Kryteria klasyfikacji
Podział na podmioty kluczowe i ważne opiera się na kombinacji trzech czynników: przynależności sektorowej, wielkości przedsiębiorstwa (liczba zatrudnionych, obrót roczny) oraz roli podmiotu w łańcuchu dostaw usług krytycznych. Podmioty z sektorów o najwyższym znaczeniu, takie jak energetyka czy bankowość, częściej kwalifikowane są jako kluczowe niezależnie od wielkości.
Różnice w obowiązkach
Choć wymogi w zakresie zarządzania ryzykiem są zbliżone dla obu kategorii, różnice pojawiają się w zakresie nadzoru — podmioty kluczowe podlegają nadzorowi proaktywnemu (regularne kontrole ex ante), natomiast podmioty ważne nadzorowane są głównie reaktywnie, po wystąpieniu incydentu lub sygnału o naruszeniu.
Proces samooceny
Organizacje powinny przeprowadzić wewnętrzną analizę w celu ustalenia własnej klasyfikacji, uwzględniając strukturę przychodów, liczbę pracowników oraz charakter świadczonych usług. Wynik samooceny powinien zostać udokumentowany i okresowo aktualizowany, szczególnie w przypadku zmian organizacyjnych.