuchajcie, dzisiejsze spotkanie na pewno jest takim elementem, który dla wielu będzie pewnym game changerem i zmianą tego, jak dotychczas myśleli o NIS2 i powiedzenie, że trzeba zacząć od rzeczy pierwszych na początku jest na
Speaker A
pewno zawsze bardzo właściwe. Trzy słowa, dlaczego ja i skąd ja? Po pierwsze jestem od 20 lat prawnikiem, który się zajmuje różnego rodzaju kwestiami związanymi z nowymi technologiami. Przez te 20 lat pracowałem w kancelariach prawnych, pracowałem też w Google, gdzie
Speaker A
zajmowałem się regulacjami właśnie dotyczącymi samego Google'a. Między innymi zajmowałem się pracami legislacyjnymi dotyczącymi RODO, ale też i regulacjami własności intelektualnej czy innymi.
Speaker A
No i w związku z tym, że przez ostatnie trzy lata większość mojego czasu zawodowego to jednak, co by nie mówić, KSC na początek jeszcze w wersji nieśmiałej w postaci NIS2, a obecnie już takie klasyczne KSC. No to dlatego
Speaker A
wygląda na to, że to jest ten czas, żebyśmy spędzili godzinę. Z racji tego, że jest was dużo i że nie macie włączonych kamer, co jest oczywiste, ja was niestety nie widzę i nie wiem, kim jesteście. Jeżeli macie ochotę dołączyć
Speaker A
do mnie i zostać w kontakcie, linkedinowe konto serdecznie oczywiście zapraszam. Dzisiejsze spotkanie, jeśli chodzi o to, czym się będziemy zajmować, temat jest prosty, a mianowicie jak ustalić status waszej organizacji z perspektywy KSC w wersji 2.0. Zakładam,
Speaker A
że większość organizacji jest tutaj jednak dlatego, że dotychczas nie podlegali pod przepisy KSC, które obowiązują od 2018 roku, ale w chwili obecnej jest wątpliwość, czy podlegają, czy nie podlegają. Będziemy skupiali się na trzech różnych elementach, których na samym końcu będziemy mieli
Speaker A
całe podsumowanie. Po pierwsze będziemy musieli ocenić, jak wygląda skala naszej działalności. Po drugie, będziemy musieli spojrzeć na sektor, w którym funkcjonujemy i w którym działamy. Z trzeciej strony omówimy sobie najważniejsze wyjątki i szczegóły.
Speaker A
Tutaj taka moja dygresja. Wydaje się tylko, że te przepisy są proste, natomiast jak spróbujemy je rozłożyć na czynniki pierwsze, to zaczyna się robić instrukcja budowy promu kosmicznego i na samym końcu spróbujemy ustalić, w jaki taki w tej sytuacji, czy jesteśmy,
Speaker A
czy w ogóle podlegamy, czy jesteśmy podmiotem kluczowym, czy jesteśmy podmiotem ważnym. Dlaczego w ogóle się tym zajmujemy teraz i dlaczego spośród tych trzech webinarów, które mają być punktem wyjścia do całej dużej akademii KSC, to jest ważne. Po pierwsze, pamiętajcie o
Speaker A
tym, że nie tylko będziecie zobowiązani zarejestrować się w tak zwanym wykazie KSC, czyli wykazie podmiotów kluczowych i ważnych, ale też druga rzecz, która jest istotna, to jest to, że musicie to zrobić do 3 października 2026 roku. Więc z tej perspektywy pierwsze
Speaker A
zadanie już po wakacjach, więc jest coś, co trzeba będzie zrealizować. Natomiast po drugie, w zależności od tego, który z przedmiotów waszej działalności sprawi, że będziecie podlegali pod te przepisy, no to na tej podstawie będziecie potencjalnie prowadzili projekt związany
Speaker A
albo z weryfikacją, czy już spełniacie wszystkie wymogi, albo co jest dużo częstsze, prowadzili projekt, w ramach którego będziecie się musieli dostosować do tych wszystkich wymagań.
Speaker A
W związku z tym sama świadomość, czy podlegamy i w jakim zakresie podlegamy, jest tym punktem wyjścia do tego, żeby być w stanie ocenić, czy i co konkretnie będziemy musieli dalej robić.
Speaker A
Oczywiście jest też motywacja o charakterze finansowym, a mianowicie sankcje finansowe za niewdrożenie, niezgłoszenie się do wykazu i za
Speaker A
nieprawidłowe zgłoszenie się do wykazu również. Natomiast one jeszcze przez najbliższe półtora roku nie będą miały zastosowania. Kary finansowe będzie można nakładać dopiero w 2028. W związku z czym przez jeszcze przez chwilę ta motywacja finansowa nie jest aż tak
Speaker A
bardzo drastyczna. No i co? Żebyśmy nie zaczynali tak na jakby od razu z grubej rury.
Speaker A
Zacznijmy może od konkursu. Część z osób na pewno wie już sporo na temat tego, co się dzieje w ramach KSC i było w stanie go zrozumieć. Pytanie konkursowe brzmi: Mamy 300...
Speaker A
equivalent. Natomiast po pierwsze niekoniecznie chodzi tylko i wyłącznie o pracowników na umowy o pracę, więc to jest pierwsza rzecz. Będziemy będzie to obejmować również yyy osoby na przykład na B2Bować również w zakresie osób, które są właścicielami organizacji takie, które
Speaker A
wykonują swoje działania kierownicze. Więc również umowy cywilnoprawne będą tutaj miały znaczenie. W każdym wypadku istotną rzeczą jest, żeby wykonywać to pod kierunkiem i nadzorem yyy pracodawcy. Więc w tym zakresie niezależnie od tego jaka jest forma, to jest dość istotne, nie? Nie wlicza się w
Speaker A
to na przykład osób, które są na praktykach czy stażach studenckich, czy czy absolwenckich, więc w tym zakresie to nie nie wlicza się też oczywiście osób, które są na przykład na urlopie macierzyńskim czy wychowawczym.
Speaker A
Natomiast pod ty pod tym kątem to nie są tylko i wyłącznie pracownicy, co jest pierwszą ważną rzeczą, o której chciałbym, żebyście zapamiętali. Z drugiej strony, jeśli chodzi o wielkość, ważną kwestią jest też, że liczymy, uwzględniamy również wielkość obrotów.
Speaker A
To nie chodzi o tylko i wyłącznie o takie klasyczne przychody, bo chodzi o obroty, czyli tak naprawdę przychody ze sprzedaży usług, które organizacja realizuje. No i mamy progi 2 miliony, 10 milionów, 50 milionów euro i i i powyżej
Speaker A
50 milionów euro. I tak naprawdę każdy z tych progów jest istotny. Ale uwaga, oprócz obrotu jest też alternatywny element, który się nazywa suma bilansowa. Suma bilansowa to jest taki wskaźnik, który pokazuje czy nasza organizacja jakie, jakiego rodzaju aktywa posiada.
Speaker A
Jeżeli więc na przykład jest organizacja, która ma relatywnie niewielkie przychody, nie nawet nie podpatające pod któryś z tych elementów, ale ma dużą ilość aktywów, w związku z czym ma wysoką sumę bilansową, to może się okazać, że również będziecie w tym
Speaker A
zakresie podlegać. Więc pod tym kątem yyy no bardzo istotne jest, żeby umieć pamiętać o tym, że po pierwsze w zakresie pracowników to nie koniecznie tylko umowy o pracę i to te roczne jednostki pracy. Jeśli chodzi o kwestie finansowe, albo obroty, albo suma
Speaker A
bilansowa. Patrzymy, czy one będą spełniały te wszystkie poszczególne wymogi. I na tej podstawie macie prostą macierz, która pokazuje czy jesteście mikro, małym, średnim czy dużym.
Speaker A
I jeśli komuś się wydaje, że to jest skomplikowane, to idźmy sobie dalej. Oprócz tego, tak jak już wspominałem o pracownikach i o finansach, czyli obrotach lub sumie bilansowej, może być jeszcze jeden trochę bardziej skomplikowany element, a mianowicie taki, jeżeli jesteście częścią grupy
Speaker A
kapitałowej, niezależnie czy jesteście spółką córką, czy jesteście spółką matką, w tym zakresie w niektórych sytuacjach będziecie musieli do waszych obrotów doliczyć również obroty pochodzące z z innych spółek z grupy kapitałowej. I teraz kluczowym rozróżnieniem jest to, jaką mamy ilość udziałów, praw
Speaker A
wykonywania głosu i tak dalej. Trochę bardziej szczegółowo już w tych konkretnie przepisach. Jeżeli ma, jeżeli albo wy posiadacie w kimś poniżej 25%, albo ktoś posiada u was poniżej 25%, to uwzględniacie tylko i wyłącznie swoje obroty. Jeżeli myślimy, jeżeli natomiast
Speaker A
jest tak, że jesteście przedsiębiorstwem partnerskim, macie przedsiębiorstwa partnerskie, czyli takie, które mają 25 do 50% albo w ramach waszej organizacji, albo wy posiadacie w nich, to potencjalnie trzeba dodać tutaj proporcjonalnie ich przychody. Jeżeli jesteście klasycznym podmiotem powiązanym, to
Speaker A
znaczy posiadacie kontrolę albo co najmniej 50% udziałów, albo ktoś posiada u was, to potencjalnie dodajemy pełne 100%.
Speaker A
To jest oczywiście o tyle trudne, że nawet jeżeli jesteśmy małą organizacją, ale mamy na przykład spółkę Matkę, która wykonuje dokładnie takie same usługi jak my, ale jednocześnie no jest odrębną spółką, to w takiej sytuacji pomimo stosunkowo niewielkich obrotów może się
Speaker A
okazać, że my jesteśmy również podmiotem dużym przedsiębiorstwem, z czego z konsekwencji jakby po drugiej części będziecie wiedzieli, że może też wynikać, że jesteście podmiotem kluczowym w tym zakresie, co się będzie przekładało na kolejne dodatkowe obowiązki. Nie trzeba doliczyć, jeżeli
Speaker A
nie świadczycie wspólnie takich samych usług. Więc to jest pierwsza rzecz. Druga rzecz jest taka, w związku z tym, że poruszamy się w cyberbezpieczeństwie, jeżeli wasze systemy informacyjne, informatyczne nie są od siebie niezależne, nie funkcjonujecie w ramach jednego tego samego ekosystemu, tych
Speaker A
samych środowisk, no to w tym zakresie również nie będziecie podlegać. Jeśli chodzi o ten sposób liczenia, ja polecam jakby taki kalkulator, który jest zawarty na stronie kwalifikatorparpg.pl.
