ICT7 min czytania

Dostawca chmury a KSC — kto podlega?

Definicja dostawcy chmury w KSC

Dostawca chmury obliczeniowej jest zdefiniowany w art. 2 pkt 4e ustawy o KSC jako osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej, która świadczy usługę umożliwiającą dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania przez wielu użytkowników. Definicja ta obejmuje trzy podstawowe modele usług chmurowych.

ModelOpisPrzykłady
IaaS (Infrastructure as a Service)Udostępnienie infrastruktury obliczeniowej: serwerów, pamięci masowej, sieciAWS EC2, Azure Virtual Machines, Google Compute Engine
PaaS (Platform as a Service)Udostępnienie platformy do tworzenia i uruchamiania aplikacjiAWS Elastic Beanstalk, Azure App Service, Google App Engine
SaaS (Software as a Service)Udostępnienie gotowego oprogramowania przez InternetMicrosoft 365, Google Workspace, Salesforce
Usługi chmurowe mogą być świadczone w różnych modelach wdrożeniowych: chmura publiczna, prywatna, hybrydowa lub wspólnotowa. Wszystkie te modele mieszczą się w definicji ustawowej, o ile zapewniają dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych.

Podmiot kluczowy czy ważny?

Dostawca chmury obliczeniowej jest wymieniony w załączniku nr 1 do ustawy o KSC, w sektorze infrastruktury cyfrowej. Oznacza to, że duży przedsiębiorca świadczący usługi chmurowe jest podmiotem kluczowym (PK), a średni przedsiębiorca — podmiotem ważnym (PW). Co istotne, dostawca chmury może być podmiotem kluczowym niezależnie od wielkości, jeżeli zostanie wskazany decyzją organu właściwego (art. 5 ust. 1 pkt 4).

Wielkość przedsiębiorcyZałącznikStatus w KSC
Duży (250+ pracowników lub obrót > 50 mln EUR)Załącznik nr 1Podmiot kluczowy (PK)
Średni (50–249 pracowników, obrót 10–50 mln EUR)Załącznik nr 1Podmiot ważny (PW)
Mikro/Mały (< 50 pracowników, obrót < 10 mln EUR)Co do zasady nie podlega, chyba że wskazany decyzją organu
Dostawca usługi centrum przetwarzania danych (data center) jest odrębną kategorią podmiotu w KSC (art. 2 pkt 4h). Jeżeli podmiot świadczy zarówno usługi chmurowe, jak i usługi centrum danych — może podlegać KSC z obu tytułów jednocześnie.

SaaS a chmura obliczeniowa

Nie każdy dostawca oprogramowania udostępnianego przez Internet (SaaS) jest dostawcą chmury obliczeniowej w rozumieniu KSC. Zgodnie z Q&A Ministerstwa Cyfryzacji (pkt 1.22), kluczowym kryterium jest to, czy usługa zapewnia użytkownikowi bezpośredni dostęp do skalowalnej i elastycznej puli zasobów obliczeniowych. Dostawca oprogramowania, który jedynie korzysta z chmury obliczeniowej innego podmiotu, ale sam nie udostępnia zasobów obliczeniowych, nie jest dostawcą chmury.

ScenariuszCzy dostawca chmury w rozumieniu KSC?
Firma udostępnia skalowalne zasoby IaaS/PaaSTak — klasyczny dostawca chmury
Firma oferuje SaaS i zarządza własną infrastrukturą chmurowąTak — świadczy usługę chmury obliczeniowej
Firma oferuje SaaS, ale korzysta z chmury innego dostawcy (np. AWS), a dane przetwarzane on-premise u klientaNie — jest dostawcą oprogramowania, nie dostawcą chmury
Firma oferuje SaaS hostowany w całości na infrastrukturze innego dostawcy chmuryWymaga indywidualnej analizy — zależy czy udostępnia zasoby obliczeniowe

Rozporządzenie wykonawcze 2024/2690

Art. 8b ustawy o KSC nakłada na dostawców chmury obliczeniowej obowiązek stosowania środków zarządzania ryzykiem określonych w rozporządzeniu wykonawczym Komisji (UE) 2024/2690 z dnia 17 października 2024 r. Rozporządzenie to precyzuje wymogi techniczne i metodyczne dotyczące środków zarządzania ryzykiem w cyberbezpieczeństwie dla dostawców usług cyfrowych, w tym dostawców chmury.

