EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52023XC0914(01)

Komunikat Komisji Wytyczne Komisji dotyczące stosowania art. 3 ust. 4 dyrektywy (UE) 2022/2555 (NIS 2) 2023/C 324/02

C/2023/6070

OJ C 324, 14.9.2023, p. 2–7 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

14.9.2023   

PL

Dziennik Urzędowy Unii Europejskiej

C 324/2


KOMUNIKAT KOMISJI

Wytyczne Komisji dotyczące stosowania art. 3 ust. 4 dyrektywy (UE) 2022/2555 (NIS 2)

(2023/C 324/02)

1.   

Zgodnie z art. 3 ust. 4 dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2) (1) Komisja, z pomocą Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), bez zbędnej zwłoki podaje wytyczne i wzory dokumentów związane z obowiązkami ustanowionymi w tym przepisie. Art. 3 ust. 4 dyrektywy (UE) 2022/2555 odnosi się do art. 3 ust. 3 tej dyrektywy, zgodnie z którym do dnia 17 kwietnia 2025 r. państwa członkowskie ustanawiają wykaz podmiotów kluczowych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen. Państwa członkowskie muszą regularnie, i nie rzadziej niż co dwa lata po wyżej wymienionej dacie, dokonywać przeglądu i – w stosownych przypadkach – aktualizacji tego wykazu.

2.   

W celu ustanowienia wykazu podmiotów kluczowych i ważnych państwa członkowskie powinny wymagać od podmiotów przedłożenia właściwym organom co najmniej następujących informacji: nazwy, adresu i aktualnych danych kontaktowych, w tym adresów poczty elektronicznej, zakresów adresów IP i numerów telefonów podmiotu oraz, w stosownych przypadkach, odpowiedniego sektora i podsektora, o których mowa w załącznikach, a także, w stosownych przypadkach, wykazu państw członkowskich, w których dany podmiot świadczy usługi objęte zakresem stosowania dyrektywy. W załączniku I do niniejszych wytycznych znajduje się wzór do celów gromadzenia tych informacji na potrzeby ustanowienia przedmiotowego wykazu.

3.   

Jak przewidziano w art. 3 ust. 4 dyrektywy (UE) 2022/2555, aby ułatwić utworzenie i aktualizację wykazu podmiotów kluczowych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen, państwa członkowskie powinny móc ustanowić mechanizmy krajowe umożliwiające podmiotom samodzielną rejestrację (2).

4.   

Zgodnie z art. 3 ust. 5 dyrektywy (UE) 2022/2555 do dnia 17 kwietnia 2025 r., a następnie co dwa lata państwa członkowskie muszą powiadomić Komisję i Grupę Współpracy co najmniej o liczbie podmiotów kluczowych i ważnych wymienionych w wykazie zgodnie z art. 3 ust. 3 tej dyrektywy dla każdego sektora i podsektora, o których mowa w załączniku I i II do dyrektywy. Państwa członkowskie muszą również powiadomić Komisję o istotnych informacjach na temat liczby podmiotów kluczowych i ważnych wskazanych na podstawie art. 2 ust. 2 lit. b)–e) dyrektywy (UE) 2022/2555, sektora i podsektora, do których podmioty te należą, rodzaju świadczonej przez nie usługi oraz przepisu, na podstawie którego zostały one wskazane. Jak wyjaśniono w motywie 19 preambuły dyrektywy (UE) 2022/2555, zachęca się państwa członkowskie, aby wymieniały z Komisją informacje o podmiotach kluczowych i ważnych oraz – w przypadku incydentu w cyberbezpieczeństwie na dużą skalę – odpowiednie informacje takie jak nazwa danego podmiotu.

5.   

Oprócz wykazu ustanowionego przez państwa członkowskie na podstawie art. 3 ust. 3 dyrektywy (UE) 2022/2555 zgodnie z art. 27 ust. 2 tej dyrektywy państwa członkowskie powinny również wymagać, aby do 17 stycznia 2025 r. określone podmioty, o których mowa w art. 27 ust. 1 dyrektywy, przedłożyły właściwym organom następujące informacje: nazwę podmiotu; odpowiedni sektor, podsektor i rodzaj podmiotu, o których mowa w załączniku I lub II do dyrektywy, w stosownych przypadkach; adres głównego miejsca prowadzenia działalności podmiotu oraz jego innych prawnych miejsc prowadzenia działalności w Unii lub – jeżeli nie ma on miejsca prowadzenia działalności w Unii – przedstawiciela wyznaczonego zgodnie z art. 26 ust. 3 dyrektywy; aktualne dane kontaktowe, w tym adresy poczty elektronicznej i numery telefonów podmiotu oraz, w stosownych przypadkach, przedstawiciela wyznaczonego zgodnie z art. 26 ust. 3 dyrektywy; państwa członkowskie, w których podmiot świadczy usługi; oraz zakresy IP podmiotu. Zgodnie z art. 27 ust. 3 dyrektywy (UE) 2022/2555 państwa członkowskie wymagają, aby podmioty, o których mowa w art. 27 ust. 1 dyrektywy, powiadamiały właściwy organ o zmianach w danych przedłożonych na podstawie art. 27 ust. 2 dyrektywy niezwłocznie, a w każdym razie w ciągu trzech miesięcy od dnia, w którym nastąpiła zmiana.