Speaker A
pl. To jest oficjalne narzędzie, które Polska Agencja Rozwoju Przedsiębiorczości opracowała na potrzeby liczenia, czy ktoś jest dużym, czy małym. Y, ale ono jest też polecane przez Ministerstwo Cyfryzacji. Bardzo podoba mi się komentarz, który właśnie widzę na czacie. I po co tyle
Speaker A
komplikacji? Odpowiedź jest taka, nie wiem, niekoniecznie ma to bardzo głęboki sens, natomiast oczywiście zawsze jest trudne pytanie, gdzie w tym zakresie należy złapać te elementy, które są kluczowe i które są istotne dla zapewnienia cyberbezpieczeństwa jako takiego. Natomiast no ustawodawca tak
Speaker A
nam to wszystko ułożył. Najpierw unijny, teraz polski. Więc pod tym kątem ważną rzeczą jest, że musimy niestety to stosować w stanie w jakim jest.
Speaker A
Jeśli chodzi o specjalne zasady, bo te dwa poziomy to jest jasne, natomiast mamy jeszcze specjalne zasady. Specjalna zasada jest taka, że w stosunku do niektórych podmiotów w ogóle nie będziemy patrzyli na skalę działalności i od razu będziemy mówili, że one po
Speaker A
prostu będą podlegały zarówno jeśli są mikro, małym, średnim czy dużym. Na przykład tak jest w odniesieniu do dostawców usług DNS, rejestratorów domen najwyższego poziomu, podmiotów krytycznych, operatorów obiektów energetyki jądrowej i tak dalej. Yyy, są też natomiast sytuacje, kiedy progi yyy
Speaker A
do stosowania przepisów nie będą będą miały znaczenie o tyle, że jeśli ktoś będzie małym, mikro czy średnim, no to w tym zakresie yyy te progi będą niższe niż w stosunku do te wszystkie pozostałe.
Speaker A
No i gdzie zazwyczaj pojawia się problem, jeśli chodzi o te samokwalifikacje, jeśli chodzi o rozmiar działalności. Pierwsza rzecz, organizacje bardzo często będą liczyły tylko i wyłącznie same etaty w rozumieniu umowy o pracę. Jest jakaś magia w Polsce tej umowy o pracę i że
Speaker A
tylko to się uwzględnia. Zresztą przepisy mówią o pracownikach, co jest mało intuicyjne. Nie chodzi o tylko i wyłącznie o pracowników. Bardzo często pomija się osoby, które albo pracują tymczasowo, albo w momencie, kiedy są na przykład na umowach cywilnoprawnych czy
Speaker A
B2B. Druga rzecz, bardzo często organizacje albo nie wiedzą, albo nie pamiętają odnośnie tego, że trzeba również doliczać przychody podmiotów z grupy. W tym zakresie to jest też taki element, który jest trudny. Mam niski obrót, więc jestem małym przedsiębiorcą.
Speaker A
No wszystko świetnie do momentu, dopóki nie sprawdzimy, po pierwsze, czy nie trzeba doliczyć kogoś. Po drugie, w momencie kiedy nie sprawdzimy, czy liczba pracowników nie wskazuje, że jednak pomimo niskiego obrotu ktoś jest przedsiębiorcą średnim albo dużym. A po
Speaker A
trzecie mamy jeszcze sumę bilansową. Kolejny przykład. Niektóre organizacje sięgają po relatywnie stare informacje. Jeżeli dotychczas nie podlegaliście pod KSC, a jest duże prawdopodobieństwo, tylko około 400 podmiotów dotychczas podlegało pod KSC, no to musicie to ocenić według zamknięcia ostatniego roku finansowego,
Speaker A
końca sprawozdania finans i na podstawie sprawozdania finansowego w zakresie zmian. Jeżeli coś się zmieni, no to ta zmiana musi być stabilna przez co najmniej 2 lata. Ważne jest, żeby sprawdzać dane świeże, bieżące, aktualne.
Speaker A
W mniejszych organizacjach bardzo często pomija się też pracujących dyrektorów, to szczególnie w przypadku spółek, którymi, które są stosunkowo niewielki, niewielkiej działalności, to będzie miało znaczenie i ta kwalifikacja z mikro na mały w niektórych wypadkach po prostu będzie miała sens. I ostatnia
Speaker A
rzecz, która jest już czymś, co już w ogóle nie wynika z przepisów, ale niektórzy próbują tak uciekać. Jeżeli przedsiębiorstwo zajmuje się wieloma różnymi obszarami działalności, świadczy usługi IT, prowadzi działalność jakąś swoją własną dziedzinową, jednocześnie jeszcze posiada jakieś własne data center na potrzeby różnych
Speaker A
podmiotów z grupy. W tym zakresie jest jakaś taka pokusa, żeby te elementy, które podlegają pod poszczególne dziedziny traktować w sposób wyizolowany. Nie ma takiej możliwości.
Speaker A
patrzymy na całą organizację, to cała organizacja podlega pod przepisy KSC. No dobrze, yyy, pytań jest dużo. Bardzo się cieszę, że że pytacie. Spróbujemy się z nimi zmierzyć po po prezentacji.
Speaker A
Kolejny obszar poza wielkością organizacji to spojrzenie na sektory działalności. Nie każdy podmiot i nie każda branża będzie podlegało pod KSC, ale żeby zachęcić was dalej do słuchania uważnego, kolejny konkurs. Firma XYZ jest producentem mebli biurowych z atestami do wykorzystania w szpitalach i
Speaker A
podmiotach świadczących usługi związane z ochroną zdrowia. Zatrudnia aż 500 pracowników, ma roczny obrót 200 milionów euro. Czy podlega pod KSC?
Speaker A
I ponownie kto chce może na czacie. Natomiast jeżeli ktoś chce wziąć udział w konkursie [email protected], pierwsza osoba, która udzieli prawidłowej odpowiedzi, ta osoba wygrywa nagrodę.
Speaker A
No to co, kto wysłał maila, to wysłał. Zaczynajmy. Pierwsza rzecz, spojrzenie na organizację pod kątem tego, jaki jest przedmiot jej działalności. musimy na to spojrzeć z perspektywy obszarów, które podlegają pod regulację NIS 2 i oczywiście KSC2. Yyy, z jednej strony
Speaker A
mamy tak zwane sektory wymienione w załączniku ner 1. Czasami nazywa się je jako sektory kluczowe, ale to nie są podmioty kluczowe. Yyy energia, transport, bankowość, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa również w zakresie komunikacji elektronicznej, czyli telekomunikacji,
Speaker A
zarządzanie usługami, przestrzeń kosmiczna i podmioty publiczne. I są też sektory ważne. Za chwilę i na samym końcu przejdziemy przez te wszystkie elementy, przez te wszystkie sektory i na samym końcu powiemy w jaki sposób się to przekłada na stosowanie KSC. Usługi
Speaker A
pocztowe i kurierskie, inwestycje energetyki jądrowej, gospodarowanie odpadami, dostawcy usług, badania naukowe, podmioty publiczne inne niż te wskazane w załączniku numer 1, więc tutaj jest większa zagwozdka.
Speaker A
Chemikalia, żywność i produkcja. No więc z racji tego, że czyta się to trochę jak książkę telefoniczną, spróbujmy przejść przez po kolei przez poszczególne elementy i spróbujemy sobie powiedzieć, gdzie pojawiają się najczęstsze pułapki, najczęstsze wątpliwości i tak dalej.
Speaker A
Energetyka dość tradycyjnie była zawsze regulowana od strony swojego bezpieczeństwa również cyberbezpieczeństwa. Wiele podmiotów podlegało pod to pierwsze KSC z 2018 roku z sektora energetycznego. Co się zmienia? No na pewno zmienia się. Więcej podmiotów będzie podlegało obecnie w stosunku do tych, które dotychczas
Speaker A
podlegały pod pod przepisy KSC w zakresie sektora energetycznego. Po pierwsze pamiętajcie państwo o tym, że wytwarzanie, przesył, obrót i kwestia na przykład magazynowania paliw w tym zakresie cały łańcuch dostaw będzie podlegał w poszczególnych różnych mediach, tak?
Speaker A
Zarówno jeśli chodzi o energię elektryczną ciepłownictwo ropa gaz wodór, energia atomowa, ale też wydobycie. Ważną rzeczą jest, żeby spojrzeć dokładnie do załącznika, bo tam w tych załączniku czasami można się zdziwić, kto podlega, nie podlega. Yyy, na pewno jedną z rzeczy, któ o której
Speaker A
warto pamiętać, bo wiele osób może być tym zainteresowanych. Punkty ładowania pojazdów elektrycznych w tym zakresie są wprost wpisane w KST jako część, która która bezpośrednio podlega. Wodór i magazynowanie energii też jest w KSC, więc w tym zakresie nie ma tutaj
Speaker A
wielkiego zdziwienia. Jeśli chodzi o OZ, czyli odnawialne źródła energii, ważną rzeczą jest to, że nie każde OZE potencjalnie będzie musiało podlegać.
Speaker A
Istotne jest to, jaką rolę realizuje w ramach systemu elektroenergetycznego oraz to, w jaki sposób będzie prowadziło swoją działalność. W szczególności na przykład czy posiada koncesję na na na działalność energetyczną, czy nie. Te wymogi z koncesji dotyczące koncesji, one są związane z wielkością prowadzonej
Speaker A
działalności. Trzeba niestety spojrzeć do do do załącznika. Jeśli chodzi o transport, tutaj widziałem jeszcze przed spotkaniem pojawiło się na czacie takie pytanie. Pamiętajcie, że z jednej strony transport jest pew moim zdaniem jest jednym z najczęściej źle interpretowanych pojęć, kto podlega pod
Speaker A
KSC. Bo z jednej strony pamiętajcie o tym, że w zakresie transportu, oczywiście lotniczy, kolejowy, wodny i drogowy, to są te cztery obszary, które są uregulowane bezpośrednio w KSC. Z drugiej strony niestety albo na szczęście jest tak, że tylko konkretne
Speaker A
podmioty działające w tym zakresie będą podlegały. I teraz największe zdziwienie dla większości organizacji jest takie w momencie kiedy słyszą o tym, że transportowy nie obejmuje każdej każdego przedsiębiorstwa spedycyjnego czy transportowego, które yyy posiada własną flotę i realizuje przewozy, tylko w
Speaker A
zakresie transportu drogowego tylko zarządcy ruchu i i w tym zakresie dostawcy usług związanych z inteligentnymi systemami transportowymi podlega Druga rzecz jest taka, że w związku z tym nawet jeżeli świadczycie usługi w zakresie nie tym drogowym, ale w zakresie lotniczym,
Speaker A
kolejowym czy wodnym, to sama zwykła spedycja w momencie, kiedy nie posiadacie swojego swojej własnej floty, sama zwykła spedycja korzystająca z usług innych operatorów prawdopodobnie również nie będzie podlegała pod tego rodzaju przepisy w kategorii transport.
