Interpretacja

TEMATY:

Interpretacja indywidualna z dnia 26 sierpnia 2024 r., Dyrektor Krajowej Informacji Skarbowej, sygn. 0112-KDSL1-1.4011.324.2024.2.DT

Określenie stawki ryczałtu od przychodów ewidencjonowanych dla usług sklasyfikowanych do PKWiU 62.02. i 85.59.1.

Interpretacja indywidualna – stanowisko w części prawidłowe i w części nieprawidłowe

Szanowny Panie,

stwierdzam, że Pana stanowisko w sprawie oceny skutków podatkowych opisanego stanu faktycznego w zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne jest:

-prawidłowe w części dotyczącej zastosowania stawki ryczałtu w wysokości 8,5% dla usług sklasyfikowanych wg symbolu PKWiU w grupowaniu 85.59.1;

-nieprawidłowe w części dotyczącej zastosowania stawki ryczałtu w wysokości 8,5% dla usług sklasyfikowanych wg symbolu PKWiU w grupowaniu 62.02.

Zakres wniosku o wydanie interpretacji indywidualnej

6 czerwca 2024 r. wpłynął Pana wniosek z 6 czerwca 2024 r. o wydanie interpretacji indywidualnej, który dotyczy zryczałtowanego podatku dochodowego od niektórych przychodów osiąganych przez osoby fizyczne. Uzupełnił go Pan – w odpowiedzi na wezwanie – pismem z 26 lipca 2024 r. (wpływ 26 lipca 2024 r.). Treść wniosku jest następująca:

Opis stanu faktycznego

(…) (dalej: Podatnik lub Wnioskodawca) prowadzi jednoosobową działalność gospodarczą pod nazwą (…) wpisaną do CEIDG od dn. (…) 2022 r.

Wnioskodawca ma wpisane do CEIDG kody:

-62.02.Z Działalność związana z doradztwem w zakresie informatyki,

-85.59.B Pozostałe pozaszkolne formy edukacji, gdzie indziej niesklasyfikowane.

Wnioskodawca prowadzi działalność gospodarczą w przedmiocie:

a)Koordynacji procesów i działań podejmowanych w celu zapewnienia bezpieczeństwa w systemie klienta, która polega na: nadzorowaniu kluczowych mechanizmów bezpieczeństwa klienta, oraz zapewnienie bezpieczeństwa środków powierzonych usługobiorcy przez jego klientów. Ustalanie i weryfikowanie procedur bezpieczeństwa. Działania te mają uchronić klientów usługobiorcy przed stratami finansowymi lub utratą poufności, integralności, czy dostępności danych firmy. Efektem wykonywania tej usługi jest wskazywanie wykrytych nieprawidłowości w pracy pracowników lub podwykonawców, które mogą skutkować powstaniem ryzyka utraty pieniędzy klientów przez usługobiorcę lub utratą poufności, integralności czy dostępności danych klientów przez usługobiorcę;

b)Wdrażania procedur postępowania, w celu wykrycia potencjalnego ataku oraz odpowiedzi na niego w systemach usługobiorcy. Efektem tego są procedury i rekomendacje dla technologii informatycznych. Pomoc przy incydentach związanych z bezpieczeństwem, od wykrycia do zamknięcia, komunikowanie się i współpraca z interesariuszami, w zakresie naruszeń danych. Gromadzenie, analizowanie i utrzymanie danych o nielegalnych działaniach w celu wsparcia działań dochodzeniowych, eliminacji ryzyka i działań łagodzących. Opracowanie kompleksowych raportów z incydentów i podsumowanie dochodzeń. Analizowanie wyciągniętych wniosków z zespołem reagowania na incydenty i zaproponowanie ulepszenia procedur środków kontroli bezpieczeństwa. Wskazywanie właściwego postępowania w danej sytuacji z punktu widzenia dobrych praktyk w zakresie bezpieczeństwa;

c)Analizowania procedur bezpieczeństwa klienta w celu znalezienia ewentualnych problemów lub słabych punktów, które mogą prowadzić do utraty środków klientów usługobiorcy lub utraty poufności, integralności, czy dostępności do danych przetwarzanych przez systemy informatyczne klienta. W przypadku znalezienia tego typu potencjalnych podatności w procedurach klienta, przygotowanie rekomendowanych zmian, które mitygują znalezione ryzyka wraz z przygotowaniem odpowiedniej dokumentacji zgodnej z przyjętymi w organizacji klienta wzorami;

d)Analizowania wykrytych incydentów bezpieczeństwa w organizacji klienta, przez analizę logów z systemów informatycznych klienta, rozmowy z pracownikami lub podwykonawcami usługobiorcy, którzy brali udział w incydencie lub jego obsłudze, pracownikami lub podwykonawcami odpowiedzialnymi za dostarczanie i utrzymanie systemów informatycznych klienta, w których doszło do incydentu. Celem analizy jest ustalenie zakresu incydentu, strat spowodowanych przez incydent, przekazanie rekomendowanych działań mogących ograniczyć skutki incydentu jeśli w chwili analizy nadal występuje ryzyko ponownego wystąpienia incydentu oraz w końcowej fazie sporządzenie rekomendowanych zmian w działaniach podejmowanych przez klienta w celu zabezpieczenia swoich systemów informatycznych przed powstaniem kolejnych incydentów;

e)Współpracy z pracownikami oraz podwykonawcami klienta przy wdrażaniu przez nich zmian w systemach klienta, które mają zwiększyć odporność cyfrową usługobiorcy w celu oceny ich wydajności i efektywności, wykrycia potencjalnych ryzyk mogących płynąć z wdrażanych zmian, opracowywania ewentualnych sposobów mityzacji powstałych ryzyk lub przygotowania usługobiorcy opisu ryzyka oraz jego potencjalnych skutków w celu akceptacji takiego ryzyka przez wyznaczony do tego organ w organizacji klienta;