6.   

Zgodnie z art. 27 ust. 5 dyrektywy (UE) 2022/2555 informacje, o których mowa w art. 27 ust. 2 i 3 tej dyrektywy, przedkłada się z wykorzystaniem mechanizmu krajowego, o którym mowa w art. 3 ust. 4 dyrektywy, w stosownych przypadkach. W związku z tym, aby osiągnąć większą wydajność administracyjną, wzór załączony jako załącznik do niniejszych wytycznych zawiera ponadto wnioski o przedłożenie informacji wymaganych do celów zarówno art. 3 ust. 3, jak i art. 27 ust. 2 dyrektywy (UE) 2022/2555. Wspomniany wzór opracowano przy wsparciu ENISA.


(1)   Dz.U. L 333 z 27.12.2022, s. 80.

(2)  Zob. również motyw 18 preambuły dyrektywy (UE) 2022/2555.


DODATEK

Wzór informacji wymaganych na potrzeby wykazu, o którym mowa w art. 3 ust. 3, i do celów art. 27 ust. 2 dyrektywy (UE) 2022/2555

1.   

Sektor działalności określony w dyrektywie (UE) 2022/2555

Załącznik I –

Sektory kluczowe

Energetyka

Energia elektryczna

Przedsiębiorstwo energetyczne

Operator systemu dystrybucyjnego

Operator systemu przesyłowego

Producenci

Wyznaczeni operatorzy rynku energii elektrycznej

Uczestnicy rynku świadczący usługi agregacji, odpowiedzi odbioru lub magazynowania energii

Operatorzy punktów ładowania odpowiedzialni za zarządzanie punktem ładowania i jego obsługę, świadczący usługę ładowania użytkownikom końcowym, w tym w imieniu i na rzecz dostawcy usług w zakresie mobilności

Operatorzy systemów ciepłowniczych lub chłodniczych

Ropa naftowa

Operatorzy ropociągów

Operatorzy instalacji służących do produkcji, rafinacji, przetwarzania, magazynowania i przesyłu ropy naftowej

Krajowe centrale zapasów

Gaz

Przedsiębiorstwa dostarczające gaz

Operatorzy systemów dystrybucyjnych

Operatorzy systemów przesyłowych

Operatorzy systemów magazynowania

Operatorzy systemów LNG

Przedsiębiorstwa gazowe

Operatorzy instalacji służących do rafinacji i przetwarzania gazu ziemnego

Operatorzy instalacji służących do produkcji, magazynowania i przesyłu wodoru

Transport

Transport lotniczy

Przewoźnicy lotniczy

Zarządzający portem lotniczym

Operatorzy zarządzający ruchem lotniczym zapewniający służbę kontroli ruchu lotniczego (ATC)

Transport kolejowy

Zarządcy infrastruktury

Przedsiębiorstwa kolejowe, w tym operatorzy infrastruktury kolejowej

Transport wodny

Armatorzy śródlądowego, morskiego i przybrzeżnego wodnego transportu pasażerów i towarów, z wyłączeniem poszczególnych statków, na których prowadzą działalność ci armatorzy

Organy zarządzające portem, w tym ich obiekty portowe oraz jednostki wykonujące prace i operujące sprzętem znajdującym się w tych portach

Operatorzy systemów ruchu statków (SRS)

Transport drogowy

Organy administracji drogowej odpowiedzialne za zarządzanie ruchem drogowym, z wyłączeniem podmiotów publicznych, dla których zarządzanie ruchem lub obsługa inteligentnych systemów transportowych jest inną niż istotna częścią ich ogólnej działalności

Operatorzy inteligentnych systemów transportowych

Opieka zdrowotna

Świadczeniodawcy

Laboratoria referencyjne UE

Podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych

Podmioty produkujące podstawowe substancje farmaceutyczne oraz leki i pozostałe wyroby farmaceutyczne, o których mowa w sekcji C dział 21 klasyfikacji NACE Rev. 2

Podmioty produkujące wyroby medyczne uznane za mające krytyczne znaczenie podczas danego stanu zagrożenia zdrowia publicznego („wykaz wyrobów medycznych o krytycznym znaczeniu w przypadku stanu zagrożenia zdrowia publicznego”)

Woda pitna – dostawcy i dystrybutorzy „wody przeznaczonej do spożycia przez ludzi”, z wyłączeniem dystrybutorów, dla których dystrybucja wody przeznaczonej do spożycia przez ludzi jest inną niż istotna częścią ich ogólnej działalności polegającej na dystrybucji innych produktów i towarów