Speaker A
Więc tutaj warto zwrócić na to szczególną uwagę. Wiele razy odpowiadałem na pytania, dlaczego organizacja nie podlega, a nie dlaczego podlega. Oczywiście zgadzam się, transport infrastruktura krytyczna. To nie jest jedna i jedyny jedyny obszar, więc jak najbardziej jak najbardziej
Speaker A
tak. Natomiast wielu osobom może się wydawać, że podlegają część nawet rozpoczęła prawdopodobnie projekty wdrożenia, nie zastanawiając się czy aby na pewno pod te przepisy podlegać będzie. Pamiętajcie też w kontekście transportu, że mamy jeszcze pojęcie usług operatorów pocztowych i w tym
Speaker A
zakresie firmy kurierskie będą podlegały, ale nie w ramach części transportowej, tylko jako operatorzy. operatorzy pocztowych.
Speaker A
Dobrze. Trzeci, czwarty i piąty. Obszar bankowości i rynków finansowych. Obszar ochrony zdrowia, wody pitnej i odprowadzenia ścieków. Jeśli chodzi o bankowość i rynki finansowe, po pierwsze trzeba pamiętać o tym, że te podmioty, które potencjalnie będą podlegały, na pewno podlegają pod Dora.
Speaker A
I teraz pod tym kątem podleganie pod Dora nie oznacza, że nie stosuje się KSC. Podleganie pod Dora oznacza, że stosuje się KSC i dora, czyli ten nasze rozporządzenie dla tych, którzy nie wiedzą rozporządzenia w sprawie odporności cyfrowej. Więc w tym zakresie
Speaker A
podlegają pod oba przepisy, ale stosują tylko te dalej idące. Dora w tym zakresie jest tym obowiązkiem podstawowym dla tego rodzaju podmiotów.
Speaker A
Natomiast na przykład Dora nie posiada elementu związanego ze zgłoszeniem do wykazu podmiotów kluczowych i ważnych w ramach KSC. Więc pod tym kątem na pewno te podmioty, które są wskazane w załączniku w obszarze bankowości i finansów.
Speaker A
pierwszą rzecz, którą muszą zrobić, to muszą zrobić yyy dokonać zgłoszenia. Natomiast to, czy będą miały dalsze obowiązki, to już jest uzależnione od oceny yyy po pierwsze tego, co już zrobiły, a po drugie spojrzenia z perspektywy na dorę w stosunku do KSC.
Speaker A
Ale to nie dzisiaj. Ważne jest, podmioty y z obszaru bankowości i rynków finansowych będą również musiały dokonać rejestracji w takim zakresie, w jakim wynika to bezpośrednio z KSC.
Speaker A
Ochrona zdrowia tutaj jest szeroko, bardzo szerokie spojrzenie na ten obszar, no bo on jest dość newralgiczny z punktu widzenia ogólnie bezpieczeństwa państwa jako takiego. Z jednej strony podmioty lecznicze, z drugiej strony hurtownie farmaceutyczne i dystrybucja farmaceutyków, z trzeciej strony
Speaker A
produkcja leków i substancji czynnych, badania i rozwój, laboratoria referencyjne, służba krwi. Więc tego jest trochę. Jest ileś różnych kategorii, o których trzeba myśleć w kategoriach spełnienia tych wymogów. Co ciekawe również i to jest wprost zapisane w KSC w załączniku podwykonawcy świadczeń
Speaker A
podmiotów, które podlegają pod KSC również będą podlegały pod te przepisy. Oczywiście o ile będą spełniały te wymogi dla wielkości organizacji. Więc pod tym kątem to nie tak, że każde jednoosobowy gabinet lekarski czy czy relatywnie niewielka przychodnia będzie podlegała pod te przepisy, tylko musimy
Speaker A
nadal spojrzeć z punktu widzenia wielkości organizacji, aby to ocenić. Trzeci sektor woda pitna i ścieki. W tym zakresie przedsiębiorstwa wodno-kanalizacyjne, dostawcy, w tym zakresie oczyszczalnie ścieków. Ważne jest natomiast to, że w tym sektorze yyy kluczową rzeczą jest, żeby ten przedmiot zaopatrzenie w wodę
Speaker A
pitną i i odprowadzenie ścieków było istotną częścią działalności. Więc w tym zakresie, jeżeli to jest działalność tak zwana główna albo istotna, no to w tym zakresie będzie to podlegało. Jeżeli jest to tylko wpadkowy element działalności, a głównym przedmiotem jest co innego, no to w
Speaker A
takiej sytuacji najprawdopodobniej podlegać nie będzie. Ważną rzeczą jest też w drugą stronę. To znaczy yyy jeżeli na przykład mamy gminę, która yyy jakby nie posiada swojej własnej spółki wodnokanalizacyjnej, no to w momencie, kiedy jest to własna komórka urzędu gminy, no to w tym
Speaker A
zakresie tutaj też potencjalnie będzie to podlegało. Idźmy dalej. Infrastruktura cyfrowa. Z pierwszej strony musicie pamiętać o tym, że infrastruktura cyfrowa to jest ileś różnego rodzaju podmiotów, które będą podlegały pod KSC. Są takie, które niezależnie od tego, czy są
Speaker A
mikroprzedsiębiorcami, czy są dużymi przedsiębiorcami, zawsze będą podlegały. Dostawcy usług DNS właśnie rejestry domen najwyższego poziomu, rejestratorzy domen czy kwalifikowane usługi zaufania podlegają zawsze w każdej sytuacji. Nie ma w ogóle co spoglądać na wielkość wielkość działalności. Z drugiej strony mamy
Speaker A
drugi typ podmiotów. chmura obliczeniowa, posiadanie data center usługowego, sieci związane z zarządzaniem treścią, punkty wymiany ruchu internetowego. W tym zakresie tego rodzaju podmioty no stosuje się do nich o ile tylko będzie spełnił wymogi co najmniej dla średniego przedsiębiorstwa.
Speaker A
Jest jeszcze kolejny element związany z komunikacją elektroniczną, której wiele osób jeszcze się nie zdążyło przyzwyczaić, czyli tak zwanymi przedsiębiorstwami telekomunikacyjnymi.
Speaker A
Tutaj jest specjalna zasada, która znowu mówi o tym, że również mikroprzedsiębiorstwa, czyli te zatrudniające do 10 osób albo osiągające nie więcej niż 2 miliony euro rocznego obrotu albo sumy bilansowej będą podlegały pod KSC. Natomiast w zależności od tego jaką mają wielkość
Speaker A
będą albo podmiotami kluczowymi albo podmiotami ważnymi. No i pod tym kątem mamy jeszcze też niekwalifikowanych dostawców usług zaufania, które są ważne już od najmniejszej od najmniejszej skali. Na co bardzo często gdzie pojawiają się nieporozumienia i gdzie pojawiają się wątpliwości. Yyy,
Speaker A
jeśli chodzi o yyy, pierwsza rzecz to kwestia hostingu yyy versus chmura. Yyy, to yy hosting yyy na przykład WW nie zawsze będzie oznaczał, że to jest usługa chmurowa. W zakresie chmury są trzy istotne elementy: skalowalność, elastyczność i zasoby współdzielone
Speaker A
pomiędzy różnymi klientami. Więc z tej perspektywy warto pamiętać o tym, że nie każdy hosting to chmura. Z drugiej strony taki zwykły hosting to już potencjalnie może być działalność związana z centrum danych. Oczywiście tutaj już mówimy o tych elementach
Speaker A
takich klasycznie fizycznych, o fizycznej infrastrukturze. Pamiętajcie też, że własna serwerownia, która wykorzystywana jest na własne potrzeby, to nie jest data center. Z drugiej strony serwerownia wewnątrzorganizacyjna wykorzystywana na rzecz spółek z grupy, to już wcale nie jest takie oczywiste. Natomiast
Speaker A
kluczowym elementem w zakresie data center jest to, że usługa, która jest realizowana przez taki podmiot, musi polegać na odprzedaży albo mocy obliczeniowej, albo przestrzeni na rzecz klientów zewnętrznych. Przy czym przez klienta zewnętrznego mówimy o tak naprawdę o zupełnie innych innych
Speaker A
spółkach. I to też czasami oznacza, że obie te kategorie się krzyżują. Natomiast to, że się krzyżują nie zmienia faktu, że musimy nadal samodzielnie ocenić, czy jakby świadczymy usługi data center, czy usługi chmurowe. Więc pod tym kątem ważną rzeczą jest, żeby tutaj umieć to
Speaker A
rozróżnić. Usługi zarządzane i usługi zarządzane w zakresie cyberbezpieczeństwa to taka kategoria, która jest chyba najbardziej problematyczna z punktu widzenia tego, że ona jest najmniej intuicyjna dla wielu organizacji.
Speaker A
Po pierwsze, czym są usługi zarządzane? KSC mówi o tym, że to są usługi w zakresie instalacji, eksploatacji i konserwacji produktów, procesów, usług ICT. poprzez wsparcie lub aktywną administrację.
