Komunikat Komisji - Wytyczne Komisji dotyczące stosowania art. 3 ust. 4 dyrektywy (UE) 2022/2555 (NIS 2)

2. W celu ustanowienia wykazu podmiotów kluczowych i ważnych państwa członkowskie powinny wymagać od podmiotów przedłożenia właściwym organom co najmniej następujących informacji: nazwy, adresu i aktualnych danych kontaktowych, w tym adresów poczty elektronicznej, zakresów adresów IP i numerów telefonów podmiotu oraz, w stosownych przypadkach, odpowiedniego sektora i podsektora, o których mowa w załącznikach, a także, w stosownych przypadkach, wykazu państw członkowskich, w których dany podmiot świadczy usługi objęte zakresem stosowania dyrektywy. W załączniku I do niniejszych wytycznych znajduje się wzór do celów gromadzenia tych informacji na potrzeby ustanowienia przedmiotowego wykazu.

3. Jak przewidziano w art. 3 ust. 4 dyrektywy (UE) 2022/2555, aby ułatwić utworzenie i aktualizację wykazu podmiotów kluczowych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen, państwa członkowskie powinny móc ustanowić mechanizmy krajowe umożliwiające podmiotom samodzielną rejestrację 2 .

4. Zgodnie z art. 3 ust. 5 dyrektywy (UE) 2022/2555 do dnia 17 kwietnia 2025 r., a następnie co dwa lata państwa członkowskie muszą powiadomić Komisję i Grupę Współpracy co najmniej o liczbie podmiotów kluczowych i ważnych wymienionych w wykazie zgodnie z art. 3 ust. 3 tej dyrektywy dla każdego sektora i podsektora, o których mowa w załączniku I i II do dyrektywy. Państwa członkowskie muszą również powiadomić Komisję o istotnych informacjach na temat liczby podmiotów kluczowych i ważnych wskazanych na podstawie art. 2 ust. 2 lit. b)-e) dyrektywy (UE) 2022/2555, sektora i podsektora, do których podmioty te należą, rodzaju świadczonej przez nie usługi oraz przepisu, na podstawie którego zostały one wskazane. Jak wyjaśniono w motywie 19 preambuły dyrektywy (UE) 2022/2555, zachęca się państwa członkowskie, aby wymieniały z Komisją informacje o podmiotach kluczowych i ważnych oraz - w przypadku incydentu w cyberbezpieczeństwie na dużą skalę - odpowiednie informacje takie jak nazwa danego podmiotu.

5. Oprócz wykazu ustanowionego przez państwa członkowskie na podstawie art. 3 ust. 3 dyrektywy (UE) 2022/2555 zgodnie z art. 27 ust. 2 tej dyrektywy państwa członkowskie powinny również wymagać, aby do 17 stycznia 2025 r. określone podmioty, o których mowa w art. 27 ust. 1 dyrektywy, przedłożyły właściwym organom następujące informacje: nazwę podmiotu; odpowiedni sektor, podsektor i rodzaj podmiotu, o których mowa w załączniku I lub II do dyrektywy, w stosownych przypadkach; adres głównego miejsca prowadzenia działalności podmiotu oraz jego innych prawnych miejsc prowadzenia działalności w Unii lub - jeżeli nie ma on miejsca prowadzenia działalności w Unii - przedstawiciela wyznaczonego zgodnie z art. 26 ust. 3 dyrektywy; aktualne dane kontaktowe, w tym adresy poczty elektronicznej i numery telefonów podmiotu oraz, w stosownych przypadkach, przedstawiciela wyznaczonego zgodnie z art. 26 ust. 3 dyrektywy; państwa członkowskie, w których podmiot świadczy usługi; oraz zakresy IP podmiotu. Zgodnie z art. 27 ust. 3 dyrektywy (UE) 2022/2555 państwa członkowskie wymagają, aby podmioty, o których mowa w art. 27 ust. 1 dyrektywy, powiadamiały właściwy organ o zmianach w danych przedłożonych na podstawie art. 27 ust. 2 dyrektywy niezwłocznie, a w każdym razie w ciągu trzech miesięcy od dnia, w którym nastąpiła zmiana.

6. Zgodnie z art. 27 ust. 5 dyrektywy (UE) 2022/2555 informacje, o których mowa w art. 27 ust. 2 i 3 tej dyrektywy, przedkłada się z wykorzystaniem mechanizmu krajowego, o którym mowa w art. 3 ust. 4 dyrektywy, w stosownych przypadkach. W związku z tym, aby osiągnąć większą wydajność administracyjną, wzór załączony jako załącznik do niniejszych wytycznych zawiera ponadto wnioski o przedłożenie informacji wymaganych do celów zarówno art. 3 ust. 3, jak i art. 27 ust. 2 dyrektywy (UE) 2022/2555. Wspomniany wzór opracowano przy wsparciu ENISA.

