ICT7 min czytania

Dostawca chmury a KSC — kto podlega?

Definicja dostawcy chmury w KSC

Dostawca chmury obliczeniowej jest zdefiniowany w art. 2 pkt 4e ustawy o KSC jako osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej, która świadczy usługę umożliwiającą dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania przez wielu użytkowników. Definicja ta obejmuje trzy podstawowe modele usług chmurowych. Więcej o obowiązkach dla całego sektora znajdziesz na stronie sektor ICT w KSC.

ModelOpisPrzykłady
IaaS (Infrastructure as a Service)Udostępnienie infrastruktury obliczeniowej: serwerów, pamięci masowej, sieciAWS EC2, Azure Virtual Machines, Google Compute Engine
PaaS (Platform as a Service)Udostępnienie platformy do tworzenia i uruchamiania aplikacjiAWS Elastic Beanstalk, Azure App Service, Google App Engine
SaaS (Software as a Service)Udostępnienie gotowego oprogramowania przez InternetMicrosoft 365, Google Workspace, Salesforce
Usługi chmurowe mogą być świadczone w różnych modelach wdrożeniowych: chmura publiczna, prywatna, hybrydowa lub wspólnotowa. Wszystkie te modele mieszczą się w definicji ustawowej, o ile zapewniają dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych.

Podmiot kluczowy czy ważny?

Dostawca chmury obliczeniowej jest wymieniony w załączniku nr 1 do ustawy o KSC, w sektorze infrastruktury cyfrowej. Oznacza to, że duży przedsiębiorca świadczący usługi chmurowe jest podmiotem kluczowym (PK), a średni przedsiębiorca — podmiotem ważnym (PW). Co istotne, dostawca chmury może być podmiotem kluczowym niezależnie od wielkości, jeżeli zostanie wskazany decyzją organu właściwego (art. 5 ust. 1 pkt 4).

Wielkość przedsiębiorcyZałącznikStatus w KSC
Duży (≥250 prac. lub (obrót > 50 mln EUR oraz bilans > 43 mln EUR))Załącznik nr 1Podmiot kluczowy (PK)
Średni (50–249 pracowników, obrót 10–50 mln EUR)Załącznik nr 1Podmiot ważny (PW)
Mikro/Mały (< 50 pracowników, obrót < 10 mln EUR)Co do zasady nie podlega, chyba że wskazany decyzją organu
Dostawca usługi centrum przetwarzania danych (data center) jest odrębną kategorią podmiotu w KSC (art. 2 pkt 4h). Jeżeli podmiot świadczy zarówno usługi chmurowe, jak i usługi centrum danych — może podlegać KSC z obu tytułów jednocześnie.

SaaS a chmura obliczeniowa

Nie każdy dostawca oprogramowania udostępnianego przez Internet (SaaS) jest dostawcą chmury obliczeniowej w rozumieniu KSC. Zgodnie z Q&A Ministerstwa Cyfryzacji (pkt 1.22), kluczowym kryterium jest to, czy usługa zapewnia użytkownikowi bezpośredni dostęp do skalowalnej i elastycznej puli zasobów obliczeniowych. Dostawca oprogramowania, który jedynie korzysta z chmury obliczeniowej innego podmiotu, ale sam nie udostępnia zasobów obliczeniowych, nie jest dostawcą chmury.

ScenariuszCzy dostawca chmury w rozumieniu KSC?
Firma udostępnia skalowalne zasoby IaaS/PaaSTak — klasyczny dostawca chmury
Firma oferuje SaaS i zarządza własną infrastrukturą chmurowąTak — świadczy usługę chmury obliczeniowej
Firma oferuje SaaS, ale korzysta z chmury innego dostawcy (np. AWS), a dane przetwarzane on-premise u klientaNie — jest dostawcą oprogramowania, nie dostawcą chmury
Firma oferuje SaaS hostowany w całości na infrastrukturze innego dostawcy chmuryWymaga indywidualnej analizy — zależy czy udostępnia zasoby obliczeniowe

Rozporządzenie wykonawcze 2024/2690

Art. 8b ustawy o KSC nakłada na dostawców chmury obliczeniowej obowiązek stosowania środków zarządzania ryzykiem określonych w rozporządzeniu wykonawczym Komisji (UE) 2024/2690 z dnia 17 października 2024 r. Rozporządzenie to precyzuje wymogi techniczne i metodyczne dotyczące środków zarządzania ryzykiem w cyberbezpieczeństwie dla dostawców usług cyfrowych, w tym dostawców chmury.