f)Ocenie ryzyka związanego z zarządzeniem przez usługobiorcę dostępami do jego systemów informatycznych, w tym odbieranie dostępów, zmniejszanie uprawnień lub nadawania dostępów zgodnie z wytycznymi klienta w celu utrzymania odpowiedniego poziomu bezpieczeństwa. Wykonywanie zadań związanych z bezpieczeństwem informacji oraz cyberbezpieczeństem systemów klienta, w szczególności poprzez monitorowanie i analizowanie podejrzanych wiadomości e-mail, prowadzenie szkoleń z zakresu cyberbezpieczeństwa oraz koordynacja zewnętrznych szkoleń z zakresu cyberbezpieczeństwa polega na: analizie wiadomości mailowych zgłoszonych przez systemy usługobiorcy, jego pracowników lub podwykonawców jako wiadomości zawierające niebezpieczne załączniki lub linki prowadzące do stron zawierających potencjalnie niebezpieczną treść. Efektem tego działania jest ocena zgłoszonych wiadomości i w razie wykrycia niebezpiecznych treści zablokowanie ich na poziomie serwera pocztowego usługobiorcy oraz zaraportowanie ich;

g)Organizacji szkoleń z zakresu cyberbezpieczeństwa oraz bezpieczeństwa informacji dla pracowników i/lub podwykonawców usługobiorcy przez ocenę ich przydatności dla pracowników i podwykonawców, poziomu merytorycznego szkolenia oraz ewentualną korektę ich zakresu. Efektem jest Prowadzenie szkoleń z osobami technicznymi z zakresu cyberbezpieczeństwa monitorowania systemów bezpieczeństwa, obsługi incydentów, najlepsze praktyki z zakresu bezpieczeństwa informatycznego.

W piśmie z dnia (…) 2023 r. o sygn. akt (…) Ośrodek Klasyfikacji i Nomenklatur Urzędu Statystycznego wskazał, że zgodnie z zasadami metodycznymi Polskiej Klasyfikacji Wyrobów i Usług (PKWiU) wprowadzonej rozporządzeniem Rady Ministrów z dnia 4 września 2015 r. (Dz. U. z 2015 r., poz. 1676 z późn. zm.) wymienione usługi mieszczą się w poniższych grupowaniach:

-prowadzenie poważnych incydentów związanych z bezpieczeństwem, od wykrycia do zamknięcia, komunikowanie się i współpraca z interesariuszami w zakresie naruszeń danych – gromadzenie, analizowanie i utrzymanie danych o nielegalnych działaniach w celu wsparcia działań dochodzeniowych, eliminacji ryzyka i działań łagodzących,

-opracowanie kompleksowych raportów z incydentów i podsumowanie dochodzeń,

-analizowanie wyciągniętych wniosków z zespołem reagowania na incydenty i zaproponowanie ulepszenia procedur środków kontroli bezpieczeństwa,

-opracowanie, dopracowanie i usprawnienie podręcznika reakcji na incydenty,

-upewnienie się, że reakcja na incydenty i wymagania dotyczące nielegalnych działań są wychwytywane i dostarczane przez program bezpieczeństwa,

-wykonywanie testów penetracyjnych (audytów) systemów informatycznych i infrastruktury teleinformatycznej,

-wydawanie rekomendacji w zakresie powzięcia środków technicznych w celu zabezpieczenia systemów informatycznych,

-aktywne wspieranie wiedzą oraz pomocą przy rozwiązywaniu problemów świadczonych dla pracowników oraz kontrahentów klienta implementujących środki bezpieczeństwa służące zwiększenia poziomu bezpieczeństwa infrastruktury teleinformatycznej,

-przegląd i analiza dokumentów systemów teleinformatycznych pod kątem funkcjonalnym i bezpieczeństwa teleinformatycznego,

-analiza i zgłaszanie incydentów bezpieczeństwa, a także sporządzanie stosownych raportów wraz z rekomendacjami zmian jakie należy wprowadzić aby uniknąć w przyszłości ponownych incydentów – komunikowanie się i współpraca z inżynierami zaangażowanymi w wykryte incydenty bezpieczeństwa,

-gromadzenie i analiza danych wspierających działania dochodzeniowe pozwalające eliminować lub ograniczać ryzyko ataków cybernetycznych,

-tworzenie raportów z propozycjami ulepszenia procedur i środków kontroli bezpieczeństwa – weryfikowanie czy zastosowane środki bezpieczeństwa poprawnie wykrywają ataki cybernetyczne,

-aktywne wspieranie wiedzą w użytkowaniu i usuwaniu usterek sprzętu komputerowego oraz testowanego oprogramowania,

-udzielanie pomocy technicznej w celu rozwiązania problemów klienta z zakresu bezpieczeństwa

zostały zakwalifikowane jako PKWiU 62.02 – Usługi związane z doradztwem w zakresie informatyki;

-prowadzenie szkoleń z zakresu cyberbezpieczeństwa

zostało przyporządkowane do PKWiU 85.59.1 – Usługi w zakresie pozostałych pozaszkolnych form edukacji, gdzie indziej niesklasyfikowane.

Reasumując należy również podkreślić, że Wnioskodawca spełnia wszystkie przesłanki wskazane w ustawie o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, a ponadto nie kwalifikuje się w kryteriach wykluczających go z tego rodzaju opodatkowania.

W piśmie z 26 lipca 2024 r., stanowiącym uzupełnienie wniosku, udzielił Pan następujących odpowiedzi na zawarte w wezwaniu pytania:

1)czy zgodnie z art. 3 ust. 1 oraz ust. 1a ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych (t. j. Dz. U. z 2024 r. poz. 226 ze zm.), ma Pan nieograniczony obowiązek podatkowy w Polsce?

Odpowiedź: Zgodnie z art. 3 ust. 1 oraz ust. 1a ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych (t. j. Dz. U. z 2024 r. poz. 226 ze zm.), Wnioskodawca posiada nieograniczony obowiązek podatkowy w Polsce.

2) czy złożył Pan właściwemu Naczelnikowi Urzędu Skarbowego oświadczenie o wyborze formy opodatkowania zryczałtowanym podatkiem dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, a jeśli tak, to kiedy (należy wskazać datę)?

Odpowiedź: Forma opodatkowania ryczałtem od przychodów ewidencjonowanych została wskazana we wniosku rejestracyjnym jednoosobowej działalności gospodarczej Wnioskodawcy. Data złożenia wniosku to (…) 2022 roku.

