Spółki komunalne jako podmioty ważne w sektorze „podmioty publiczne”
Jedną z podstaw objęcia spółki komunalnej przepisami ustawy o krajowym systemie cyberbezpieczeństwa jest kwalifikacja w ramach sektora „podmioty publiczne”. Ustawa przewiduje bowiem, że status podmiotu ważnego może uzyskać podmiot publiczny, który nie jest podmiotem kluczowym oraz stanowi m.in. spółkę wykonującą zadania o charakterze użyteczności publicznej, jeżeli realizuje zadanie publiczne z wykorzystaniem systemów informacyjnych.
Powyższa podstawa kwalifikacji może obejmować znaczną część spółek komunalnych. Kluczowe znaczenie mają tu dwie przesłanki. Po pierwsze, spółka musi wykonywać zadania o charakterze użyteczności publicznej w rozumieniu ustawy o gospodarce komunalnej, a więc zadania służące bieżącemu i nieprzerwanemu zaspokajaniu zbiorowych potrzeb ludności w drodze świadczenia usług powszechnie dostępnych.
Niezależnie od powyższego, dodatkowo zadanie to musi być realizowane z wykorzystaniem systemów informacyjnych.
W praktyce druga z tych przesłanek często będzie spełniona, ponieważ działalność spółek komunalnych zwykle opiera się na korzystaniu z systemów bilingowych, eksploatacyjnych, dyspozytorskich, księgowych, kadrowych, systemów monitorowania infrastruktury czy systemów obsługi zgłoszeń. Z tego powodu kluczowa będzie klasyfikacja na podstawie pierwszej z przesłanek, co doprowadzi do jednoznacznej oceny z perspektywy klasyfikacji jako podmiot publiczny.
Objęcie krajowym systemem cyberbezpieczeństwa ze względu na sektor działalności
Niezależnie od kwalifikacji w ramach sektora „podmioty publiczne”, spółka komunalna może podlegać ustawie o krajowym systemie cyberbezpieczeństwa również z uwagi na rodzaj prowadzonej działalności. W takim przypadku decydujące znaczenie ma to, czy wykonuje działalność w jednym z sektorów wskazanych w załączniku nr 1 albo nr 2 do ustawy.
Dotyczy to w szczególności spółek komunalnych prowadzących działalność w obszarze wodociągów i kanalizacji, gospodarki odpadami, energii, ciepła, gazu czy transportu kolejowego. Ustawa zalicza bowiem do sektorów objętych jej zakresem m.in. podmioty dostarczające wodę przeznaczoną do spożycia przez ludzi, podmioty odprowadzające lub oczyszczające ścieki, przedsiębiorstwa świadczące usługi w zakresie zbierania, transportu lub przetwarzania odpadów, a także przedsiębiorstwa energetyczne prowadzące działalność koncesjonowaną w zakresie ciepła, energii elektrycznej lub gazu.
W odniesieniu do podmiotów wskazanych w załączniku nr 1 ustawa co do zasady różnicuje status podmiotu kluczowego i podmiotu ważnego z uwagi na wielkość przedsiębiorstwa prowadzonego przez spółkę komunalną. Podmiot prowadzący działalność w sektorze objętym tym załącznikiem będzie co do zasady uznawany za podmiot kluczowy, jeżeli przekracza progi właściwe dla średniego przedsiębiorstwa. Jeżeli natomiast spełnia kryteria średniego przedsiębiorcy i nie kwalifikuje się jako podmiot kluczowy, będzie zasadniczo uznawany za podmiot ważny. W razie spełnienia przesłanek obu kategorii pierwszeństwo ma kwalifikacja jako podmiot kluczowy.
W praktyce oznacza to, że spółka komunalna prowadząca przykładowo działalność wodociągowo-kanalizacyjną albo ciepłowniczą może zostać objęta ustawą nie tylko jako podmiot wykonujący zadania o charakterze użyteczności publicznej, lecz również jako podmiot działający w sektorze wskazanym w ustawie. Ostateczna kwalifikacja zależy wówczas od rodzaju prowadzonej działalności, treści przepisów właściwych dla danego sektora oraz wielkości danego przedsiębiorcy.