Speaker A
No i teraz pod tym kątem nie każda usługa z obszaru IT będzie pod tego rodzaju działalność podlegała. Z drugiej strony w tym zakresie ważną rzeczą jest, żeby ocenić na czym dokładnie polega dana usługa. No bo na przykład jeżeli mamy
Speaker A
zewnętrzną obsługę IT, która administruje naszą własną siecią albo wspiera nas w zakresie administrowaniu siecią czy też w zakresie w zakresie administrowania aplikacjami i w ogóle całym naszym środowiskiem, no to potencjalnie tak. Outsourcing helpdeskowy, ale taki w zakresie IT
Speaker A
również potencjalnie jak najbardziej będzie to świadczenie takiego wsparcia w zakresie eksploatacji rozwiązania ICT. Kwestia zarządzania chmurą czy hostingiem, jeżeli ktoś to robi usługowo, potencjalnie jak najbardziej tak, zewnętrzne zarządzanie dostępami do systemów. Takie usługi są również świadczone potencjalnie jak najbardziej
Speaker A
też dość szeroko. Natomiast jedna rzecz, która bardzo często jest pomijana, to jest kwestia skupienie się na tym, że każdy kto dostarcza oprogramowanie i wprowadzi zmiany w zakresie oprogramowania, w tym zakresie podlega pod przepisy. dostawcy oprogramowania dużo bardziej jest prawdopodobne, że
Speaker A
będą podlegały pod regulację CRA, czyli odrębnego rozporządzenia, który mówi o odporności cyfrowej w tym zakresie, ale prawdopodobnie nie będą podlegały pod KSC, ale warto za każdym razem zastanowić się, co dokładnie robią i czy któryś z tych elementów usług
Speaker A
zarządzanych jednak nie jest uwzględniony. No i druga rzecz, o której tutaj widzę, że też na czacie w paru miejscach pojawiały się pytania, jeśli chodzi o centra usług wspólnych i i kwestie związane z działalnościami w ramach grupy kapitałowej, nie ma już
Speaker A
żadnej wątpliwości. I zresztą okazuje się, że to nie tylko w Polsce, że świadczenie usług wewnątrz grupy kapitałowej nie traktuje się jako świadczenia wewnętrznego, tylko jako jeżeli jedna spółka świadczy na rzecz pozostałych spółek z grupy, to jest to normalne świadczenie usług i w sposób
Speaker A
normalny podlegamy tutaj pod te przepisy. Zresztą podobnie jest w zakresie tych usług zarządzanych w zakresie cyberbezpieczeństwa.
Speaker A
I teraz to jest trudne dla wielu osób do zrozumienia, często też do pogodzenia się, dlaczego tak jest. Natomiast ważną rzeczą jest, że tu już chyba nie ma żadnych wątpliwości co do tego. Podmiot, który podlega pod KST to jest podmiot z
Speaker A
konkretnym NIPem, regonem, własnym numerem KRS albo wpisem do centralnej ewidencji działalności gospodarczej. No i teraz jeżeli świadczy na rzecz innego podmiotu z innym NIPem, z innym regonem, z innym KRS-em, no to to jest świadczenie usług już takie klasyczne,
Speaker A
to nie działalność wewnętrzna. Jeśli chodzi o te dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa, to szczególnie dla osób, które pracują w tym zakresie, tutaj może być pewnego rodzaju zdienie, bo z jednej strony przepisy mówią, że to jest wsparcie dla
Speaker A
realizacji działań związanych z zarządzaniem ryzykiem w cyberbezpieczeństwie. No ale to jest kategoria tak szeroka. Więc z tej perspektywy ustawa podpowiada: Obsługa incydentów, testy bezpieczeństwa, audyty systemów IT i doradztwo. To doradztwo jest takim trochę wytrychem o tyle, że doradztwo
Speaker A
może obejmować absolutnie wszędzie. Ja sam się zastanawiam, czy w ogóle ja jakby nie jest nie świadczę usług zarządzanych w zakresie cyberbezpieczeństwa, gdy pomagam obsługiwać incydenty, czy to ransomwareowe, czy to jakieś inne. Więc pod tym kątem ta kategoria jest bardzo
Speaker A
pojemna. Co jest istotne, podlegają podlegać będą pod tą kategorię wszystkie podmioty począwszy od małych, tak naprawdę tylko mikroprzedsiębiorstwo, czyli obroty do 2 milionów euro i do liczba do 10 pracowników tak naprawdę sprawia, że podmioty, które to świadczą nie podlegają pod KSC. W pozostałym
Speaker A
zakresie będą podlegać. W związku z czym to też wywołuje pewnego rodzaju zdziwienia. Podmioty publiczne są takie, które mają, do których w ogóle nie będzie się stosował absolutnie żaden próg. Część z tych podmiotów będzie wskazana w załączniku tym numer 1 dla sektorów
Speaker A
kluczowych. Część z nich będzie podlegała pod załącznik numer 2 dla podmiotów ważnych. Natomiast, a w zasadzie dla sektorów ważnych, ważną rzeczą jest, żeby umieć przyporządkować się do właściwego właściwego obszaru.
Speaker A
Według deklaracji Ministerstwa Cyfryzacji, który no nadzoruje wdrażanie i nadzorował uchwalanie tych przepisów, w tym zakresie podmiotów tych publicznych będzie no 20 parę tysięcy. Więc pod tym kątem warto zwrócić uwagę na to, że no spora część tego sektora publicznego będzie
Speaker A
podlegać. Coś co jest istotne to, że w odróżnieniu od przedsiębiorców podmioty publiczne nie będą musiały same pamiętać o zgłaszaniu się do tego wykazu podmiotów kluczowych i ważnych, tylko albo już dostały zawiadomienie o o wpisie z urzędu, albo dostaną w najbliższych
Speaker A
dniach. Teoretycznie według ustawy już to już powinny były dostać, natomiast dostopniowo te ta korespondencja z ministerstwa wychodzi. Natomiast to jest tylko częściowy wpis i w momencie kiedy otrzymacie państwo takie zawiadomienie macie 6 miesięcy na to, żeby uzupełnić pozostałe informacje brakujące, które bo
Speaker A
na samym początku jest tylko wskazanie konkretnych konkretnego podmiotu, a cała cała reszta szczegółów musi zostać uzupełniona już przez tą poszczególną poszczególną jednostkę.
Speaker A
Przestrzeń kosmiczna zostawiam trochę jako ciekawostkę. Operatorzy infrastruktury naziennej wier wspierających świadczenie usług. Nie dotyczy przedsiębiorców komunikacji elektronicznej, bo oczywiście w tym zakresie mają swoje własne reguły trochę dalej idące prawdopodobnie.
Speaker A
Agencja Żyglugi Kosmicznej i tak dalej. Na pewno wielu podmiotów tutaj nie ma, która które będą chciały w tym zakresie prowadzić działalność. No i teraz drugi, drugi załącznik, ten załącznik, który mówi o tych sektorach, które są nie są już traktowane jako sektory kluczowe,
Speaker A
ale jako te sektory ważne. Usługi pocztowe i kurierskie. Tutaj pamiętajcie, że mówimy o wpisie do operatorów usług pocztowych, więc ten, kto jest w rejestrze, no to będzie podlegał pod przepisy. Gospodarowanie odpadami. Kolejna rzecz w tym zakresie ktoś, kto prowadzi działalność w
Speaker A
zakresie zbierania transportu, przetwarzania i sprzedaży i pośrednictwa w zakresie odpadów, no to tutaj w tym zakresie o ile jest to jego podstawowa działalność, to musi to będzie potencjalnie też podlegał. Nie ma na szczęście tego ryzyka, że jeśli prowadzimy w zakresie yyy zbierania
Speaker A
odpadów i prowadzenia selektywnej zbiórki w ramach własnej naszej działalności, choć zajmujemy się czym innym, to to będziemy pod to podlegać, że też czasami takie pytania padają.
Speaker A
Chemikalia. Osoby, które funkcjonują w sektorze szeroko rozumianym chemicznym znają bardzo dobrze pojęcie siatki wynikającej z tak zwanej regulacji rich.
Speaker A
I tutaj są wskazane konkretne typy substancji chemicznych, których jakby ta działalność będzie dotyczyć. Więc z tego punktu widzenia produkcja, wytwarzanie i dystrybucja takich substancji oraz wyrobów chemicznych, o ile tylko będzie podlegała pod rich, tutaj musimy o o tym
Speaker A
o tym pamiętać. Ta kwalifikacja jest no trudna z perspektywy laika, który się tym nie zajmuje. Natomiast oczywiście specjaliści bardzo szybko będą sobie w stanie z tym poradzić. To jest zresztą bardzo cenne odwoływanie się do regulacji, które już rządzą danym
Speaker A
sektorem. Podobnie mamy zresztą w odniesieniu do produkcji. Tak naprawdę sektor produkcji, nie każdy podmiot sektora produkcji będzie się podlegał pod przepisy KSC. Natomiast zostało to opisane oczywiście z jednej strony opisowo, ale z drugiej strony odwołuje się tutaj odwołują się to przepisy do
Speaker A
klasyfikacji NEC, która też jest szeroko przyjęta i ona jest skoordynowana w tym zakresie z naszymi wpisami do PKD. Czyli jeżeli ktoś jest wpisany do KRS-u, to potencjalnie według PKD i zgodnie z Nisem to powinno działać i funkcjonować.
Speaker A
żywność. Tutaj jest pewnego rodzaju jakby też nietypowa sytuacja, no bo zwróćcie państwo uwagę, że z jednej strony jest tutaj produkcja, przetwarzanie i dystrybucja żywności, ale na poziomie hurtowym albo przemysłowym. Więc w tym zakresie sam detal i gastronomia, nawet jeżeli
Speaker A
spełniają progi co najmniej średniego przedsiębiorstwa, to podlegać nie będą. Tutaj jest natomiast jedna rzecz, która jest istotna w zakresie tej części dystrybucyjnej.
Speaker A
Magazynowanie żywności w tym zakresie również pod to będzie podlegać. To nie dla każdego jest intuicyjne, ale wynika wyraźnie i wprost z odesłania do odesłania do naszej definicji, która jest zawarta w załączniku nerwestycje energetyki jądrowej. Nie sądzę, że wielu
Speaker A
z państwa uruchamia swoje własne elektrownie jądrowe albo próbuje to uruchomić we własnym zakresie, więc tutaj no ten kto ma tak zwaną decyzję zasadniczą, no to będzie podlegał podnizdła z uzasadnieniem bardzo prostym. Inwestycja w energetykę jądrową to wieloletni projekt. Od samego
Speaker A
początku powinien podlegać pod te regulacje cyberbezpieczeństwa, żeby nie wydarzyło się na samym początku coś, co jest ryzykowne i problematyczne.
Speaker A
Widzę na czacie bardzo różne pytania, jest ich mnóstwo. Aż się boję, jak sobie poradzimy z tym po zakończeniu.