Ścieki – przedsiębiorstwa zbierające, odprowadzające lub oczyszczające ścieki komunalne, bytowe lub przemysłowe, z wyłączeniem przedsiębiorstw, dla których zbieranie, odprowadzanie lub oczyszczanie ścieków komunalnych, bytowych lub przemysłowych jest inną niż istotna częścią ich ogólnej działalności

Infrastruktura cyfrowa

Dostawcy punktu wymiany ruchu internetowego

Dostawcy usług DNS

Rejestry nazw TLD

Dostawcy usług chmurowych

Dostawcy usług ośrodków przetwarzania danych

Dostawcy sieci dostarczania treści

Dostawcy usług zaufania

Dostawcy publicznych sieci łączności elektronicznej

Dostawcy publicznie dostępnych usług łączności elektronicznej

Zarządzanie usługami ICT (między przedsiębiorstwami)

Dostawcy usług zarządzanych

Dostawcy usług zarządzanych w zakresie bezpieczeństw

Podmioty administracji publicznej

Podmioty administracji publicznej w ramach instytucji rządowych na szczeblu centralnym

Podmioty administracji publicznej na szczeblu regionalnym

Przestrzeń kosmiczna – operatorzy infrastruktury naziemnej należącej do, zarządzanej i obsługiwanej przez państwa członkowskie lub podmioty prywatne, które wspierają świadczenie usług kosmicznych, z wyjątkiem dostawców publicznych sieci łączności elektronicznej

Załącznik II –

Sektory ważne

Usługi pocztowe i kurierskie

Gospodarowanie odpadami – przedsiębiorstwa zajmujące się gospodarowaniem odpadami, z wyłączeniem przedsiębiorstw, dla których gospodarowanie odpadami nie stanowi głównej działalności gospodarczej

Produkcja, wytwarzanie i dystrybucja chemikaliów – przedsiębiorstwa zajmujące się produkcją substancji oraz przedsiębiorstwa zajmujące się wytwarzaniem z substancji lub mieszanin wyrobów

Produkcja, przetwarzanie i dystrybucja żywności – przedsiębiorstwa spożywcze zajmujące się dystrybucją hurtową oraz przemysłowymi produkcją i przetwarzaniem

Produkcja

Produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro

Produkcja komputerów, wyrobów elektronicznych i optycznych

Produkcja urządzeń elektrycznych

Produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana

Produkcja pojazdów samochodowych, przyczep i naczep

Produkcja pozostałego sprzętu transportowego

Dostawcy usług cyfrowych

Dostawcy internetowych platform handlowych

Dostawcy wyszukiwarek internetowych

Dostawcy platform usług sieci społecznościowych

Organizacje badawcze

Podmioty nieuwzględnione w załącznikach

Podmioty świadczące usługi rejestracji nazw domen

Inne podmioty uznane za podmioty krytyczne zgodnie z dyrektywą (UE) 2022/2557

Podmioty zidentyfikowane jako operatorzy usług kluczowych zgodnie z prawem krajowym

2.   

Nazwa podmiotu

3.   

Jeżeli dany podmiot wskazano w art. 27 ust. 1 dyrektywy (UE) 2022/2555 (dostawca usług DNS, rejestr nazw TLD, podmiot świadczący usługi rejestracji nazw domen, dostawca usług chmurowych, dostawca usług ośrodka przetwarzania danych, dostawca sieci dostarczania treści, dostawca usług zarządzanych, dostawca usług zarządzanych w zakresie bezpieczeństwa, a także dostawca internetowych platform handlowych, wyszukiwarek internetowych oraz platform usług sieci społecznościowych), czy główne miejsce prowadzenia działalności tego podmiotu w Unii znajduje się w tym państwie członkowskim, czy też w przypadku braku prawnego miejsca prowadzenia działalności w Unii podmiot ten posiada swojego przedstawiciela w tym państwie członkowskim?

4.   

Adres miejsca prowadzenia działalności przez podmiot w tym państwie członkowskim. Jeżeli dany podmiot wskazano w art. 27 ust. 1 dyrektywy (UE) 2022/2555, adres głównego miejsca prowadzenia działalności podmiotu, jeżeli znajduje się ono w tym państwie członkowskim, jak również adres jego innych prawnych miejsc prowadzenia działalności w UE. W przypadku braku miejsca prowadzenia działalności adres przedstawiciela w UE wyznaczonego zgodnie z art. 26 ust. 3 dyrektywy (UE) 2022/2555, jeżeli przedstawiciel ten znajduje się w tym państwie członkowskim.

5.   

Aktualne dane kontaktowe, w tym adresy e-mail i numery telefonów w tym państwie członkowskim.

6.   

Zakresy IP podmiotu w tym państwie członkowskim.

7.   

Jeżeli dany podmiot wskazano w art. 27 ust. 1 dyrektywy (UE) 2022/2555, wykaz państw członkowskich, w których podmiot świadczy usługi objęte zakresem stosowania tej dyrektywy.


Top