Kwalifikacja spółki komunalnej jako podmiotu kluczowego albo ważnego
Co do zasady spółka komunalna będzie najczęściej kwalifikowana jako podmiot ważny, jeżeli wykonuje zadania o charakterze użyteczności publicznej, realizuje zadanie publiczne z wykorzystaniem systemów informacyjnych oraz jednocześnie nie spełnia przesłanek uznania jej za podmiot kluczowy. Status podmiotu kluczowego będzie natomiast aktualizował się przede wszystkim wówczas, gdy dany podmiot prowadzi działalność w jednym z sektorów wskazanych w załączniku nr 1 do ustawy i spełnia kryteria przewidziane dla tej kategorii, w szczególności dotyczące wielkości przedsiębiorcy albo inne przesłanki szczególne określone w przepisach.
W praktyce może to dotyczyć zwłaszcza spółek komunalnych działających w obszarze dostaw wody, odprowadzania lub oczyszczania ścieków, energii, ciepła, gazu lub infrastruktury transportowej.
Z praktycznego punktu widzenia istotne jest również, że spółka zaliczona do kategorii z art. 5 ust. 2 pkt 8 ustawy o krajowym systemie cyberbezpieczeństwa jako podmiot ważny będący podmiotem publicznym nie stosuje pełnych wymagań systemu zarządzania bezpieczeństwem informacji z art. 8 ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa, lecz wdraża SZBI w zakresie określonym w załączniku nr 4 do ustawy (art. 8 ust. 3 ustawy o krajowym systemie cyberbezpieczeństwa).
Znaczenie samooceny i terminów dostosowawczych
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa opiera objęcie podmiotu obowiązkami ustawowymi w istotnym zakresie na dokonaniu przez niego samooceny własnego statusu. W konsekwencji podmioty kluczowe i podmioty ważne powinny złożyć wniosek o wpis do wykazu do dnia 3 października 2026 r. Z kolei podmioty, które w dniu 3 kwietnia 2026 r. spełniały przesłanki uznania za podmiot kluczowy albo podmiot ważny, są obowiązane wdrożyć wymagania dotyczące systemu zarządzania bezpieczeństwem informacji do dnia 3 kwietnia 2027 r. W przypadku podmiotów kluczowych pierwszy audyt powinien zostać przeprowadzony w terminie 24 miesięcy od dnia spełnienia przesłanek uznania za taki podmiot, a następnie nie rzadziej niż raz na trzy lata.
Dla spółek komunalnych oznacza to konieczność możliwie wczesnego ustalenia, czy spełniają ustawowe przesłanki objęcia ustawą. Błędna ocena może bowiem prowadzić do niewykonania obowiązków rejestracyjnych i organizacyjnych mimo ich faktycznej aktualizacji.
Należy przy tym odróżnić wpis na wniosek od wpisu z urzędu. Część podmiotów, w tym dotychczasowi operatorzy usług kluczowych oraz podmioty publiczne, jest wpisywana do wykazu z urzędu przez Ministra Cyfryzacji, a obowiązek samodzielnego złożenia wniosku do 3 października 2026 r. dotyczy pozostałych podmiotów. W odniesieniu do spółek komunalnych tryb wpisu wymaga jednak odrębnej oceny, z uwagi na ich formę prawną wiele z nich w praktyce będzie podlegać samorejestracji, mimo materialnej kwalifikacji jako podmiot publiczny
Wnioski
Nie każda spółka komunalna będzie objęta przepisami ustawy o krajowym systemie cyberbezpieczeństwa. W praktyce będzie to dotyczyło przede wszystkim spółek wykonujących zadania o charakterze użyteczności publicznej z wykorzystaniem systemów informacyjnych oraz spółek prowadzących działalność w sektorach objętych ustawą, takich jak m.in. woda, ścieki, odpady, energia, ciepło, gaz czy kolej. Poza zakresem ustawy o krajowym systemie cyberbezpieczeństwa mogą natomiast pozostawać podmioty prowadzące działalność głównie komercyjną, niespełniające tych przesłanek. Z tego względu status spółki komunalnej na gruncie ustawy o krajowym systemie cyberbezpieczeństwa wymaga każdorazowo indywidualnej analizy opartej na konkretnych kryteriach ustawowych.