Speaker A
Natomiast to nie jest tak, że one wszystkie idą w odstawkę. Dostawcy usług cyfrowych. Kolejna kategoria z jednej strony internetowe platformy handlowe, czyli w tym zakresie podmioty, które umożliwiają jakby dwóm stronom zawieranie umowy na takiej platformie. jest sprzedający, jest kupujący i jednocześnie jest
Speaker A
operator platformy i taki operator platformy będzie będzie podlegał. Wyszukiwarki internetowe to jest oczywiście rzecz, która jest istotna, jeśli chodzi o platformy społecznościowe, bo tutaj też jest taki element, który który nie zawsze do końca jest jasny. Zawsze pojawia się trudne
Speaker A
pytanie, w którym momencie mamy zwykłe, proste forum, a w którym momencie zaczyna nam się platforma sieci społecznościowych. Więc w tym zakresie po pierwsze no mamy kwalifikacje jeśli chodzi o wielkość. Po drugie, w zakresie tych funkcjonalności społecznościowych istotne jest też i to nie wynika wprost
Speaker A
z samego przepisu, z załącznika, ale wynika z interpretacji yy samej dyrektywy NIS 2, że yyy jeżeli tylko yyy elementem yyy komunikacji, element komunikacji jest wtórny i dodatkowy w stosunku do głównej głównego przedmiotu działalności, no to to jeszcze nie
Speaker A
oznacza, że to jest platforma społecznościowa. Więc nawet jeżeli w ramach naszego rozwiązania onlineowego mamy możliwość na przykład czatu, to jeszcze wcale nie oznacza, że jest to element platformy społecznościowej.
Speaker A
Te czaty zresztą, one są też bardzo nietypowe z punktu widzenia kwalifikacji jako przedsiębiorstwa komunikacji elektronicznej i świadczenia usług bez wykorzystania numerów. To jest taka nowa kategoria, która pojawiła się w prawie komunikacji elektronicznej. Na to też warto zwrócić uwagę, czy przez przypadek
Speaker A
nie będziecie państwo podlegać. Jeśli chodzi o tych dostawców usług cyfrowych, ważną rzeczą jest, że miejsce prowadzenia działalności musi być na terytorium Unii Europejskiej i to mówimy o tutaj o tych tych głównych miejscach. Ostatnia rzecz, badania naukowe. Znowu bardzo specyficzny obszar
Speaker A
i bardzo specyficzny przedmiot. organizacje badawcze jak najbardziej, zarówno badania aplikacyjne jak i badania prace rozwojowe. Z drugiej strony wskazanie, że chodzi o uczelnię, zarówno Polską Akademię Nauk, jak i Instytuty Polskiej Akademii Nauk, działalność mieszania uczelni i tutaj w
Speaker A
tym zakresie potencjalnie będzie jakby w ograniczonym zakresie. ważne. Za każdym razem musimy myśleć o o przedsiębiorcach średnich i ważnych.
Speaker A
Przeszliśmy przez tą całą długą listę na wysokim poziomie oczywiście, natomiast rozmowa o każdym z tych sektorów mogłaby zająć co najmniej godzinę. Natomiast chciałbym zwrócić waszą uwagę na jeszcze jedną rzecz.
Speaker A
W tym wypadku tych wszystkich sektorów, o której tutaj mówimy, z jednej strony pamiętajcie, że chodzi o realną działalność, taką która faktycznie jest realizowana. Jeżeli ktoś ma w KRSie długą listę różnych rodzajów działalności, które realnie nie są dokonywane, ale z jakiegoś względu
Speaker A
zostały one wpisane, ale w rzeczywistości nikt tutaj tej działalności nie robi, to oczywiście być może należałoby ten KRS zaktualizować, żeby nie było wątpliwości, ale brak realizacji nawet jak mamy takiej takie PKD wpisane w KRSi nie oznacza, że podlegamy pod przepisy.
Speaker A
I to jest jedna rzecz, ale mamy jeszcze drugi, drugi większ większą wątpliwość. Rzadko kiedy organizacje, to już o tym mówiłem, jakby funkcjonują w takim wyizolowanym elemencie, gdzie tylko prowadzą tylko jednego rodzaju działalność. Bardzo często prowadzą działalności różne, które podlegają
Speaker A
podnizd i KSC. Bardzo często prowadzą również inne działalności, które nie podlegają pod Nizda, KSC. No i w tym zakresie ważną rzeczą jest, że nie szukamy do pierwszego trafienia czy coś jakiś przedmiot działalności podlega pod KSC. Wtedy mówimy okej, dobra, wszystko
Speaker A
jest okej, rejestrujemy się, bo tak naprawdę zgłoszenie do tego wykazu podmiotów kluczowych i ważnych wymaga wskazania wszystkich podmiotów i podstaw przed działalności w ramach w ramach w ramach takiego zgłoszenia. Z jednego powodu i to jest rzecz, która też jest
Speaker A
mało oczywista. Dotychczas jak myśleliśmy o regulatorach poszczególnych rynków to myśleliśmy o urzędach centralnych, których jest jeden. Czasami pojawiały się instytucje yyy, które też są pojedyncze. Natomiast w tym zakresie yyy w KSC w związku z tym, że tych sektorów jest tak dużo, każdy sektor i
Speaker A
każdy obszar działalności będzie miał swojego własnego regulatora. To jest albo regulator już taki, który istnieje, na przykład KNF w odniesieniu do tych podmiotów z bankowości, z finansów czy na przykład prezes UK w odniesieniu tej komunikacji elektronicznej infrastruktury, ale z drugiej strony
Speaker A
mogą to być też ministerstwa. Na przykład w zakresie ochrony zdrowia to będzie Ministerstwo Zdrowia, w zakresie produkcji, przetwarzania i obrotu, dystrybucji żywności będzie to Ministerstwo Rolnictwa. Więc różne ministerstwa będą miały swoje własne komórki i samodzielnie będą tym zarządzały. Przypisanie tych obszarów
Speaker A
jest nie tylko potrzebne nam, żeby się dobrze przygotować, ale też po to, żeby wiedzieć, którzy regulatorzy, które sektory będą miały prawo do nas przyjść i zweryfikować naszą naszą działalność.
Speaker A
Najczęściej pojawiające się problemy, wyzwania, mity i wątpliwości. Nikt nas nie wpisał na listę. Więc na pewno nie podlegamy. Z jednej strony jest oczywiście tak, że w momencie kiedy nikt was nie wpisał na listę, no to prawdopodobnie jesteście podmiotem
Speaker A
prywatnym. Podmiotów prywatnych nikt nie wpisuje na listę. Wpisują się same podmioty publiczne. Oczywiście w momencie kiedy dostaną zawiadomienie, no to muszą uzupełnić i i tak dalej.
Speaker A
Natomiast no warto pomyśleć o tym w kategoriach, żeby ocenić po prostu samodzielnie. Ustawa nie weszła jeszcze w życie, więc mamy czas. To było prawdziwe do ostat 2 i p miesiąca temu. Od 3 kwietnia 2026 ustawa obowiązuje, weszła w życie i ma zastosowanie. Owszem, to
Speaker A
nie oznacza, że każdy podmiot musi już w chwili obecnej spełniać wszystkie wymagania, ale wymóg zgłoszenia do 3 października jest absolutnie aktualny.
Speaker A
Jesteśmy małym przedsiębiorcą, więc jesteśmy zwolnieni. No nie do końca. Jak już parę razy wspominałem, to czy ktoś jest małym, czy jest średnim, czy jest mikro jeszcze wcale nie definiuje tego, czy podlega pod przepisy i w jakim zakresie. Niektóre podmioty w niektórych
Speaker A
obszarach działalności będą się stosowały również od tego mikroprzedsiębiorstwa, więc tak naprawdę każda działalność gospodarcza będzie miała tutaj znaczenie.
Speaker A
Outsourcing IT czy outsourcing w zakresie cyberbezpieczeństwa to outsourcing całego problemu NIS 2 KSC. Nie do końca pamiętajcie o tym, że po pierwsze oczywiście część obowiązków możecie przełożyć, natomiast sami będziecie mieli swoje własne obowiązki.
Speaker A
Zapewne Marcin Wysocki za tydzień będzie mówił o tym trochę bardziej szczegółowo. Klient, mamy klienta, który jest podmiotem kluczowym w rozumieniu KSC, więc my w związku z tym dostarczając na jego rzecz też podlegamy. I teraz nie zawsze tak będzie. mówiłem o specjalnym
Speaker A
przypadku podwykonawcy w zakresie świadczenia usług medycznych. Natomiast to jest jakby pewien wyjątek potwierdzający zasadę, a mianowicie jeśli wasz klient podlega pod KSC to wy automatycznie nie podlegacie z tego powodu. Owszem, możecie mieć swoje własne podstawy działal podlegania.
Speaker A
Owszem, wasza wasz przedmiot waszej działalności będzie y będzie może samodzielnie podlegać i ta usługa, którą świadczycie może samodzielnie podlegać, ale tylko i wyłącznie dlatego, że mamy z jednej strony dostawcę, a z drugiej strony klienta, który jest podlega pod
Speaker A
KSC, to jeszcze wcale nie oznacza, że wasz status się się zmienia. Ale uwaga, jednym z obowiązków, o którym warto pamiętać, to że nawet możecie nie podlegać jeszcze wcale nie oznacza, że nie będziecie musieli myśleć o KSC.
Speaker A
Wiele. Jednym z obowiązków z KSC jest to, żeby stosować przepisy, które i zarządzać bezpieczeństwem łańcucha dostaw. I w ramach takiego obowiązku chociażby przedmiotem umowy może być to, że umowa może wam nakazać w tym zakresie spełnianie tych poszczególnych wymogów.
Speaker A
No to co to ostateczna kategoryzacja. Jesteśmy podmiotem kluczowym czy tylko podmiotem ważnym? Bo to będzie miało znaczenie z punktu widzenia niektórych obowiązków. Większość jest taka sama, ale niektóre obowiązki tak.
Speaker A
Myślałem, że zrobię sobie prostą, ładną i czytelną tabelkę, która mówi o tym, że jest znowu kwalifikacja te taki to jest, nie stosuje się KSC, taki to jest ważny, taki to jest kluczowy, a wyszło trochę jak formularz PITu, gdzie do 40 kolumn
Speaker A
jest po prostu cztery strony, cztery strony wyjaśnień małą czcionką. Niestety nie da się tego w taki bardzo prosty sposób powiedzieć. Ważna rzecz jest taka, że tych podmiotów kluczowych ich będzie relatywnie niewiele, ale z drugiej najwięcej największa pewnie będzie kategoria tych podmiotów
Speaker A
ważnych. Natomiast patrzymy tutaj o tym z punktu widzenia oczywiście wielkości działalności przedsiębiorstwa. No ale oprócz tego mamy cały jeszcze rynek podmiotów i sektor podmiotów publicznych i tutaj te wyjątki oczywiście też będą miały miały znaczenie kto gdzie i w
Speaker A
jakim zakresie podlega pomimo tego, że ma małą działalność, kto jest kto nie podlega w zakresie tego, że posiada dużą działalność. To po prostu wymaga jakby spojrzenia na wielkość organizacji, na to czym się organizacja dokładnie zajmuje, jeśli jest podmiotem,
Speaker A
który nie jest przedsiębiorcą, jaki ma swój status, jeśli chodzi o o o przedmiot działalności i wtedy dopiero można spróbować dokonać takiej ostatecznej oceny, czy jesteśmy podmiotem kluczowym, czy ważnym.