3)czy Pana stwierdzenie „Reasumując należy również podkreślić, że Wnioskodawca spełnia wszystkie przesłanki wskazane w ustawie o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, a ponadto nie kwalifikuje się w kryteriach wykluczających go z tego rodzaju opodatkowania” oznacza, że:

a)w roku podatkowym, którego dotyczy wniosek do wykonywanej przez Pana działalności gospodarczej nie miały/nie mają zastosowanie wyłączenia zawarte w art. 8 ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne (t. j. Dz. U. z 2024 r. poz. 776)?

b)w roku podatkowym, którego dotyczy wniosek w odniesieniu do Pana zachowane zostały/zostają warunki określone w art. 6 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne?

Odpowiedź: Wobec Wnioskodawcy nie mają zastosowania wyłączenia zawarte w art. 8 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne. Ponadto Wnioskodawca spełnia wszystkie warunki zawarte w art. 6 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

4)czy świadczone przez Pana usługi, które zostały zakwalifikowane jako PKWiU 62.02 – Usługi związane z doradztwem w zakresie informatyki są:

a)związane z doradztwem w zakresie sprzętu komputerowego (PKWiU 62.02.10.0)?

b)związane z doradztwem w zakresie oprogramowania?

Odpowiedź: Usługi, które Wnioskodawca zaklasyfikował pod kodem PKWiU 62.02 związane są z:

-Koordynacją procesów i działań mających na celu zapewnienie bezpieczeństwa w systemie klienta. Obejmuje ona nadzór nad kluczowymi mechanizmami bezpieczeństwa, zabezpieczenie środków powierzonych przez klientów oraz ustalanie i weryfikowanie procedur bezpieczeństwa. Działania te mają chronić klientów przed stratami finansowymi lub utratą poufności, integralności i dostępności danych firmy. Efektem jest identyfikacja nieprawidłowości w pracy pracowników lub podwykonawców, mogących prowadzić do ryzyka utraty pieniędzy lub danych.

-Implementowaniem procedur postępowania w celu wykrywania i reagowania na potencjalne ataki w systemach usługobiorcy. Efektem są procedury i rekomendacje dla technologii informatycznych oraz pomoc przy incydentach bezpieczeństwa, od wykrycia do zamknięcia. Działania obejmują komunikację z interesariuszami, gromadzenie i analizowanie danych o nielegalnych działaniach, opracowywanie raportów z incydentów oraz propozycje ulepszeń procedur bezpieczeństwa.

-Analizowaniem procedur bezpieczeństwa klienta w celu identyfikacji problemów lub słabych punktów, które mogą prowadzić do strat finansowych lub utraty danych. W przypadku wykrycia podatności, przygotowywane są rekomendacje zmian, mające na celu minimalizację ryzyka, wraz z odpowiednią dokumentacją.

-Analizowaniem incydentów bezpieczeństwa poprzez badanie logów systemowych, rozmowy z pracownikami i podwykonawcami w celu ustalania zakresu i skutków incydentu. Efektem jest przekazanie rekomendowanych działań ograniczających skutki incydentu oraz sporządzenie propozycji zmian w procedurach zabezpieczających.

-Współpracą z pracownikami i podwykonawcami klienta przy wdrażaniu zmian w systemach, mających na celu zwiększenie odporności cyfrowej. Obejmuje to ocenę wydajności i efektywności wdrażanych zmian, identyfikację ryzyk oraz przygotowanie opisu ryzyka do akceptacji przez odpowiedni organ w organizacji klienta.

-Oceną ryzyka związanego z zarządzaniem dostępami do systemów informatycznych usługobiorcy. Obejmuje odbieranie dostępów, zmniejszanie uprawnień oraz nadawanie dostępów zgodnie z wytycznymi klienta. Działania obejmują także monitorowanie i analizowanie podejrzanych wiadomości e-mail, prowadzenie szkoleń z zakresu cyberbezpieczeństwa oraz koordynację zewnętrznych szkoleń. Efektem jest ocena i blokowanie niebezpiecznych wiadomości na poziomie serwera pocztowego oraz ich zaraportowanie.

5)czy oprócz opisanej działalności gospodarczej uzyskuje Pan inne dochody podlegające opodatkowaniu? Jeśli tak, należy wskazać z jakich źródeł przychodów pochodzą.

Odpowiedź: Wnioskodawca, poza dochodami z działalności gospodarczej nie uzyskuje innych, podlegających opodatkowaniu.

6)ponadto należy wskazać czy prowadzi Pan ewidencję, która umożliwia Panu identyfikację rodzajów przychodów opodatkowanych różnymi stawkami?

Odpowiedź: Wnioskodawca prowadzi stosowną ewidencję, służącą identyfikacji rodzajów przychodów dla celu przypisania do nich odpowiedniej stawki podatku.

Pytanie

Czy przychód z tytułu opisanej w stanie faktycznym działalności usługowej z zakresu cyberbezpieczeństwa (wskazanych usług w pkt a-g, w części dot. opisu stanu faktycznego) może być opodatkowany w formie ryczałtu ewidencjonowanego według stawki 8,5%, zgodnie z art. 12 ust. 1 pkt 5 lit. a ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne?

Pana stanowisko w sprawie

Zgodnie z art. 1 pkt 1 ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, ustawa reguluje opodatkowanie zryczałtowanym podatkiem dochodowym niektórych przychodów (dochodów) osiąganych przez osoby fizyczne prowadzące pozarolniczą działalność gospodarczą.

Stosownie do treści art. 5a pkt 6 lit. a ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych, ilekroć w ustawie jest mowa o działalności gospodarczej albo pozarolniczej działalności gospodarczej, oznacza to między innymi działalność zarobkową usługową.

W myśl art. 4 ust. 1 pkt 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, „działalność usługowa” to pozarolnicza działalność gospodarcza, której przedmiotem są czynności zaliczone do usług zgodnie z Polską Klasyfikacją Wyrobów i Usług (PKWiU) wprowadzoną rozporządzeniem Rady Ministrów z dnia 4 września 2015 r. w sprawie Polskiej Klasyfikacji Wyrobów i Usług (PKWiU) (Dz. U. poz. 1676, z 2017 r., poz. 2453, z 2018 r., poz. 2440, z 2019 r., poz. 2554 oraz z 2020 r., poz. 556), z zastrzeżeniem pkt 2 i 3.

Polska Klasyfikacja Wyrobów i Usług pod pojęciem usług rozumie:

-wszelkie czynności świadczone na rzecz jednostek gospodarczych prowadzących działalność o charakterze produkcyjnym, nietworzące bezpośrednio nowych dóbr materialnych - usługi na rzecz produkcji;

-wszelkie czynności świadczone na rzecz jednostek gospodarki narodowej oraz na rzecz ludności, przeznaczone dla celów konsumpcji indywidualnej, zbiorowej i ogólnospołecznej.