  • Dostawcy objęci art. 8b: DNS, rejestry TLD, dostawcy chmury, centra danych, CDN, dostawcy usług zarządzanych i zarządzanych w zakresie cyberbezpieczeństwa, platformy handlowe, wyszukiwarki, sieci społecznościowe
  • Rozporządzenie 2024/2690 określa szczegółowe wymagania dotyczące polityk bezpieczeństwa, zarządzania incydentami, ciągłości działania i bezpieczeństwa łańcucha dostaw
  • Pozostałe podmioty kluczowe i ważne stosują środki zarządzania ryzykiem określone w odrębnych aktach wykonawczych Komisji Europejskiej (art. 8b ust. 2)

Obowiązki dostawcy chmury

Dostawca chmury obliczeniowej, niezależnie od tego czy jest podmiotem kluczowym czy ważnym, podlega pełnemu katalogowi obowiązków z ustawy o KSC. Musi też uwzględniać ryzyka związane z korzystaniem z produktów dostawców wysokiego ryzyka. Dodatkowo musi stosować wymogi rozporządzenia 2024/2690 w zakresie środków zarządzania ryzykiem.

  1. Rejestracja w wykazie podmiotów kluczowych i ważnych — ze wskazaniem państw UE, w których świadczy usługi (art. 7 ust. 2 pkt 14 KSC).
  2. Wdrożenie SZBI zgodnego z art. 8, z uwzględnieniem wymogów rozporządzenia 2024/2690 (art. 8b).
  3. Szacowanie ryzyka dla infrastruktury chmurowej i świadczonych usług.
  4. Raportowanie incydentów poważnych: wczesne ostrzeżenie 24h, zgłoszenie 72h, raport końcowy 1 miesiąc.
  5. Szkolenie kierownika podmiotu z zakresu cyberbezpieczeństwa (art. 8e).
  6. Audyt bezpieczeństwa co 3 lata dla PK (art. 15 ust. 1); PW — na żądanie organu (art. 15 ust. 1b).
  7. Zarządzanie bezpieczeństwem łańcucha dostaw — w tym wobec poddostawców infrastruktury.
Dostawca chmury będący podmiotem kluczowym podlega proaktywnemu nadzorowi — organ właściwy może przeprowadzać kontrole planowe bez uprzedniego incydentu. Maksymalna kara to 10 mln EUR lub 2% rocznych przychodów. Dla podmiotu ważnego kara wynosi do 7 mln EUR lub 1,4% przychodów.
FAQ4 pytania

Najczęstsze pytania

Czy dostawca chmury obliczeniowej podlega KSC?
Tak — dostawcy chmury obliczeniowej są wymienieni w załączniku nr 1 KSC (infrastruktura cyfrowa). Duży przedsiębiorca (≥ 250 prac. lub obrót &gt; 50 mln EUR) jest podmiotem kluczowym, średni — podmiotem ważnym. Dotyczy to usług IaaS, PaaS i SaaS udostępnianych klientom w modelu publicznym, hybrydowym lub dedykowanym.
Czy SaaS to podmiot kluczowy czy ważny?
Zależy od modelu: usługi chmurowe w zał. 1 (infrastruktura cyfrowa) — kluczowe dla dużych; dostawcy ogólnych usług cyfrowych SaaS niebędący CSP — zał. 2 (ważne). IaaS i PaaS — zawsze zał. 1. Klasyfikacja SaaS wymaga analizy konkretnej usługi (marketplace, platforma e-commerce, narzędzie biurowe itp.).
Czy AWS, Azure i Google Cloud podlegają KSC?
Tak — jako dostawcy chmury publicznej świadczący usługi na rzecz podmiotów w Polsce są podmiotami objętymi KSC. Niezależnie od siedziby firmy matki — liczy się świadczenie usług w Polsce. Hyperscalerzy typowo wyznaczają przedstawiciela na terenie UE (art. 3 ust. 3 KSC) i prowadzą rejestrację jako duzi dostawcy infrastruktury cyfrowej.
Jakie szczególne obowiązki ma dostawca chmury?
Obok standardowego SZBI: (1) separacja tenantów i kontrola dostępu, (2) certyfikaty ISO 27001/27017/27018 lub SOC 2, (3) rejestr zasobów klientów z lokalizacją przetwarzania, (4) SLA odporności i ciągłości, (5) plan ciągłości działania (BCP/DRP), (6) procedury wymiany klucza (KYOK/BYOK/HYOK), (7) szczegółowe raportowanie incydentów do klientów objętych KSC (łańcuch dostaw).
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.