Speaker A
Wpis do wykazu KSC. Nie będziemy dzisiaj się bardzo długo nad tym zwracać uwagę, natomiast chcę wam powiedzieć o je o dwóch rzeczach, które są istotne z punktu widzenia myślenia o tej kwalifikacji i tak naprawdę samego procesu kwalifikacji. Z jednej strony w
Speaker A
ramach jakby zgłoszenia się i uzupeł albo uzupełnienia wpisu do wykazu podmiotów kluczowych i ważnych trze to jest lista jakby obszarów informacyjnych, które trzeba przekazać. Z jednej strony są takie elementy, które są proste typu informacje identyfikacyjne, czy ktoś podlega pod przepisy
Speaker A
działalności regulowanej. No właśnie jaka jest klasyfikacja jeśli chodzi o przedmiot, jeśli chodzi o to czy jakie konkretnymi przedmiotem funkcjonuje, jakie są osoby kontaktowe i tak dalej i tak dalej.
Speaker A
Natomiast od razu od samego początku, bo do tego paradoksalnie 3 października nie zostało bardzo dużo czasu wbrew pozorom, szczególnie, że mamy wakacje przed sobą.
Speaker A
Z jednej strony musimy pomyśleć od razu o takich o administratorach systemu S46, czyli tego głównego systemu związanego z zarządzaniem komunikacją pomiędzy podmiotami podlegającymi pod KSC. Z drugiej strony już teraz warto zająć się tym, żeby przekazać szczegółowe i konkretne informacje dotyczące
Speaker A
specyfikacji sieci. To są elementy, które nie da się w taki prosty sposób po prostu usiąść i wypełnić. Wszystkie pozostałe zasadniczo, tak. Natomiast te elementy wymagają jednak trochę trochę pracy.
Speaker A
Jak powiedział Michał, uwielbiam używać słowa ostatnia z ostatnich. To nie jest ostatnia z ostatnich wiadomości, które mam dzisiaj do przekazania.
Speaker A
a mianowicie co w sytuacji, kiedy nam wyjdzie, że jednak nie podlegamy. Moja dobra rada dla większości z państwa, którzy nie będą podlegać jest taka, wykonajcie sobie krótką, prostą notatkę. uwzględniliśmy to przedmiotem naszej działalności jest to, wielkość nasza jest taka. Na podstawie takiego i
Speaker A
takiego przepisu uznajemy, że nie podlegamy. I teraz dlaczego ta dlaczego to sugeruje? Pamięć ludzka jest zawodna, nie? po roku czy po dwóch, w momencie kiedy przyjdzie kontrola i zada pytanie, dlaczego nie jesteście wpisani, bo przecież powinniście.
Speaker A
Przypomnienie sobie jakie motywacje i na na na jakiej na jakiej podstawie podejmowaliśmy takie decyzje, może się okazać, że no będzie trudne. Mając tego rodzaju dokumentację nawet tylko dla siebie, możemy się odwołać do tego, że aha, okej, dobra, to już tutaj wiemy.
Speaker A
najlepiej opisać zarówno od strony pozytywnej, dlaczego uważamy, że nie podlegamy albo gdzie są obszary krytyczne, które są wątpliwe i w związku z tym potencjalnie będziemy uważamy, że jednak podlegać nie podlegamy. Prawego obowiązku nie ma. Dobra rada na przyszłość. Naprawdę skorzystajcie
Speaker A
państwo. I teraz ostatnie z ostatnich. Pamiętajcie państwo to, co chciałbym, żebyście zapamiętali z tej prezentacji dzisiejszej. Po pierwsze w zakresie wielkości działalności, to szczególnie dotyczy przedsiębiorstw, liczymy nie tylko pracowników, nie liczymy tylko i wyłącznie etatów, ale liczymy te roczne
Speaker A
jednostki pracy. To nie jest oczywiste. Tam będzie będą potencjalnie podlegały osoby na B2B i potencjalnie osoby na umowy cywilnoprawne. W związku z tym jakby trzeba pamiętać, że ta to nie zawsze jest oczywiste.
Speaker A
Będzie tak, że wasi księgowi mogą was przekonywać do tego, że należy liczyć te wszystkie rzeczy inaczej.
Speaker A
Z perspektywy wielu podmiotów myślenie o kwalifikacji nie uwzględnia podmiotów grupy kapitałowej. W związku z czym musicie to zrobić samodzielnie ze spojrzeniem.
Speaker A
Warto skorzystać z tego kwalifikatora na stronie parpu, który był, którego do którego link był na prezentacji.
Speaker A
Analizując przedmiot naszej działalności, nie gramy do pierwszego trafienia. Yyy, w tym zakresie analizujemy wszystkie załączniki, wszystkie podstawy. Wiadomo, jeżeli nie mamy nic wspólnego z energetyką czy z yy energią atomową, no to w tym zakresie nie musimy się w to wgryzać. Ale w
Speaker A
momencie kiedy polecam przejrzeć, nie zawsze te te te opisy są bardzo czyste i bardzo jasne i bardzo zrozumiałe.
Speaker A
Kolejna rzecz, to że na papierze mówimy, że się zajmujemy działalnością w zakresie takim czy innym jeszcze wcale nie oznacza, że ją realizujemy. Istotne jest z perspektywy KSC, żeby oceniając czy podlegamy spojrzeć na to, co realnie zrobimy, bo wielokrotnie i też pol w
Speaker A
Polsce mamy taką zasadę, że nawet jeżeli nie mamy wpisane do naszego rejestru, że prowadzimy jakąś działalność, to nie ma zakazu jej prowadzenia. Jest obowiązek aktualizacji rejestru, ale nie ma zakazu jej prowadzenia. W związku z tym musimy spojrzeć nie tylko na to, co jest pisane
Speaker A
w KRSie w zakresie tego, czym się zajmujemy, ale musimy też spojrzeć na to, co realnie faktycznie wykonujemy. Pod tym kątem wiele organizacji niewa, żeby jedna osoba wiedziała absolutnie wszystko, co się dzieje.
Speaker A
To, że jesteście w ramach łańcucha dostaw podmiotu, który podlega pod KSC, jeszcze wcale nie znacza, nie oznacza, że do was wy również podlegacie pod KSC. Musicie dokonać tej analizy samodzielnie, we własnym zakresie.
Speaker A
Natomiast musicie pamiętać, że nawet jeśli nie będziecie podlegać, obowiązki umowne w zakresie tego, kto podmiotu, który podlega związane z bezpieczeństwem zarządzania łańcucha dostaw, który taki podmiot KSC posiada, mogą być przeniesione umownie. I oczywiście to nie jest tak, że z tego powodu będziecie
Speaker A
państwo musieli się zarejestrować do KSC. To nie jest tak, że będziecie podlegali pod chociażby system kar, który w tych przepisach jest uregulowany, ale będzie tak, że takie obowiązki bardzo często będą się po prostu rozpływały po rynku jako obowiązki kolejne. I ostatnia rzecz,
Speaker A
dokumentujemy zarówno sytuacji, kiedy podlegamy i to dlaczego podlegamy, w jakim zakresie i tak dalej. Natomiast nawet jeśli nie podlegamy, warto wykonać sobie taką notatkę. Nikt nie ma obowiązku sporządzania tego rodzaju dokumentacji. Natomiast z perspektywy rozsądku to naprawdę jak już wykonamy tą
Speaker A
ocenę analizy, to jest naprawdę bardzo prosta rzecz, która nie wymaga wielkiego wysiłku, a ona naprawdę może się przydać.
Speaker A
Drodzy państwo, ostatnia rzecz z racji tego, że to slajd ku pamięci, za tydzień Marcin Wysocki, za dwa tygodnie Tomek Turba. świetni wykładowcy, gigantyczna wiedza, każdy z nich specjalistą w swoim zakresie. Serdecznie polecam i zapraszam. No i ostatnia rzecz, o której
Speaker A
chciałbym jeszcze raz powiedzieć, jeżeli macie państwo ochotę, podobało się państwu to, o czym mówiłem, jeżeli z jakiegoś powodu na któreś z pytań nie będziemy w stanie odpowiedzieć dzisiaj po przerwie, którą za chwilę zrobimy, no to zapraszam serdecznie na akademię NIS2
Speaker A
KSC2. W tym zakresie NIS2AK.pl. pl. Michał już wspominał na początku. Dziękuję serdecznie i jak rozumiem wracamy za chwilę po przerwie.
Speaker A
Tak, dzięki, dzięki bardzo za fajną prezentację. Jak to widziałem w niektórych komentarzach, jedna z niewielu prezentacji, gdzie się nie usypiało, jeśli chodzi o temat nictwa KSC2, więc super.
Speaker A
Pytania to ciężki orzech do zgryzienia, bo zapisałem sobie tutaj sześć stron pytań. yyy sześć stron a ctery pytań. Yyy więc ja te pytania Marcinowi podeślę za sekundkę. Zrobimy sobie za sekundkę też krótką przerwę trochę, żebyśmy odsapnęli. Yyy, z małym
Speaker A
tutaj wyjątkiem Marcin nie będzie odsapywał, tylko będzie analizował wasze pytania i na część odpowie, tak żebyśmy się wyrobili maksymalnie powiedzmy do 11:30, 11:35.
Speaker A
pewnie na część pytań być może będzie szansa odpowiedzieć w formie takiej mailowej. W sensie też Marcin pewnie wybierze z kilka takich najciekawszych i i dośle wam to mailowo.
Speaker A
W sensie my wam to doślemy mailingiem. Co teraz? Bo to nie jest nie jest jeszcze koniec. Właśnie pamiętajcie o tym temacie z dużym szkoleniem NIS 2 czy z dużą akademią. Można sobie na to wejść pod adresem nis2.sekurak.pl.
