NIS2 direktivom su propisani kriteriji za određivanje važnih i ključnih subjekata koji pružaju usluge neophodne za funkcioniranje društva. Direktiva prepušta određivanje kriterija za kategorizaciju subjekata nacionalnim zakonodavstvima članica EU, pa su tako u Zakonu o kibernetičkoj sigurnosti određeni ključni i važni subjekti prema kriteriju veličine poduzeća i sektorima u kojima djeluju.
Ključni subjekti su u pravilu svi oni koji imaju više od 250 zaposlenih s godišnjim prometom većim od 50 milijuna eura te bilancom većom od 43 milijuna eura.
Ovi kriteriji mogu varirati ovisno o sektoru u kojem subjekt posluje stoga je potrebno provjeriti uvjete za specifičan sektor u kojem vaša tvrtka djeluje. Primjerice, subjekti čiji prekid usluga može ugroziti zdravlje i sigurnost, spadaju u ključne subjekte neovisno o gore navedenim kriterijima.
Prema NIS2 direktivi tvrtka je ključni subjekt ako djeluje u sektorima kao što su:
- Energetika – nafta, prirodni plin, vodik, opskrba električnom energijom, centralizirano grijanje i hlađenje itd.
- Promet – zračni, željeznički, cestovni, pomorski
- Bankarstvo (osim središnjih banaka)
- Infrastruktura financijskog tržišta
- Zdravstvo- uključujući proizvodnju farmaceutskih proizvoda i cjepiva
- Svemir
- Opskrba vodom (pitka i otpadne)
- Digitalna infrastruktura – pružatelji naziva domena (DNS), registri vršnih domenskih imena (TLD), internetske točke umrežavanja (IXP), pružatelji podatkovnih centara, računarstva u oblaku, mreže za prijenos sadržaja, javne elektroničke komunikacijske mreže, elektroničke komunikacijske usluge itd.
- Upravljanje uslugama ICT-a
- Središnje i regionalne javne uprave, i ako se članica EU odlučila za to, lokalne vlasti.
Važni subjekti također imaju varirajuće kriterije ovisno o sektoru u kojem se nalaze. U njih spadaju svi subjekti koji imaju 50 do 250 zaposlenih, godišnji promet manji ili jednak 50 milijuna eura i bilancu manju ili jednaku 43 milijuna eura, koji nisu kategorizirani kao ključni, ali djeluju u ključnim sektorima.
Također, važni subjekti su sve tvrtke s 50 ili više zaposlenih i godišnjim prometom i aktivom većom od 10 milijuna eura, a bave se važnim uslugama.
U važne subjekte uključeni su i pružatelji usluga povjerenja i javnih elektroničkih komunikacijski mreža ili javno dostupnih elektroničkih komunikacijskih usluga koji nisu navedeni kao ključni subjekti.
Subjekti koji spadaju u kategoriju važnih bave uslugama kao što su:
- Poštanske i kurirske usluge
- Upravljanje otpadom
- Kemikalije – proizvodnja i distribucija
- Prehrana – proizvodnja, prerada i distribucija
- Proizvodnja medicinskih uređaja (može postati ključna usluga u slučaju događaja koji ugrožavaju javno zdravlje)
- Proizvodnja računala, elektroničkih i optičkih proizvoda, električna oprema, oprema i strojevi, motorna i druga transportna vozila
- Pružatelji digitalnih usluga – internetskih tržišta, internetskih tražilica te pružatelji platformi za društvene mreže
- Obrazovanje – privatni i javni subjekti
- Istraživanje
VAŽNO: Kriteriji veličine organizacije nije isključiv te subjekt može biti obuhvaćen direktivom ako zadovoljava posebne kriterije obuhvaćene ZKS-om, primjerice, ako je jedini pružatelj kritične ili važne usluge.
