Klasyfikacja5 min czytania

Niezależność systemów — wyłączenie z KSC

Zasada niezależności systemów

Art. 5 ust. 6 i 7 ustawy o KSC wprowadza istotny wyjątek od zasady klasyfikacji na podstawie progów wielkościowych. Jeżeli podmiot spełnia wymogi do uznania za podmiot kluczowy lub ważny wyłącznie dlatego, że przekracza kryteria wielkościowe po uwzględnieniu przedsiębiorstw powiązanych lub partnerskich, ale jego system informacyjny jest niezależny od systemów tych przedsiębiorstw lub nie świadczy on usług wspólnie z nimi — nie jest podmiotem kluczowym ani ważnym.

Wyjątek ten ma na celu uniknięcie sytuacji, w której mały podmiot z niezależną infrastrukturą IT zostaje objęty obowiązkami KSC wyłącznie dlatego, że wchodzi w skład dużej grupy kapitałowej. Q&A Ministerstwa Cyfryzacji (pkt 1.6) potwierdza tę interpretację.

Warunki wyłączenia

Aby wyłączenie miało zastosowanie, musi być spełniony co najmniej jeden z dwóch warunków:

  1. System informacyjny podmiotu jest niezależny od systemów informacyjnych jego przedsiębiorstw powiązanych lub partnerskich — tj. do świadczenia usług przez podmiot nie jest konieczne działanie podmiotu powiązanego czy partnerskiego, a systemy mogą być zastąpione w akceptowalnym czasie i kosztach.
  2. Podmiot nie świadczy usług wspólnie z przedsiębiorstwami powiązanymi lub partnerskimi — tj. podmioty nie dzielą między sobą zakresu obowiązków związanych z tą samą usługą podlegającą KSC.

Jak udokumentować niezależność

Jeżeli podmiot powołuje się na wyjątek niezależności systemów, powinien należycie udokumentować tę okoliczność. W przypadku kontroli organu właściwego trzeba będzie wykazać, że systemy informacyjne są faktycznie niezależne.

  1. Przygotuj dokumentację techniczną potwierdzającą odrębność infrastruktury IT.
  2. Opisz brak zależności operacyjnych od systemów przedsiębiorstw powiązanych.
  3. Udokumentuj, że usługi objęte KSC nie są świadczone wspólnie z grupą kapitałową.
  4. Zachowaj dokumentację na wypadek czynności sprawdzających organu właściwego (art. 7k).
Wyjątek dotyczy wyłącznie sytuacji, gdy przekroczenie progów wynika z uwzględnienia przedsiębiorstw powiązanych/partnerskich (art. 5 ust. 3, art. 6 ust. 2–4 załącznika I do rozporządzenia 651/2014/UE). Jeżeli podmiot samodzielnie przekracza progi — wyjątek nie ma zastosowania.

Praktyczne wymagania niezależności infrastruktury

Aby wykazać niezależność systemów informacyjnych w praktyce, podmiot powinien spełniać konkretne wymagania techniczne i organizacyjne dotyczące separacji infrastruktury. Niezależność oznacza, że systemy informatyczne podmiotu mogą funkcjonować autonomicznie — bez konieczności korzystania z zasobów, sieci lub usług IT przedsiębiorstw powiązanych lub partnerskich. W szczególności dotyczy to segmentacji sieci, odrębności serwerów, niezależnych systemów kopii zapasowych oraz własnych mechanizmów uwierzytelniania i zarządzania tożsamością.

  • Segmentacja sieci — systemy informatyczne podmiotu muszą działać w odrębnych segmentach sieciowych, fizycznie lub logicznie oddzielonych od sieci przedsiębiorstw powiązanych (np. osobne VLAN-y, firewalle, odrębne domeny Active Directory)
  • Separacja systemów — serwery, bazy danych i aplikacje krytyczne dla świadczenia usług objętych KSC nie mogą być współdzielone z podmiotami powiązanymi ani hostowane na ich infrastrukturze
  • Niezależność operacyjna — podmiot musi dysponować własnym zespołem IT lub niezależnym dostawcą usług zarządzanych (MSP), który nie jest jednocześnie dostawcą dla podmiotu powiązanego w zakresie tych samych usług
  • Odrębne mechanizmy bezpieczeństwa — własne systemy backupu, monitoringu, zarządzania incydentami i odzyskiwania po awarii (disaster recovery), niezależne od grupy kapitałowej

Dostawca wysokiego ryzyka a niezależność

Kwestia niezależności systemów informacyjnych zyskuje dodatkowy wymiar w kontekście przepisów o dostawcach wysokiego ryzyka (art. 67a–67c ustawy o KSC). Jeżeli podmiot powiązany korzysta z produktów ICT, usług ICT lub procesów ICT dostawcy uznanego za dostawcę wysokiego ryzyka, a systemy nie są niezależne — ryzyko to może rozciągać się na cały łańcuch powiązanych podmiotów. Dlatego przy ocenie niezależności systemów należy uwzględnić również, czy infrastruktura podmiotu nie jest pośrednio zależna od dostawcy wysokiego ryzyka poprzez systemy przedsiębiorstwa powiązanego.