Speaker A
Tu z automatu macie 50% rabatu, który działa do jutra. I zobaczcie jak to, jak to tutaj wszystko wygląda.
Speaker A
Może może moją prezentację pokażę. O właśnie, żebyście tutaj mieli mieli to u siebie, czyli nis 2 sekurak.pl.
Speaker A
30 szkoleń, nie więcej 30 szkoleń, prawie 30 szkoleń, jeśli chodzi o ten temat, zarówno szkolenia cyber, jak i o szkolenia prawne. Tutaj jest podnikowana też mapa myśli w PDFiE.
Speaker A
Już ją tutaj wam zaprezentuję. Wygląda to mniej więcej w taki sposób, czyli mamy z jednej strony właśnie szkolenia dla IT, dookoła oczywiście wszystko NIS 2 KSC2 w podziale też na różne obszary, ale mamy też sporo szkoleń prawnych.
Speaker A
Też Marcin tutaj będzie kilka kilka tematów prowadził. w szczególności ten temat pierwszy, z którym wystartujemy 7 lipca, czyli ogólnie takie wprowadzenie do NIS 2 KSC2, bo to dzisiejsze szkolenie bardziej było o tym, kto podlega, kto nie podlega. No i trzeci
Speaker A
obszar, który tam mamy szkoleń, to szkolenia Cyber Awardness dla wszystkich, żeby zbudować taką kulturę troszeczkę bezpieczeństwa i nie zgubić się w tych wszystkich skrótach, pojęciach związanych z cyber bezpieczeństwem. Także serdecznie na to zapraszam i zróbmy sobie teraz króciutką
Speaker A
przerwę do godziny 11:00, może 15, a po przerwie wracamy z sesją pytań i odpowiedzi.
Speaker A
Za sekundkę, za sekundkę wracamy. Jeśli ktoś musi uciekać przed tą sesją pytań i odpowiedzi, to polecam jeszcze wypełnienie ankiety. Ankieta.sekurak.pl.
Speaker A
Dajcie znać, czy coś się wam wyjątkowo podobało, jakieś ewentualnie uwagi, co zmienić następnym razem. Także na czacie też ten adres macie ankieta.sekurak.pl.
Speaker A
No i przypominam jeszcze raz o tej naszej dużej akademii, czyli nis 2.sekurak.pl. Po wejściu na ten link macie fajny fajny rabacik i cały opis tego, co my tutaj tak naprawdę mamy.
Speaker A
Także polecam sobie na spokojnie to zobaczyć. Dobra. Czy jesteśmy gotowi z z pytaniami? Przynajmnie niektórymi 120 mi przysłałeś.
Speaker A
Tak. No sześć stron. Sześć stron. Myślę, że tak. No kilka możemy wybrać tak na jakieś 15 minut i zależy ile masz. Na szybko.
Speaker A
Jest trochę takich, które się powtarzam. Mhm. Yyy, one oczywiście nie dotyczą same bezpośrednio tej tego szkolenia, ale spróbuję przynajmniej na część z nich odpowiedzieć, żebyście nie mieli poczucia, że zostajecie całkowicie porzuceni. Yyy pierwsze podstawowe pytanie. Jak to zrobić w momencie, kiedy
Speaker A
jakby jesteście sami jednoosobowo, a albo nie macie żadnych środków, a musicie to wdrożyć? No mogę co najwyżej współczuć.
Speaker A
Oczywiście jest ileś różnych rozwiązań, które nie wymagają kosztów. Natomiast pamiętajcie o jednej rzeczy. NIS 2 i KSC2 to nie są regulacje, które da się spełnić wypełniając kolejne dokumenty. Nie chciałbym używać pojęcia tony papieru, bo bo tego papieru już
Speaker A
niekoniecznie trzeba liczyć na tony, ale to nie jest tylko i wyłącznie kwestia dokumentacji. Z drugiej strony jest ileść różnego rodzaju mechanizmów związanych z bezpieczeństwem, które da się zrobić w sposób nieodpłatny, darmowy albo po bardzo niskich kosztach.
Speaker A
Na pewno wiele z tych z tych tych mechanizmów będzie omawianych na już tej pełnej akademii. To na pewno zbyt krótko, żebym o nich mówił w chwili obecnej. Natomiast nie zmienia to faktu, że w KSC2 to nie papiery będąc
Speaker A
decydowały o tym, czy jesteśmy bezpieczni. Owszem, te papiery będą ważne z punktu widzenia kontroli, ale te kontrola ostatecznie będzie badać, czy my rzeczywiście jesteśmy bezpieczni i zabezpieczyliśmy naszą organizację przed problemami związane z zaburzeniem naszego działania, dlatego że w tym
Speaker A
zakresie będzie no po prostu nie będą będą w stanie prowadzić działalności z powodów problemów cybernetycznych.
Speaker A
Dobra, to to jest pierwszy obszar, który który się pojawia. Czy system zgłoszem zgłoszeń S46 już działa? Tak, działa od siódmego miesiąca.
Speaker A
Część osób, tak jak już wspominałem, dostaje dostało już zawiadomienie w zakresie podmiotów publicznych, że można się zgłaszać. część jakby w chwili obecnej można już się normalnie y zalogować i w tym zakresie dokonać samodzielnego zgłoszenia, więc jak najbardziej można
Speaker A
to już w chwili obecnej robić. Jak wdrożyć szybko i tanio? Prawda jest taka, że nie ma żadnej drogi na skróty.
Speaker A
Na pewno priorytetyzacja działań jest istotna. Oczywiście samoidentyfikacja i wpis to jak najbardziej analiza ryzyka.
Speaker A
O tym będziecie musieli pamiętać. szkolenia wewnętrzne to jest coś co jest istotne, ale żeby szkolić to trzeba wiedzieć z czego szkolić czyli tak naprawdę trzeba ustawić sobie wewnątrz wewnętrzne działania jeśli chodzi o to w jaki sposób funkcjonować kara wstecz za
Speaker A
brak rejestracji i brak SZBI jest to jeden z wątków gdzie jakby był poruszany czy w ogóle jest taka możliwość że przepisy nie są bardzo precyzyjne.
Speaker A
A mianowicie przepisy mówią, że nie można nakładać kar przed tam tym upływem dwóch lat od wejścia w życie ustawy. Natomiast Ministerstwo Cyfryzacji w trakcie prac sejmowych zadeklarowało, że to nie chodzi o to, że później można za okres wsteczny, tylko że po prostu jakby to
Speaker A
jest okres bez kar na dostosowanie się. trzymam za słowo. Na wszelki wypadek zapisałem stenogramy z tego posiedzenia komisji. Yyy yyy sens podlegania ze względu na obrot.
Speaker A
Czy w ogóle jest taki sens? Ja jakby staram się podsumowywać te elementy, które były opisane, a nie dlatego nie nie są to dosłowne cytowania, bo one też pojawiają się parę razy.
Speaker A
Pamiętajcie państwo, że obrót wyznacza w wielu sytuacjach zakres działalności i z tego punktu widzenia no to jest istotne, żeby te podmioty, które mają pewien konkretny poziom obrotu były stabilne.
Speaker A
Szczególnie, że na nich też polega wiele podmiotów, które które korzystają z ich usług. Więc w tym zakresie sens niestety jest taki, że im większy podmiot, tym on bardziej będzie krytyczny. z punktu widzenia tego cyberbezpieczeństwa i stabilności funkcjonowania państwa
Speaker A
w tym zakresie. Z drugiej strony pamiętajcie o tym, że jeśli chodzi o mechanizm działania szczególnie osób, które próbują nas w jakiś sposób zaatakować, to oni nie zawsze wybierają. Paradoksalnie te mniejsze podmioty też bardzo często podlegają przedmiotom ataków. yyy
Speaker A
pracownicy z agencji pracy tymczasowej. Yyy i teraz tu jest o tyle trudne, że jeśli yyy jakby to generalnie jest tak, że wlicza się zatrudnienia y do zatrudnienia osoby, które yyy są yyy naszymi pracownikami tymczasowymi, natomiast w zakresie agencji pracy pracy
Speaker A
tymczasowej to nie jest aż takie bardzo oczywiste. Więc to jest pierwsza część. Pozwólcie, że przesunę sobie dalej i kolejne pytanie.
Speaker A
Czy cała grupa kapitałowa jest objęta KSC, czy tylko jeśli jedna spółka jest nią objęta? Nie, nie ma takiej zasady. W ramach grupy kapitałowej każdy podmiot musi być oceniony samodzielnie. y czy i w związku z tym może się zdarzyć, że
Speaker A
część podmiotów jest podlega pod KST, część nie. Co więcej, część podmiotów może mieć status podmiotu kluczowego, część może mieć status podmiotu ważnego.
Speaker A
Czy podmiot ważny musi mieć zewnętrzny sok lub całodobowe dyżury? Pamiętajcie o tym, że nie ma nigdzie w przepisach, i to jest też taka rzecz, o której warto pamiętać, nie ma nigdzie w przepisach obowiązku posiadania soka, ale jest inny
Speaker A
obowiązek wczesnego wykrywania incydentów i wczesnej kwalifikacji incydentów i z tego punktu widzenia też potencjalnie zgłaszania, jeśli incydent ma charakter poważny. W związku z czym, jeżeli myślimy o tym, żeby nasze kadry pracujące 8 godzin dziennie w dni robocze były w stanie dokonać zgłoszenia
Speaker A
w odpowiednim terminie i przeciwdziałać naruszenia, to wielokrotnie będzie to trudne. Natomiast sam formalnie to być może to jest kwestia rozplanowania pracy, być może ułożenia jakby dostępności osób, które o tym dbają, ale to nie jest tak, że jest wprost nakazane posiadanie 24godzinnej
Speaker A
służby. Dobra, idźmy dalej. Jak ocenić wielkość, jeśli z 200 osób pracujących w organizacji tylko 30 ma z ITOT?