Stawki ryczałtu od przychodów ewidencjonowanych zostały określone w art. 12 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

Zgodnie z art. 12 ust. 1 pkt 2b lit. b) ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, ryczałt od przychodów ewidencjonowanych wynosi 12% przychodów ze świadczenia usług związanych z doradztwem w zakresie sprzętu komputerowego (PKWiU 62.02.10.0), związanych z oprogramowaniem (PKWiU ex 62.01.1), objętych grupowaniem Oryginały oprogramowania komputerowego (PKWiU 62.01.2), związanych z doradztwem w zakresie oprogramowania (PKWiU ex 62.02), w zakresie instalowania oprogramowania (PKWiU ex 62.09.20.0), związanych z zarządzaniem siecią i systemami informatycznymi (PKWiU 62.03.1).

Natomiast zgodnie z art. 12 ust. 1 pkt 5 lit. a) ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, ryczałt od przychodów ewidencjonowanych wynosi 8,5% przychodów z działalności usługowej, w tym przychodów z działalności gastronomicznej w zakresie sprzedaży napojów o zawartości alkoholu powyżej 1,5%, z zastrzeżeniem pkt 1-4 oraz 6-8.

Ilekroć w ustawie używa się oznaczenia ex przy symbolu danego grupowania PKWiU oznacza to, że zakres wyrobów lub usług jest węższy niż określony w tym grupowaniu o czym stanowi art. 4 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne. Oznaczenie ex dotyczy zatem tylko określonej usługi z danego grupowania. Umieszczenie tego dopisku przy konkretnym symbolu statystycznym ma na celu zawężenie stosowania przepisu tylko do tej nazwy grupowania.

W tym miejscu warto wskazać, że Organ może błędnie interpretować charakter prowadzonej przez Podatnika działalności z uwagi na to, że w art. 12 ustawy ust. 1 pkt 2 o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne występują podobne rodzaje działalności. Jednakże, kwalifikacja ustalona przez Ośrodek Klasyfikacji i Nomenklatur Urzędu Statystycznego określa PKWiU 62.02 nie precyzując ewentualnych dalszych podgrup.

W ocenie Wnioskodawcy świadczone usługi są przyporządkowane do:

-PKWiU 62.02.30.0 - Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu (co jest bardziej szczegółowym doprecyzowaniem podgrupy według klasyfikacji Ośrodka),

-85.59.B - Pozostałe pozaszkolne formy edukacji, gdzie indziej niesklasyfikowane,

- w obu przypadkach osiągane z tego tytułu przychody powinny być objęte stawką 8,5%.

Wykonywane usługi są pozbawione czynności wskazanych w zakresie doradztwa w zakresie oprogramowania (PKWiU ex 62.02).

Nadmienić należy, że stanowisko, iż do ww. usług zastosowanie winna znaleźć stawka ryczałtu ewidencjonowanego w wysokości 8,5%, znajduje poparcie w interpretacji indywidualnej Dyrektora Krajowej Informacji Skarbowej z dnia 22.11.2023 r. sygn. 0113- KDIPT2-1.4011.711.2023.2.RK.

Mając na względzie powołane wyżej przepisy prawa oraz treść wniosku, według stanowiska Wnioskodawcy przychody uzyskiwane ze świadczonych usług, powinny być sklasyfikowane pod symbolem PKWiU 62.02.30.0 - Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego oraz PKWiU 85.59.B - Pozostałe pozaszkolne formy edukacji, gdzie indziej niesklasyfikowane, powinny być opodatkowane 8,5% stawką ryczałtu, określoną w art. 12 ust. 1 pkt 5 lit. a ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

Ocena stanowiska

Stanowisko, które przedstawił Pan we wniosku jest:

-prawidłowe w części dotyczącej zastosowania stawki ryczałtu w wysokości 8,5% dla usług sklasyfikowanych wg symbolu PKWiU w grupowaniu 85.59.1;

-nieprawidłowe w części dotyczącej zastosowania stawki ryczałtu w wysokości 8,5% dla usług sklasyfikowanych wg symbolu PKWiU w grupowaniu 62.02.

Uzasadnienie interpretacji indywidualnej

Stosownie do art. 1 pkt 1 ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne (t. j. Dz. U. Z 2024 r. poz. 776):

Ustawa reguluje opodatkowanie zryczałtowanym podatkiem dochodowym niektórych przychodów (dochodów) osiąganych przez osoby fizyczne prowadzące pozarolniczą działalność gospodarczą.

Przy czym w myśl art. 4 ust. 1 pkt 12 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Pozarolnicza działalność gospodarcza oznacza pozarolniczą działalność gospodarczą w rozumieniu ustawy o podatku dochodowym.

Stosownie do treści art. 5a pkt 6 ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych (t. j. Dz. U. z 2024 r., poz. 226 ze zm.):

Ilekroć w ustawie jest mowa o działalności gospodarczej albo pozarolniczej działalności gospodarczej – oznacza to działalność zarobkową:

a)wytwórczą, budowlaną, handlową, usługową,

b)polegającą na poszukiwaniu, rozpoznawaniu i wydobywaniu kopalin ze złóż,

c)polegającą na wykorzystywaniu rzeczy oraz wartości niematerialnych i prawnych

– prowadzoną we własnym imieniu bez względu na jej rezultat, w sposób zorganizowany i ciągły, z której uzyskane przychody nie są zaliczane do innych przychodów ze źródeł wymienionych w art. 10 ust. 1 pkt 1, 2 i 4-9.

Z kolei, zgodnie z treścią art. 5b ust. 1 tej ustawy:

Za pozarolniczą działalność gospodarczą nie uznaje się czynności, jeżeli łącznie spełnione są następujące warunki:

1)odpowiedzialność wobec osób trzecich za rezultat tych czynności oraz ich wykonywanie, z wyłączeniem odpowiedzialności za popełnienie czynów niedozwolonych, ponosi zlecający wykonanie tych czynności;

2)są one wykonywane pod kierownictwem oraz w miejscu i czasie wyznaczonych przez zlecającego te czynności;

3)wykonujący te czynności nie ponosi ryzyka gospodarczego związanego z prowadzoną działalnością.

