Zgodnie z projektem UKSC, dostawcą chmury jest podmiot świadczący usługę umożliwiającą dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania przez wielu użytkowników. We Włoszech identyczna definicja (przepisana z dyrektywy) doprowadziła do dyskusji: czy dostawcy prostych usług SaaS, takich jak systemy CRM czy aplikacje webowe, podlegają pod NIS2? Teoretycznie dyrektywa powinna obejmować usługi wspierające kluczowe funkcje istotne dla cyberbezpieczeństwa, ale brak jasnej linii demarkacyjnej tworzy niepewność. Problem jest niezwykle istotny, gdyż żyjemy w czasach, gdy można dosłownie w kilka minut stworzyć prostą aplikację SaaS przy pomocy narzędzi AI, z czego korzysta wiele firm.
Na tle projektu nowelizacji UKSC podobne wątpliwości również mogą się pojawić. Bez doprecyzowania lub jasnych wytycznych można się spodziewać, że w polskim wykazie zarejestrują się nie tylko średnie lub duże firmy świadczące usługi chmurowe, ale także wielu przedsiębiorców spoza sektorów objętych NIS2, którzy na swoich stronach mają proste i zazwyczaj bezpłatne aplikacje webowe przeznaczone dla swoich kontrahentów.
Wystarczy nawet jeden informatyk
Kolejnym obszarem, który we Włoszech wygenerował ogromne problemy, jest kategoria „dostawców usług zarządzanych”. Jednym z sektorów wskazanych w NIS2 jest sektor zarządzania usługami ICT między przedsiębiorstwami. Dostawcą takich usług jest każdy podmiot, który świadczy usługi związane z instalacją lub eksploatacją systemów ICT. Regulacji poddani są jednak tylko dostawcy takich usług, którzy są co najmniej średnimi przedsiębiorcami.
Problem pojawia się w grupach kapitałowych. W ich przypadku dane dotyczące zatrudnienia oraz obrotu sumuje się, co sprawia, że mała spółka, która oprócz swojej głównej działalności świadczy także usługi IT wyłącznie dla innych spółek z grupy, staje się dostawcą usług zarządzanych zobowiązanym do stosowania regulacji, choćby działalność taka miała charakter poboczny. W praktyce może to być nawet przysłowiowy jeden informatyk oddelegowany do zarządzania sprawami IT w innej spółce.
We Włoszech próbowano to rozwiązać tzw. „klauzulą zabezpieczającą”, pozwalającą na wyłączenie pewnych podmiotów wewnątrzgrupowych na podstawie motywu 16 dyrektywy NIS2. Klauzula ta pozwala na niestosowanie przepisów NIS2 do podmiotu, który spełnia kryterium wielkości z uwagi na przynależność do grupy kapitałowej, ale jego system informacyjny jest niezależny od systemów informacyjnych innych spółek z grupy. W praktyce jednak okazało się, że wobec braku jasnych wytycznych nie wiadomo było, jak rozumieć ową niezależność systemu informacyjnego (np. czy wspólna poczta e-mail przekreśla niezależność).