  • Dostawcy objęci art. 8b: DNS, rejestry TLD, dostawcy chmury, centra danych, CDN, dostawcy usług zarządzanych i zarządzanych w zakresie cyberbezpieczeństwa, platformy handlowe, wyszukiwarki, sieci społecznościowe
  • Rozporządzenie 2024/2690 określa szczegółowe wymagania dotyczące polityk bezpieczeństwa, zarządzania incydentami, ciągłości działania i bezpieczeństwa łańcucha dostaw
  • Pozostałe podmioty kluczowe i ważne stosują środki zarządzania ryzykiem określone w odrębnych aktach wykonawczych Komisji Europejskiej (art. 8b ust. 2)

Obowiązki dostawcy chmury

Dostawca chmury obliczeniowej, niezależnie od tego czy jest podmiotem kluczowym czy ważnym, podlega pełnemu katalogowi obowiązków z ustawy o KSC. Dodatkowo musi stosować wymogi rozporządzenia 2024/2690 w zakresie środków zarządzania ryzykiem.

  1. Rejestracja w wykazie podmiotów kluczowych i ważnych — ze wskazaniem państw UE, w których świadczy usługi (art. 7a ust. 3 pkt 8).
  2. Wdrożenie SZBI zgodnego z art. 8, z uwzględnieniem wymogów rozporządzenia 2024/2690 (art. 8b).
  3. Szacowanie ryzyka dla infrastruktury chmurowej i świadczonych usług.
  4. Raportowanie incydentów poważnych: wczesne ostrzeżenie 24h, zgłoszenie 72h, raport końcowy 1 miesiąc.
  5. Szkolenie kierownika podmiotu z zakresu cyberbezpieczeństwa (art. 8e).
  6. Audyt bezpieczeństwa co 3 lata dla PK (art. 15 ust. 1); PW — na żądanie organu (art. 15 ust. 1b).
  7. Zarządzanie bezpieczeństwem łańcucha dostaw — w tym wobec poddostawców infrastruktury.
Dostawca chmury będący podmiotem kluczowym podlega proaktywnemu nadzorowi — organ właściwy może przeprowadzać kontrole planowe bez uprzedniego incydentu. Maksymalna kara to 10 mln EUR lub 2% rocznych przychodów. Dla podmiotu ważnego kara wynosi do 7 mln EUR lub 1,4% przychodów.
Spis treści
Definicja dostawcy chmury w KSC
Podmiot kluczowy czy ważny?
SaaS a chmura obliczeniowa
Rozporządzenie wykonawcze 2024/2690
Obowiązki dostawcy chmury
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. ważny — sprawdź swój statusWdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JSTKaryKary finansowe w ustawie o KSC — ile wynoszą?IncydentyRaportowanie incydentów KSC — 24h, 72h, miesiącAudytAudyt bezpieczeństwa KSC — kto i kiedy?ZarządzanieKierownik a cyberbezpieczeństwo — obowiązki KSCWykazRejestracja w wykazie KSC — system S46Łańcuch dostawBezpieczeństwo łańcucha dostaw wg KSCDostawcyDostawca wysokiego ryzyka — procedura KSCNadzórNadzór nad podmiotami KSC — ex ante i ex postTerminyTerminy wdrożenia KSC 2026–2028Sektor finansowyKSC a DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — art. 8f KSCWspółpracaWymiana informacji o cyberzagrożeniach w KSCKlasyfikacjaNiezależność systemów — wyłączenie z KSCŻywnośćProducent żywności a KSC — obowiązki 2026PrawoKSC a RODO — czym się różnią?ZdrowieSzpital a KSC/NIS2 — lista obowiązkówJSTGmina a KSC — plan wdrożenia krok po krokuOdpadyFirma odpadowa a KSC — czy podlegam?KlasyfikacjaCzy podlegam pod KSC? Sprawdź w 5 minutWykazRejestracja KSC krok po kroku — system S46KaryKary za brak rejestracji w KSC — ile grozi?ZarządzanieZarząd a KSC — odpowiedzialność osobista
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.