Stosownie do treści art. 6 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Opodatkowaniu ryczałtem od przychodów ewidencjonowanych podlegają przychody osób fizycznych lub przedsiębiorstw w spadku z pozarolniczej działalności gospodarczej, o których mowa w art. 7a ust. 4 lub art. 14 ustawy o podatku dochodowym, z zastrzeżeniem ust. 1e i 1f, w tym również gdy działalność ta jest prowadzona w formie spółki cywilnej osób fizycznych, spółki cywilnej osób fizycznych i przedsiębiorstwa w spadku lub spółki jawnej osób fizycznych, zwanych dalej „spółką”. Do przychodów przedsiębiorstwa w spadku nie stosuje się przepisu art. 12 ust. 10a.

Z art. 6 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, wynika, że:

Podatnicy opłacają w roku podatkowym ryczałt od przychodów ewidencjonowanych z działalności wymienionej w ust. 1, jeżeli:

1) w roku poprzedzającym rok podatkowy:

a)uzyskali przychody z tej działalności, prowadzonej wyłącznie samodzielnie, w wysokości nieprzekraczającej 2 000 000 euro, lub

b)uzyskali przychody wyłącznie z działalności prowadzonej w formie spółki, a suma przychodów wspólników spółki z tej działalności nie przekroczyła kwoty 2 000 000 euro.

2) rozpoczną wykonywanie działalności w roku podatkowym i nie korzystają z opodatkowania w formie karty podatkowej - bez względu na wysokość przychodów.

Ustawa o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne przewiduje również wyłączenia z tej formy opodatkowania, o czym stanowi art. 8 ustawy.

Zgodnie z ww. art. 8 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

1. Opodatkowania w formie ryczałtu od przychodów ewidencjonowanych, z zastrzeżeniem art. 6 ust. 1b, nie stosuje się do podatników:

1) opłacających podatek w formie karty podatkowej na zasadach określonych w rozdziale 3;

2) korzystających, na podstawie odrębnych przepisów, z okresowego zwolnienia od podatku dochodowego;

3) osiągających w całości lub w części przychody z tytułu:

a) prowadzenia aptek,

b) uchylona

c) działalności w zakresie kupna i sprzedaży wartości dewizowych,

d) – e) uchylona

f) działalności w zakresie handlu częściami i akcesoriami do pojazdów mechanicznych;

4) wytwarzających wyroby opodatkowane podatkiem akcyzowym, na podstawie odrębnych przepisów, z wyjątkiem wytwarzania energii elektrycznej z odnawialnych źródeł energii;

5) podejmujących wykonywanie działalności w roku podatkowym po zmianie działalności wykonywanej:

a) samodzielnie na działalność prowadzoną w formie spółki z małżonkiem,

b) w formie spółki z małżonkiem na działalność prowadzoną samodzielnie przez jednego lub każdego z małżonków,

c) samodzielnie przez małżonka na działalność prowadzoną samodzielnie przez drugiego małżonka

– jeżeli małżonek lub małżonkowie przed zmianą opłacali z tytułu prowadzenia tej działalności podatek dochodowy na ogólnych zasadach.

6) (uchylony)

2. Jeżeli podatnik prowadzący działalność samodzielnie lub w formie spółki, który wybrał opodatkowanie w formie ryczałtu od przychodów ewidencjonowanych, uzyska z tej działalności przychody ze sprzedaży towarów handlowych lub wyrobów lub ze świadczenia usług na rzecz byłego lub obecnego pracodawcy, odpowiadających czynnościom, które podatnik lub co najmniej jeden ze wspólników:

1) wykonywał w roku poprzedzającym rok podatkowy lub

2) wykonywał lub wykonuje w roku podatkowym

– w ramach stosunku pracy lub spółdzielczego stosunku pracy, podatnik ten traci w roku podatkowym prawo do opodatkowania w formie ryczałtu od przychodów ewidencjonowanych i, poczynając od dnia uzyskania tego przychodu do końca roku podatkowego, opłaca podatek dochodowy na ogólnych zasadach.

3. Jeżeli podatnik w roku poprzedzającym rok podatkowy nie uzyskał przychodu z działalności, o której mowa w ust. 1 pkt 3 i 4, traci w roku podatkowym prawo do opodatkowania w formie ryczałtu od przychodów ewidencjonowanych z dniem uzyskania przychodów z tych rodzajów działalności i od tego dnia opłaca podatek dochodowy na ogólnych zasadach.

4. – 7. (uchylony).

Jednocześnie należy wskazać, że warunkiem skorzystania ze zryczałtowanej formy opodatkowania jest złożenie oświadczenia o wyborze opodatkowania w formie ryczałtu od przychodów ewidencjonowanych.

Zgodnie z art. 9 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Sporządzone na piśmie oświadczenie o wyborze opodatkowania przychodów z pozarolniczej działalności gospodarczej w formie ryczałtu od przychodów ewidencjonowanych na dany rok podatkowy podatnik składa naczelnikowi urzędu skarbowego właściwemu według miejsca zamieszkania podatnika, a w przypadku przedsiębiorstwa w spadku - według ostatniego miejsca zamieszkania zmarłego przedsiębiorcy, do 20. dnia miesiąca następującego po miesiącu, w którym osiągnął pierwszy przychód z tego tytułu w roku podatkowym, albo do końca roku podatkowego, jeżeli pierwszy taki przychód osiągnął w grudniu roku podatkowego.

Stosownie do art. 4 ust. 1 pkt 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Działalność usługowa to pozarolnicza działalność gospodarcza, której przedmiotem są czynności zaliczone do usług zgodnie z Polską Klasyfikacją Wyrobów i Usług (PKWiU) wprowadzoną rozporządzeniem Rady Ministrów z dnia 4 września 2015 r. w sprawie Polskiej Klasyfikacji Wyrobów i Usług (PKWiU) (Dz. U. poz. 1676, z 2017 r. poz. 2453, z 2018 r. poz. 2440, z 2019 r. poz. 2554 oraz z 2020 r. poz. 556), z zastrzeżeniem pkt 2 i 3.

Zgodnie z art. 4 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Ilekroć w ustawie używa się oznaczenia „ex” przy symbolu danego grupowania PKWiU, oznacza to, że zakres wyrobów lub usług jest węższy niż określony w tym grupowaniu.