Speaker A
Nie ma żadnego znaczenia niestety z tego punktu widzenia. Decydujący jest tutaj całkowita liczba pracowników. Yyy, zwróćcie państwo uwagę na to, że jakby paradoksalnie spośród tych podmiotów, których sektory y podlegają, o których sobie dzisiaj omawialiśmy, tam bardzo wiele osób
Speaker A
będzie takich, które nie mają dostępu do swojego własnego komputera IT, a w zakresie OT raczej tylko schyłkowy, więc pod tym kątem to nie do końca tak jest. spółka z niskim przychodem i fundacja z dużym. No i to jest tak, że pamiętajcie, że to ten
Speaker A
element związany z sumowaniem jest powiązany z kontrolą i dominującym wpływem. To sam fakt, że ktoś jest czyimś fundatorem może stanowić oczywiście powiązanie. Natomiast tam są też jeszcze te dwa elementy związane z wykonywaniem takich samych usług i świadczeniem i powiązaniem systemów
Speaker A
tudzież niezależnością systemów. informatycznych, więc nie wyklucza się, ale potencjalnie może się sumować. Yyy, grupa spółek powiązana tylko osobowo.
Speaker A
Kluczową rzeczą jest możliwość wykonywania yyy dominujące decydującego wpływu, tak? Czy dominującego wpływu. Więc czasami jest tak, że powiązanie osobowe może być takim elementem. To wymaga już bardzo konkretnej oceny z punktu widzenia umowy spółki i tak dalej.
Speaker A
system informacyjny i czy system informatyczny. Jakie bierzemy pod uwagę? System informacyjny w ramach KSC to jest coś szerszego niż tylko system IT, bo poza jakby samym samym oprogramowaniem uwzględnia również dane ludzi procedury. Więc pod tym kątem to jest to tyle jakby bardziej
Speaker A
skomplikowane, że patrzymy na system informacyjny i tak naprawdę patrzymy o systemach informacyjnych. Czasami w trakcie rozmowy, oczywiście ja też się łapię, że mi się to czasami zdarza, posługuję się dużo, dużo częściej systemem IT niż systemem informacyjnym, ale tak naprawdę KSC
Speaker A
odnosi się do tego jako do całości. podmiot powiązany zarejestrowany w Holandii, czy a nie w Polsce, czy podlega. Więc w tym zakresie do liczenia progów dostosowania z perspektywy polskiej spółki podlega.
Speaker A
Natomiast oczywiście jak jest zarejestrowany w Holandii, no to prawdopodobnie będzie musiał się zarejestrować w Holandii, więc pod tym kątem, pod tym kątem nie.
Speaker A
Muzea czy podlegają podnis dwa? Ciekawe pytanie. Jeszcze się nigdy tym nie z tym nie zetknąłem. Nie, nie, nie, nie rozmawiałem z muzeami. Wydaje mi się w mojej ocenie tak na szybko myśląc, że nie, o ile nie są podmiotami
Speaker A
publicznymi, które spełniają te kryteria wielkości, które o których mówiliśmy, albo no może się też zdarzyć tak, że świadczą jakieś usługi związane z przedmiotem tym, który jest w załączniku numer 1, na przykład jakieś usługi cyfrowe. Nie sądzę, że będą wtedy
Speaker A
chciały to robić, ale ale no to wymaga na pewno oceny z tej perspektywy. Średnie przedsiębiorstwo z branży spożywczej, czy to sektor ważny? Tak, produkcja przetwarzanie dystrybucja żywności to jest załącznik numer drugi i w związku z tym to jest sektor ważny,
Speaker A
jeżeli spełnia ten próg wielkości sektora firmy, przedsiębiorstwa średniej wielkości. Co grozi za rejestrację jako ważne, jak powinno być kluczowe?
Speaker A
Formalnie przepisy mówią oczywiście o możliwości nałożenia sankcji finansowej. Pamiętajcie do po kwietniu 2028. Natomiast y no zakładam, że błędna kwalifikacja jako podmiot kluczowy, a nie jako jako podmiot ważny, a nie jako podmiot kluczowy, to trochę mniejszy poziom przewinienia niż kwestia związana
Speaker A
z tym, że w ogóle się nie wpiszemy. Ważne jest też, że formalnie przepis mówi o tym, że może nałożyć karę. To nie jest tak, że bezwzględnie musi.
Speaker A
Natomiast pod tym kątem to jest niestety tak, że jakby jeżeli już ją nałoży, no to są minimalne kwoty tych kar wskazane bezpośrednio w ustawie. One są, jeśli dobrze pamiętam, 14000 i 20 000. 14 000 dla podmiotów ważnych, 20 000 dla podmiotów
Speaker A
kluczowych. Więc, więc więc jakby minim, jeżeli już się ktoś zdecyduje nałożyć karę, to co najmniej yyy w takiej kwocie.
Speaker A
M patrzę jeszcze yyy odpowiedzialność kierownictwa spółki zoo. Tylko zarząd czy też prokurent? Prokurent to jest taka cudowna instytucja, która wiele może, ale jakby tej odpowiedzialności jest bardzo ograniczona. przepisy formalnie mówią o kierowniku jednostki organizacyjnej, więc w przypadku spółek
Speaker A
zo to jest spojrzenie na konkretne osoby, więc y jakby co więcej mówię, że albo to będzie wtedy prawdopodobnie cały zarząd, chyba że zarząd wyznaczy osobę odpowiedzialną.
Speaker A
Powiatowy urząd pracy mniej niż 50 osób. Jest to podmiot publiczny na pewno i podmioty publiczne w tym zakresie przyznaję szczerze, że nie odpowiem z głowy.
Speaker A
Z tym akurat na pewno wrócę mailowo, bo na pewno nie ten mamy 11:30, a ja jestem ledwo na 30 przy 36 pytaniu, a część pominąłem.
Speaker A
Mikroprzedsiębiorca IT utrzymuje aplikacje chmurowe dla urzędu miasta. Czy podlega? Mikroprzedsiębiorcy w zakresie w jakim utrzymują aplikacje, czyli świadczą te usługi zarządzane podlegają o tyle o ile jakby spełniają te poszczególne progi jakby natomiast w związku z tym mikroprzedsiębiorca do
Speaker A
zasady nie podlega. Oczywiście może się zdarzyć, bo przepisy, ja też już nie mówiłem o tym, nie powtarzałem, ale w stosunku do każdej organizacji potencjalne można wydać decyzję, która mówi, że jednak yyy jeżeli otrzymaliście decyzję, to podlegacie pod KSC. Trzeba
Speaker A
to umieć oczywiście uzasadnić. Nie sądzę, że ministerstwa będą chciały to realizować. Natomiast yyy co do zasady wtedy mikroprzedsiębiorstwa nie będzie podlegał właśnie z uwagi na ten poziom wielkości. Ale uwaga, jeżeli to utrzymanie aplikacji chmurowych jest powiązane z tą częścią związane z
Speaker A
zarządzaniem usługami zarządzanymi w zakresie cyberbezpieczeństwa, no to mikroprzedsiębiorca jest już nie, ale y już mały przedsiębiorca, czyli te powyżej 10 osób i powyżej 2 milionów euro obrotu, to już wtedy będzie potencjalnie podlegać. Michale, ja nie wiem jakby na ile jeszcze chcemy, mamy
Speaker A
czas i tak dalej. Ja w razie czego jestem dostępny jeszcze przez parę minut, natomiast no może jeszcze jedno pytanie ostatnie i będziemy kończyć.
Speaker A
apteki. W zakresie aptek jest tak, że tutaj jakby kluczową rzeczą jest spojrzenie na to pod kątem podlegania pod jakby dokładny przedmiot działalności. apteki ogólnodostępne są wyraźnie wprost wskazane, więc jak najbardziej tak. Yyy, natomiast no w momencie, kiedy nie spełniamy tego
Speaker A
wymogu apteki ogólnodostępnej, to to nie. No i jakby tutaj pamiętajcie państwo tylko tutaj, że w momencie, kiedy to jest yyy jakby apteka ogólnodostępna, no to trzeba nadal stosować yyy te te progi wielkościowe, tak więc więc w wielu wypadkach
Speaker A
pojedyncze apteki nie będą miały zastosowania. Okej, dobra. To wielkie dzięki. I na tym sobie dzisiaj skończymy.
Speaker A
Jeśli się wam podobało, to wypełnijcie nam ankietę pod adresem ankietasokurak.pl, jeśli się wam nie podobało, to też, bo tak to byśmy mieli same tylko pozytywne opinie z definicji, więc więc do tego zachęcam.
Speaker A
Cóż jeszcze w ramach tego startera, na którym jesteście, spotykamy się w przyszłym tygodniu, jak dobrze pamiętam. Można sobie to sprawdzić pod adresem starter.sekurak.pl z Marcinem Wysockim z Ministerstwa Cyfryzacji, a później jeszcze w kolejnym tygodniu z Tomkiem Turbą. To bardziej
Speaker A
takie szkolenie Cyber. No i zachęcam niezmiennie do tego, żebyście sobie popatrzyli na naszą pełną akademię NIS 2 od Sekuraka. jest zapisanych w tym momencie w okolicach 700 osób, więc temat jest bardzo, że tak powiem gorący i budzi zainteresowanie.
Speaker A
Myślę, że ta akademia też będzie o tyle ciekawa, że macie dostęp bezpośredni na czacie, na Discordzie do osób, które są zaangażowane we wdrażanie właśnie tej regulacji w swoich instytucjach czy firmach, więc można troszkę się podpytać czy powymieniać doświadczeniami z pierwszej ręki. Adres
Speaker A
do zapisu nis 2.sekurak.pl. Pełne szczegóły tutaj na na ekranie. Co jeszcze? M no właśnie ta road mapa, czyli czyli prezentacja w ramach bezpłatnego n startera od Marcina Wysockiego.
Speaker A
Jak ktoś jeszcze nie jest zapisany to starty.sekurak.pl. Oczywiście pamiętajcie też o ankiecie, jeśli chodzi o tą pierwszą sesję. No i sam jeszcze odpowiem na ekstremalnie często zadawane pytanie czy pytania.
Speaker A
Tak, będzie nagranie z tej sesji dostępne jeszcze jeszcze dzisiaj. To nagranie będzie dostępne do końca tego roku. Dostaniecie linka na maila i też będzie dostępna prezentacja, którą widzieliście w formie w formie PDF. Mamy już ją gotową, przesłaną przez przez
Speaker A
Marcina, także ją jeszcze dzisiaj, może nawet za godzinę doślemy. Także cóż, do zobaczenia na kolejnym wydarzeniu. Dzięki Marcinie za za super prezentację. Też do zobaczenia na jednej jednym z kolejnych szkoleń. No a wszystkim życzę dobrego dnia i do
Speaker A
zobaczenia. Dzięki serdeczne. Cześć. he Ah.
Topics:NIS2KSC2cyberbezpieczeństwoszkolenieSekurakTVprawo ITincydenty bezpieczeństwarejestracja KSCwebinarkonkurs