DODATEK

Wzór informacji wymaganych na potrzeby wykazu, o którym mowa w art. 3 ust. 3, i do celów art. 27 ust. 2 dyrektywy (UE) 2022/2555

1. Sektor działalności określony w dyrektywie (UE) 2022/2555

Załącznik I - Sektory kluczowe

- Energetyka

- Energia elektryczna

- Przedsiębiorstwo energetyczne

- Operator systemu dystrybucyjnego

- Operator systemu przesyłowego

- Producenci

- Wyznaczeni operatorzy rynku energii elektrycznej

- Uczestnicy rynku świadczący usługi agregacji, odpowiedzi odbioru lub magazynowania energii

- Operatorzy punktów ładowania odpowiedzialni za zarządzanie punktem ładowania i jego obsługę, świadczący usługę ładowania użytkownikom końcowym, w tym w imieniu i na rzecz dostawcy usług w zakresie mobilności

- Operatorzy systemów ciepłowniczych lub chłodniczych

- Ropa naftowa

- Operatorzy ropociągów

- Operatorzy instalacji służących do produkcji, rafinacji, przetwarzania, magazynowania i przesyłu ropy naftowej

- Krajowe centrale zapasów

- Gaz

- Przedsiębiorstwa dostarczające gaz

- Operatorzy systemów dystrybucyjnych

- Operatorzy systemów przesyłowych

- Operatorzy systemów magazynowania

- Operatorzy systemów LNG

- Przedsiębiorstwa gazowe

- Operatorzy instalacji służących do rafinacji i przetwarzania gazu ziemnego

- Operatorzy instalacji służących do produkcji, magazynowania i przesyłu wodoru

- Transport

- Transport lotniczy

- Przewoźnicy lotniczy

- Zarządzający portem lotniczym

- Operatorzy zarządzający ruchem lotniczym zapewniający służbę kontroli ruchu lotniczego (ATC)

- Transport kolejowy

- Zarządcy infrastruktury

- Przedsiębiorstwa kolejowe, w tym operatorzy infrastruktury kolejowej

- Transport wodny

- Armatorzy śródlądowego, morskiego i przybrzeżnego wodnego transportu pasażerów i towarów, z wyłączeniem poszczególnych statków, na których prowadzą działalność ci armatorzy

- Organy zarządzające portem, w tym ich obiekty portowe oraz jednostki wykonujące prace i operujące sprzętem znajdującym się w tych portach

- Operatorzy systemów ruchu statków (SRS)

- Transport drogowy

- Organy administracji drogowej odpowiedzialne za zarządzanie ruchem drogowym, z wyłączeniem podmiotów publicznych, dla których zarządzanie ruchem lub obsługa inteligentnych systemów transportowych jest inną niż istotna częścią ich ogólnej działalności

- Operatorzy inteligentnych systemów transportowych

- Opieka zdrowotna

- Świadczeniodawcy

- Laboratoria referencyjne UE

- Podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych

- Podmioty produkujące podstawowe substancje farmaceutyczne oraz leki i pozostałe wyroby farmaceutyczne, o których mowa w sekcji C dział 21 klasyfikacji NACE Rev. 2

- Podmioty produkujące wyroby medyczne uznane za mające krytyczne znaczenie podczas danego stanu zagrożenia zdrowia publicznego ("wykaz wyrobów medycznych o krytycznym znaczeniu w przypadku stanu zagrożenia zdrowia publicznego")

- Woda pitna - dostawcy i dystrybutorzy "wody przeznaczonej do spożycia przez ludzi", z wyłączeniem dystrybutorów, dla których dystrybucja wody przeznaczonej do spożycia przez ludzi jest inną niż istotna częścią ich ogólnej działalności polegającej na dystrybucji innych produktów i towarów

- Ścieki - przedsiębiorstwa zbierające, odprowadzające lub oczyszczające ścieki komunalne, bytowe lub przemysłowe, z wyłączeniem przedsiębiorstw, dla których zbieranie, odprowadzanie lub oczyszczanie ścieków komunalnych, bytowych lub przemysłowych jest inną niż istotna częścią ich ogólnej działalności