Oznaczenie „ex” dotyczy zatem tylko określonej usługi z danego grupowania. Umieszczenie tego dopisku przy konkretnym symbolu statystycznym ma na celu zawężenie stosowania przepisu tylko do tej nazwy grupowania.

Zwracam również uwagę, że możliwość opłacania oraz wysokość stawki ryczałtu od przychodów ewidencjonowanych uzyskanych w związku z prowadzoną działalnością gospodarczą zależy wyłącznie od faktycznego rodzaju świadczonych w ramach tej działalności usług. Zatem konieczne jest każdorazowe przypisanie rodzaju wykonywanych czynności do określonego grupowania PKWiU. Przy czym kwalifikacji tej dokonuje sam Podatnik. Kwestii tej nie regulują przepisy prawa podatkowego, a tylko te przepisy, zgodnie z art. 14b § 1 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (Dz. U. z 2023 r. poz. 2383 ze zm.), mogą być przedmiotem interpretacji indywidualnej.

Wysokość stawek ryczałtu od przychodów ewidencjonowanych została przez ustawodawcę ustalona w art. 12 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

Stosownie do art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Ryczałt od przychodów ewidencjonowanych wynosi 12% przychodów ze świadczenia usług związanych z doradztwem w zakresie sprzętu komputerowego (PKWiU 62.02.10.0), związanych z oprogramowaniem (PKWiU ex 62.01.1), objętych grupowaniem „Oryginały oprogramowania komputerowego” (PKWiU 62.01.2), związanych z doradztwem w zakresie oprogramowania (PKWiU ex 62.02), w zakresie instalowania oprogramowania (PKWiU ex 62.09.20.0), związanych z zarządzaniem siecią i systemami informatycznymi (PKWiU 62.03.1).

Natomiast, zgodnie z art. 12 ust. 1 pkt 5 lit. a ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Ryczałt od przychodów ewidencjonowanych wynosi 8,5% przychodów z działalności usługowej, w tym przychodów z działalności gastronomicznej w zakresie sprzedaży napojów o zawartości alkoholu powyżej 1,5%, z zastrzeżeniem pkt 1-4 oraz 6-8.

Stosownie do art. 12 ust. 1 pkt 5 lit. c ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Ryczałt od przychodów ewidencjonowanych wynosi 8,5% przychodów ze świadczenia usług w zakresie edukacji (PKWiU dział 85).

Podkreślić również należy, że w myśl art. 12 ust. 3 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Jeżeli podatnik obowiązany do prowadzenia ewidencji przychodów prowadzi działalność, z której przychody są opodatkowane różnymi stawkami określonymi w ust. 1, ryczałt od przychodów ewidencjonowanych ustala się według stawki właściwej dla przychodów z każdego rodzaju działalności, pod warunkiem, że ewidencja przychodów jest prowadzona w sposób umożliwiający określenie przychodów z każdego rodzaju działalności. W przypadku gdy podatnik, o którym mowa w zdaniu poprzednim, nie prowadzi ewidencji w sposób zapewniający ustalenie przychodów dla każdego rodzaju działalności, ryczałt od przychodów ewidencjonowanych wynosi 8,5% przychodów, z tym że w przypadku osiągania również przychodów, o których mowa w:

1) ust. 1 pkt 1, ryczałt wynosi 17%;

2) ust. 1 pkt 2, ryczałt wynosi 15%;

2a) ust. 1 pkt 2a, ryczałt wynosi 14%;

2b) ust. 1 pkt 2b, ryczałt wynosi 12%;

3) ust. 1 pkt 3, ryczałt wynosi 10%;

4) ust. 1 pkt 4, ryczałt wynosi 12,5%.

Zatem, w sytuacji prowadzenia działalności gospodarczej opodatkowanej zryczałtowanym podatkiem dochodowym wg różnych stawek, ryczałt od przychodów ewidencjonowanych na podstawie prowadzonej ewidencji przychodów ustala się według stawki właściwej dla przychodów z każdego rodzaju działalności, pod warunkiem że ewidencja przychodów jest prowadzona w sposób umożliwiający określenie przychodów z każdego rodzaju działalności.

Z informacji przedstawionych we wniosku i jego uzupełnieniu wynika, że prowadzi Pan jednoosobową działalność gospodarczą pod nazwą (…) do CEIDG od dn. (…) 2022 r. w przedmiocie m.in. organizacji szkoleń z zakresu cyberbezpieczeństwa oraz bezpieczeństwa informacji dla pracowników i/lub podwykonawców usługobiorcy przez ocenę ich przydatności dla pracowników i podwykonawców, poziomu merytorycznego szkolenia oraz ewentualną korektę ich zakresu. Efektem jest prowadzenie szkoleń z osobami technicznymi z zakresu cyberbezpieczeństwa monitorowania systemów bezpieczeństwa, obsługi incydentów, najlepszych praktyk z zakresu bezpieczeństwa informatycznego.

W piśmie z dnia (…) 2023 r. o sygn. akt (…) Ośrodek Klasyfikacji i Nomenklatur Urzędu Statystycznego wskazał, że zgodnie z zasadami metodycznymi Polskiej Klasyfikacji Wyrobów i Usług (PKWiU) wprowadzonej rozporządzeniem Rady Ministrów z dnia 4 września 2015 r. (Dz. U. z 2015 r., poz. 1676 z późn. zm.) – prowadzenie szkoleń z zakresu cyberbezpieczeństwa – zostało przyporządkowane do PKWiU 85.59.1 – Usługi w zakresie pozostałych pozaszkolnych form edukacji, gdzie indziej niesklasyfikowane.

Ponadto jak wynika z przedstawionego opisu sprawy oraz jego uzupełnienia złożył Pan we właściwym terminie oświadczenie o wyborze ryczałtu od przychodów ewidencjonowanych jako formy opodatkowania działalności gospodarczej. Nie mają zastosowania wobec Pana wyłączenia zawarte w art. 8 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne. Spełnia Pan wszystkie warunki zawarte w art. 6 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne. Prowadzi Pan również stosowną ewidencję, służącą identyfikacji rodzajów przychodów dla celu przypisania do nich odpowiedniej stawki podatku.