Współdzielenie z podmiotem powiązanym infrastruktury dostawcy uznanego za dostawcę wysokiego ryzyka może podważyć argumentację o niezależności systemów. Organ właściwy w ramach czynności sprawdzających (art. 7k) może zbadać, czy zależność od wspólnego dostawcy nie oznacza faktycznej zależności systemowej między podmiotami.

Łańcuch dostaw ICT a niezależność systemów

Art. 8 ust. 1 pkt 2 lit. e ustawy o KSC nakłada na podmioty kluczowe i ważne obowiązek uwzględnienia w procesie szacowania ryzyka bezpieczeństwa łańcucha dostaw — zależności od dostawców sprzętu i oprogramowania. W kontekście niezależności systemów przepis ten ma szczególne znaczenie — podmiot powołujący się na wyjątek z art. 5 ust. 6 powinien wykazać, że jego łańcuch dostaw ICT jest niezależny od łańcucha dostaw przedsiębiorstw powiązanych. Obejmuje to analizę, czy kluczowe komponenty infrastruktury (sprzęt sieciowy, systemy operacyjne, oprogramowanie bezpieczeństwa) nie są dostarczane i zarządzane przez ten sam podmiot co w przypadku przedsiębiorstwa powiązanego. Zgodność tych ustaleń można potwierdzić w ramach audytu bezpieczeństwa KSC.

Wykazanie niezależności systemów to nie jednorazowa czynność, lecz proces ciągły. Podmiot powinien okresowo weryfikować, czy zmiany w infrastrukturze IT — zarówno własnej, jak i przedsiębiorstw powiązanych — nie doprowadziły do powstania nowych zależności technicznych lub operacyjnych, które mogłyby podważyć zastosowanie wyjątku z art. 5 ust. 6 ustawy o KSC.
FAQ4 pytania

Najczęstsze pytania

Co oznacza niezależność systemów informacyjnych w KSC?
Zgodnie z art. 5 ust. 6-7 KSC to sytuacja, w której dany podmiot korzysta z systemów informacyjnych niezależnych od innych podmiotów grupy kapitałowej — tj. odrębnej infrastruktury technicznej, odrębnych polityk bezpieczeństwa i niezależnych decyzji o zarządzaniu ryzykiem. Niezależność może być przesłanką wyłączenia z obowiązków KSC lub odrębnej kwalifikacji w obrębie grupy.
Czy grupa kapitałowa może mieć wspólne IT i spełnić KSC?
Tak — wspólna infrastruktura IT w grupie jest dopuszczalna, ale wymaga: (1) segmentacji sieci i separacji logicznej systemów kluczowych, (2) odrębnych uprawnień dostępowych per spółka, (3) formalnego podziału odpowiedzialności (RACI), (4) wdrożenia wspólnego SZBI obejmującego wszystkie spółki lub odrębnych SZBI skoordynowanych. Każda spółka odpowiada samodzielnie za wpis do wykazu S46.
Jak wyłączyć spółkę zależną z obowiązków KSC?
Podstawa to art. 5 ust. 6-7 KSC — trzeba wykazać pełną niezależność systemów informacyjnych i niezależność podejmowania decyzji w zakresie cyberbezpieczeństwa. W praktyce wymaga to: odrębnej infrastruktury IT, odrębnego SZBI, odrębnej kadry kierowniczej ds. bezpieczeństwa, odrębnych polityk i umów z dostawcami. Sama forma prawna (osobna spółka) nie wystarcza.
Czy chmura publiczna narusza wymóg niezależności?
Niekoniecznie — korzystanie z wspólnej chmury publicznej (AWS, Azure, GCP) nie samo w sobie znosi niezależności, pod warunkiem: (1) dedykowany tenant/subskrypcja dla danej spółki, (2) separacja sieciowa i logiczna, (3) odrębne konta i uprawnienia dostępu, (4) odrębne klucze szyfrowania (BYOK/HYOK), (5) odrębne umowy lub przyporządkowanie odpowiedzialności w umowie grupowej.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.