- Infrastruktura cyfrowa

- Dostawcy punktu wymiany ruchu internetowego

- Dostawcy usług DNS

- Rejestry nazw TLD

- Dostawcy usług chmurowych

- Dostawcy usług ośrodków przetwarzania danych

- Dostawcy sieci dostarczania treści

- Dostawcy usług zaufania

- Dostawcy publicznych sieci łączności elektronicznej

- Dostawcy publicznie dostępnych usług łączności elektronicznej

- Zarządzanie usługami ICT (między przedsiębiorstwami)

- Dostawcy usług zarządzanych

- Dostawcy usług zarządzanych w zakresie bezpieczeństw

- Podmioty administracji publicznej

- Podmioty administracji publicznej w ramach instytucji rządowych na szczeblu centralnym

- Podmioty administracji publicznej na szczeblu regionalnym

- Przestrzeń kosmiczna - operatorzy infrastruktury naziemnej należącej do, zarządzanej i obsługiwanej przez państwa członkowskie lub podmioty prywatne, które wspierają świadczenie usług kosmicznych, z wyjątkiem dostawców publicznych sieci łączności elektronicznej

Załącznik II - Sektory ważne

- Usługi pocztowe i kurierskie

- Gospodarowanie odpadami - przedsiębiorstwa zajmujące się gospodarowaniem odpadami, z wyłączeniem przedsiębiorstw, dla których gospodarowanie odpadami nie stanowi głównej działalności gospodarczej

- Produkcja, wytwarzanie i dystrybucja chemikaliów - przedsiębiorstwa zajmujące się produkcją substancji oraz przedsiębiorstwa zajmujące się wytwarzaniem z substancji lub mieszanin wyrobów

- Produkcja, przetwarzanie i dystrybucja żywności - przedsiębiorstwa spożywcze zajmujące się dystrybucją hurtową oraz przemysłowymi produkcją i przetwarzaniem

- Produkcja

- Produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro

- Produkcja komputerów, wyrobów elektronicznych i optycznych

- Produkcja urządzeń elektrycznych

- Produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana

- Produkcja pojazdów samochodowych, przyczep i naczep

- Produkcja pozostałego sprzętu transportowego

- Dostawcy usług cyfrowych

Dostawcy internetowych platform handlowych

Dostawcy wyszukiwarek internetowych

Dostawcy platform usług sieci społecznościowych

- Organizacje badawcze

Podmioty nieuwzględnione w załącznikach

- Podmioty świadczące usługi rejestracji nazw domen

- Inne podmioty uznane za podmioty krytyczne zgodnie z dyrektywą (UE) 2022/2557

- Podmioty zidentyfikowane jako operatorzy usług kluczowych zgodnie z prawem krajowym

2. Nazwa podmiotu

3. Jeżeli dany podmiot wskazano w art. 27 ust. 1 dyrektywy (UE) 2022/2555 (dostawca usług DNS, rejestr nazw TLD, podmiot świadczący usługi rejestracji nazw domen, dostawca usług chmurowych, dostawca usług ośrodka przetwarzania danych, dostawca sieci dostarczania treści, dostawca usług zarządzanych, dostawca usług zarządzanych w zakresie bezpieczeństwa, a także dostawca internetowych platform handlowych, wyszukiwarek internetowych oraz platform usług sieci społecznościowych), czy główne miejsce prowadzenia działalności tego podmiotu w Unii znajduje się w tym państwie członkowskim, czy też w przypadku braku prawnego miejsca prowadzenia działalności w Unii podmiot ten posiada swojego przedstawiciela w tym państwie członkowskim?

4. Adres miejsca prowadzenia działalności przez podmiot w tym państwie członkowskim. Jeżeli dany podmiot wskazano w art. 27 ust. 1 dyrektywy (UE) 2022/2555, adres głównego miejsca prowadzenia działalności podmiotu, jeżeli znajduje się ono w tym państwie członkowskim, jak również adres jego innych prawnych miejsc prowadzenia działalności w UE. W przypadku braku miejsca prowadzenia działalności adres przedstawiciela w UE wyznaczonego zgodnie z art. 26 ust. 3 dyrektywy (UE) 2022/2555, jeżeli przedstawiciel ten znajduje się w tym państwie członkowskim.

5. Aktualne dane kontaktowe, w tym adresy e-mail i numery telefonów w tym państwie członkowskim.

6. Zakresy IP podmiotu w tym państwie członkowskim.

7. Jeżeli dany podmiot wskazano w art. 27 ust. 1 dyrektywy (UE) 2022/2555, wykaz państw członkowskich, w których podmiot świadczy usługi objęte zakresem stosowania tej dyrektywy.