Na podstawie powołanych wyżej przepisów oraz opisu sprawy stwierdzić należy, że przychody uzyskiwane w ramach pozarolniczej działalności gospodarczej ze świadczonych przez Pana usług szkoleniowych z zakresu cyberbezpieczeństwa, sklasyfikowanych według PKWiU pod symbolem 85.59.1 – „Usługi w zakresie pozostałych pozaszkolnych form edukacji, gdzie indziej niesklasyfikowane” – kwalifikują się do opodatkowania w formie ryczałtu od przychodów ewidencjonowanych stawką podatku w wysokości 8,5%, określoną w art. 12 ust. 1 pkt 5 lit. c ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

Odnosząc się natomiast do pozostałych wykonywanych przez Pana usług, dla których w ww. piśmie Ośrodka Klasyfikacji i Nomenklatur Urzędu Statystycznego wskazano grupowanie PKWiU 62.02 zauważam, że dział 62 PKWiU – Usługi związane z oprogramowaniem i doradztwem w zakresie informatyki i usługi powiązane – obejmuje:

-dostarczanie ekspertyz w zakresie technologii informatycznych,

-pisanie, modyfikowanie, badanie i wspomaganie oprogramowania,

-planowanie i projektowanie systemów komputerowych, które łączą sprzęt komputerowy, oprogramowanie i sprzęt komunikacyjny,

-zarządzanie i obsługa systemów komputerowych i/lub urządzeń przetwarzania danych należących do klienta w miejscu ich zainstalowania,

-pozostałe profesjonalne i techniczne usługi związane z informatyką.

Natomiast klasa PKWiU 62.02 – Usługi związane z doradztwem w zakresie informatyki obejmuje następujące grupowania PKWiU:

1)62.02.10.0 – Usługi związane z doradztwem w zakresie sprzętu komputerowego,

2)62.02.20.0 – Usługi związane z doradztwem w zakresie oprogramowania komputerowego,

3)62.02.30.0 – Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego.

Zauważam, że grupowanie PKWiU 62.02.10.0 „Usługi związane z doradztwem w zakresie sprzętu komputerowego” obejmuje:

-usługi związane z doradztwem lub opiniowaniem przez specjalistę technologii informatycznych dotyczące sprzętu komputerowego, takie jak: doradztwo w sprawach dotyczących wymagań odnośnie sprzętu komputerowego i zaopatrzenia w sprzęt komputerowy,

-usługi w zakresie dostarczania certyfikatów dotyczących sprzętu komputerowego,

-usługi łączące ocenę potrzeb związanych z systemem komputerowym, doradzanie w zakresie zakupu oprogramowania i sprzętu komputerowego oraz umieszczenia nowego systemu na miejscu,

-usługi w zakresie integracji systemów komputerowych, tj. analiza aktualnego systemu komputerowego klienta, obecne i przyszłe wymagania odnośnie zakupu nowego sprzętu i oprogramowania oraz integracja nowych i starych elementów systemu w celu stworzenia nowego zintegrowanego systemu.

Grupowanie PKWiU 62.02.20.0 „Usługi związane z doradztwem w zakresie oprogramowania komputerowego” obejmuje:

-usługi związane z doradztwem lub opiniowaniem przez ekspertów spraw w zakresie systemów informatycznych i oprogramowania, takie jak:

−doradztwo dotyczące oprogramowania w zakresie wymagań i zaopatrzenia,

−systemy zabezpieczające.

Natomiast grupowanie 62.02.30.0 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego” obejmuje: usługi pomocy technicznej mające na celu rozwiązanie problemów klienta w zakresie technologii informatycznych i sprzętu komputerowego, takie jak:

-udzielanie pomocy klientowi w uruchamianiu i usuwaniu usterek w oprogramowaniu,

-usługi zastępowania nowszą wersją oprogramowania,

-udzielanie pomocy klientowi w użytkowaniu i usuwaniu usterek sprzętu komputerowego, włączając testowanie podstawowego oprogramowania oraz naprawę sprzętu informatycznego,

-udzielanie pomocy technicznej w przenoszeniu systemu komputerowego klienta na nowe miejsce,

-udzielanie pomocy klientowi w użytkowaniu i usuwaniu usterek dla kombinacji sprzęt komputerowy i oprogramowanie,

-udzielanie pomocy technicznej w celu rozwiązania problemów klienta związanych z użytkowaniem systemu komputerowego, tj. usługi w zakresie kontroli lub oceny działania komputera, włączając usługi w zakresie kontroli, oceny i dokumentowania serwera, sieci lub technologii dla elementów, wydajności lub bezpieczeństwa.

Jak wynika z wcześniej cytowanych przepisów ustawodawca określił stawkę ryczałtu w wysokości 12% m.in. dla usług objętych klasą 62.02, ale wyłącznie tych, które są związane z doradztwem w zakresie oprogramowania. Przy czym przepis ten nie odwołuje się ani do bezpośredniego, ani pośredniego związku z doradztwem w zakresie oprogramowania. W tej regulacji nie ma też mowy o usługach związanych z doradztwem w zakresie programowania (doradztwem w zakresie tworzenia czy dodawania nowych kodów źródłowych programów komputerowych), a związanych z doradztwem w zakresie oprogramowania.

Zgodnie bowiem z wykładnią literalną słowo „związany z” oznacza „dotyczy czegoś, mający związek z czymś lub kimś”. Tym samym usługi związane z doradztwem w zakresie oprogramowania to usługi, które dotyczą doradztwa w zakresie oprogramowania, przy czym sformułowanie „doradztwo w zakresie oprogramowania” ma tu znaczenie szersze niż „doradztwo w zakresie programowania”.

W tym miejscu wskazać należy, że ustawa o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, nie zawiera definicji oprogramowania. W tym celu – mając na względzie, że ustawa dla ustalenia prawidłowej stawki podatku, odsyła do właściwej klasyfikacji statystycznej – należy posłużyć się definicją Oprogramowania zawartą w zeszycie metodologicznym Głównego Urzędu Statystycznego „Zeszyt metodologiczny. Wskaźnik społeczeństwa informacyjnego. Badania wykorzystania technologii informacyjno-komunikacyjnych”. Zgodnie z zawartą tam definicją Oprogramowanie (Software) to – całość instrukcji i procedur (programów) oraz powiązanych z nimi danych umożliwiających komputerom i innym programowalnym urządzeniom wykonywanie określonych funkcji. Oprogramowanie jest często rozumiane jako synonim terminu program komputerowy, chociaż ma nieco szersze znaczenie – obejmuje także programy wykorzystywane przez inne urządzenia. Do oprogramowania zalicza się systemy operacyjne, programy użytkowe (aplikacje), programy do tworzenia programów, programy sterujące działaniem różnych urządzeń (od telewizorów i innego sprzętu elektronicznego, kalkulatorów, przez telefony komórkowe, do podzespołów komputerowych np. nagrywarek DVD) – tzw. firmware, a także różnego rodzaju programy wykorzystywane przez urządzenia i systemy sieciowe, telekomunikacyjne itp.

Z kolei doradzać to udzielać porady, wskazywać sposób postępowania w jakiejś sprawie.

Analiza powołanych przepisów prawa, jak również wyjaśnień Głównego Urzędu Statystycznego do PKWiU 2015, w kontekście przedstawionego przez Pana opisu sprawy, w szczególności zakresu świadczonych usług, prowadzi do stwierdzenia, że świadczone przez Pana usługi, będące przedmiotem zapytania, mieszczące się w klasie PKWiU 62.02 mają związek z doradztwem w zakresie oprogramowania. Prowadzi Pan bowiem działalność w przedmiocie:

-Koordynacji procesów i działań podejmowanych w celu zapewnienia bezpieczeństwa w systemie klienta, która polega na: nadzorowaniu kluczowych mechanizmów bezpieczeństwa klienta, oraz zapewnienie bezpieczeństwa środków powierzonych usługobiorcy przez jego klientów. Ustalanie i weryfikowanie procedur bezpieczeństwa. Działania te mają uchronić klientów usługobiorcy przed stratami finansowymi lub utratą poufności, integralności, czy dostępności danych firmy. Efektem wykonywania tej usługi jest wskazywanie wykrytych nieprawidłowości w pracy pracowników lub podwykonawców, które mogą skutkować powstaniem ryzyka utraty pieniędzy klientów przez usługobiorcę lub utratą poufności, integralności czy dostępności danych klientów przez usługobiorcę;

-Wdrażania procedur postępowania, w celu wykrycia potencjalnego ataku oraz odpowiedzi na niego w systemach usługobiorcy. Efektem tego są procedury i rekomendacje dla technologii informatycznych. Pomoc przy incydentach związanych z bezpieczeństwem, od wykrycia do zamknięcia, komunikowanie się i współpraca z interesariuszami, w zakresie naruszeń danych. Gromadzenie, analizowanie i utrzymanie danych o nielegalnych działaniach w celu wsparcia działań dochodzeniowych, eliminacji ryzyka i działań łagodzących. Opracowanie kompleksowych raportów z incydentów i podsumowanie dochodzeń. Analizowanie wyciągniętych wniosków z zespołem reagowania na incydenty i zaproponowanie ulepszenia procedur środków kontroli bezpieczeństwa. Wskazywanie właściwego postępowania w danej sytuacji z punktu widzenia dobrych praktyk w zakresie bezpieczeństwa;

-Analizowania procedur bezpieczeństwa klienta w celu znalezienia ewentualnych problemów lub słabych punktów, które mogą prowadzić do utraty środków klientów usługobiorcy lub utraty poufności, integralności, czy dostępności do danych przetwarzanych przez systemy informatyczne klienta. W przypadku znalezienia tego typu potencjalnych podatności w procedurach klienta, przygotowanie rekomendowanych zmian, które mitygują znalezione ryzyka wraz z przygotowaniem odpowiedniej dokumentacji zgodnej z przyjętymi w organizacji klienta wzorami;

-Analizowania wykrytych incydentów bezpieczeństwa w organizacji klienta, przez analizę logów z systemów informatycznych klienta, rozmowy z pracownikami lub podwykonawcami usługobiorcy, którzy brali udział w incydencie lub jego obsłudze, pracownikami lub podwykonawcami odpowiedzialnymi za dostarczanie i utrzymanie systemów informatycznych klienta, w których doszło do incydentu. Celem analizy jest ustalenie zakresu incydentu, strat spowodowanych przez incydent, przekazanie rekomendowanych działań mogących ograniczyć skutki incydentu jeśli w chwili analizy nadal występuje ryzyko ponownego wystąpienia incydentu oraz w końcowej fazie sporządzenie rekomendowanych zmian w działaniach podejmowanych przez klienta w celu zabezpieczenia swoich systemów informatycznych przed powstaniem kolejnych incydentów;

-Współpracy z pracownikami oraz podwykonawcami klienta przy wdrażaniu przez nich zmian w systemach klienta, które mają zwiększyć odporność cyfrową usługobiorcy w celu oceny ich wydajności i efektywności, wykrycia potencjalnych ryzyk mogących płynąć z wdrażanych zmian, opracowywania ewentualnych sposobów mityzacji powstałych ryzyk lub przygotowania usługobiorcy opisu ryzyka oraz jego potencjalnych skutków w celu akceptacji takiego ryzyka przez wyznaczony do tego organ w organizacji klienta;

-Oceny ryzyka związanego z zarządzeniem przez usługobiorcę dostępami do jego systemów informatycznych, w tym odbieranie dostępów, zmniejszanie uprawnień lub nadawania dostępów zgodnie z wytycznymi klienta w celu utrzymania odpowiedniego poziomu bezpieczeństwa. Wykonywanie zadań związanych z bezpieczeństwem informacji oraz cyberbezpieczeństem systemów klienta, w szczególności poprzez monitorowanie i analizowanie podejrzanych wiadomości e-mail, prowadzenie szkoleń z zakresu cyberbezpieczeństwa oraz koordynacja zewnętrznych szkoleń z zakresu cyberbezpieczeństwa polega na: analizie wiadomości mailowych zgłoszonych przez systemy usługobiorcy, jego pracowników lub podwykonawców jako wiadomości zawierające niebezpieczne załączniki lub linki prowadzące do stron zawierających potencjalnie niebezpieczną treść. Efektem tego działania jest ocena zgłoszonych wiadomości i w razie wykrycia niebezpiecznych treści zablokowanie ich na poziomie serwera pocztowego usługobiorcy oraz zaraportowanie ich.

Usługi świadczone przez Pana, które zostały sklasyfikowane pod kodem PKWiU 62.02 to m.in.: