Interpretacja indywidualna z dnia 17 września 2024 r., Dyrektor Krajowej Informacji Skarbowej, sygn. 0112-KDSL1-2.4011.398.2.2024.PSZ
Temat interpretacji
Zryczałtowany podatek dochodowy od przychodów osiąganych z działalności obejmującej usługi w zakresie cyberbezpieczeństwa.
Interpretacja indywidualna – stanowisko prawidłowe
Szanowny Panie,
stwierdzam, że Pana stanowisko w sprawie oceny skutków podatkowych opisanego zdarzenia przyszłego w zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne jest prawidłowe.
Zakres wniosku o wydanie interpretacji indywidualnej
15 lipca 2024 r. wpłynął Pana wniosek z 11 lipca 2024 r. o wydanie interpretacji indywidualnej, który dotyczy zryczałtowanego podatku dochodowego od niektórych przychodów osiąganych przez osoby fizyczne. Uzupełnił go Pan – w odpowiedzi na wezwanie – pismem z 8 sierpnia 2024 r. (wpływ 12 sierpnia 2024 r.). Treść wniosku jest następująca:
Opis zdarzenia przyszłego
Wnioskodawca prowadzi jednoosobową działalność gospodarczą od 2 grudnia 2019 r. pod firmą (…) z siedzibą w (…). Działalność jest prowadzona pod numerem NIP: (…) i numerem REGON: (…) oraz pod kodem PKD: 70.22.Z, 70.22.Z, 62.02.Z, 74.90.Z, 93.19.Z. W ramach prowadzonej działalności gospodarczej Wnioskodawca planuje świadczyć usługi na rzecz kontrahentów jako Specjalista ds. Cyberbezpieczeństwa.
Wnioskodawca posiada stałe miejsce zamieszkania i ośrodek interesów życiowych na terenie Rzeczypospolitej Polskiej. Wnioskodawca ma nieograniczony obowiązek podatkowy w Polsce w rozumieniu art. 3 ust. 1 oraz ust. 1a ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych (ustawa z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych (t. j. Dz. U. z 2024 r. poz. 226 ze zm., dalej: ustawa o PIT)). Wnioskodawca jest czynnym podatnikiem w rozumieniu ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług (t. j. Dz. U. z 2024 r. poz. 361).
Planowana do prowadzenia przez Wnioskodawcę działalność jest działalnością usługową – pozarolniczą działalnością gospodarczą, której przedmiotem są czynności zaliczone do usług zgodnie z Polską Klasyfikacją Wyrobów i Usług (PKWiU) wprowadzoną rozporządzeniem Rady Ministrów z 4 września 2015 r. w sprawie Polskiej Klasyfikacji Wyrobów i Usług (PKWiU) (Dz. U. poz. 1676 ze zm.).
W roku obecnym, jako formę opodatkowania Wnioskodawca wybrał formę opodatkowania w postaci ryczałtu od przychodów ewidencjonowanych ze stawką ryczałtu w wysokości 8,5 %, z uwagi na fakt, iż obecnie świadczy usługi z zakresu zarządzania projektami, jako Project Menager. W związku z powyższym Wnioskodawca przedłożył naczelnikowi urzędu skarbowego właściwemu według miejsca zamieszkania, sporządzone na piśmie oświadczenie o wyborze opodatkowania przychodów z pozarolniczej działalności gospodarczej w formie ryczałtu od przychodów ewidencjonowanych.
W ramach prowadzonej przez siebie działalności gospodarczej Wnioskodawca planuje świadczyć usługi w zakresie cyberbezpieczeństwa obejmujące w szczególności:
·koordynację i ocenę działań reagowania na incydenty cyberbezpieczeństwa i ich skuteczność;
·prowadzenie poważnych incydentów związanych z bezpieczeństwem, od wykrycia do zamknięcia, komunikowanie się i współpracę z interesariuszami;
·współpracę z odpowiednimi komórkami w celu gromadzenia, analizowania i utrzymania danych o nielegalnych działaniach w celu wsparcia działań dochodzeniowych, eliminacji ryzyka i działań łagodzących;
·analizowanie wyciągniętych wniosków z zespołem reagowania na incydenty i zaproponowanie ulepszenia procedur środków kontroli bezpieczeństwa;
·opracowanie, dopracowanie i usprawnienie podręcznika reakcji na incydenty;
·opracowywanie, utrzymywanie i aktualizowanie struktury zarządzania incydentami cyberbezpieczeństwa w organizacji kontrahenta;
·wydawanie rekomendacji w zakresie powzięcia środków technicznych w celu zabezpieczenia systemów informatycznych;
·aktywne wspieranie wiedzą oraz pomocą przy rozwiązywaniu problemów świadczone dla pracowników oraz kontrahentów klienta implementujących środki bezpieczeństwa służące zwiększeniu poziomu bezpieczeństwa infrastruktury teleinformatycznej;
·przegląd i analizę dokumentów systemów teleinformatycznych pod kątem funkcjonalnym i bezpieczeństwa teleinformatycznego;
·komunikowanie się i współpracę z inżynierami zaangażowanymi w wykryte incydenty bezpieczeństwa;
·gromadzenie i analizę danych wspierających działania dochodzeniowe pozwalające eliminować lub ograniczać ryzyko ataków cybernetycznych;
·weryfikowanie czy zastosowane środki bezpieczeństwa poprawnie wykrywają ataki cybernetyczne.
Przy czym usługi planowane do świadczone przez Wykonawcę nie będą związane z doradztwem w zakresie oprogramowania. Usługi te nie będą również związane z doradztwem w zakresie doboru i konfiguracji oprogramowania.
Urząd (…) w skierowanym do Wnioskodawcy piśmie z 28 marca 2024 r. o znaku (…) wskazał, że wymienione powyżej usługi mieszczą się w grupowaniu: PKWiU 62.02.30.0 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego”.
Nadto Wnioskodawca wskazuje, iż nie będzie świadczył i nie świadczy usług opisanych we wniosku na rzecz podmiotu, który był lub jest jego pracodawcą, zaś zakładana wysokość przychodów z pozarolniczej działalności gospodarczej nie przekracza i nie przekroczy kwoty 2 000 000 EURO.
W piśmie z 8 sierpnia 2024 r., stanowiącym uzupełnienie wniosku, udzielił Pan następujących odpowiedzi na zadane pytania:
1.Przychodów za jaki rok podatkowy/lata podatkowe dotyczy Pana wniosek?
Odpowiedź: Wniosek dotyczy potencjalnych przychodów za lata przyszłe, najprawdopodobniej za rok 2025. Obecnie nie świadczy Pan usług.
2.Kiedy (dd-mm-rrrr) osiągnie Pan pierwszy przychód z tytułu działalności, o której mowa we wniosku i którą zamierza Pan opodatkować zryczałtowaną stawką podatku?
Odpowiedź: Z uwagi na fakt, iż obecnie nie świadczy Pan usług wskazanych we wniosku nie jest Pan w stanie wskazać dokładnej daty dziennej osiągnięcia przychodu z tytułu działalności, o której mowa we wniosku.
3.Kiedy (dd-mm-rrrr) złożył Pan Naczelnikowi Urzędu Skarbowego oświadczenie o wyborze formy opodatkowania zryczałtowanym podatkiem dochodowym od niektórych przychodów osiąganych przez osoby fizyczne?
Odpowiedź: Pierwsze oświadczenie o wyborze formy opodatkowania zostało złożone Naczelnikowi Urzędu Skarbowego w (…) 2 grudnia 2019 r., tj. w dniu złożenia wniosku o uzyskanie wpisu w Centralnej Ewidencji i Informacji o Działalności Gospodarczej w pkt 15 dotyczy formy opodatkowania, gdzie wskazano opodatkowanie w postaci podatku liniowego. Oświadczenie o wyborze formy opodatkowania zryczałtowanym podatkiem dochodowym od niektórych przychodów osiąganych przez osoby fizyczne zostało złożone w styczniu 2024 r. w związku ze zmianą zakresu świadczonych usług.
4.Czy prowadzona przez Pana działalność będzie działalnością usługową w myśl art. 4 ust. 1 pkt 1 ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne (t. j. Dz. U. z 2024 r. poz. 776)?
Odpowiedź: Planowana do prowadzenia przez Pana działalność jest działalnością usługową – pozarolniczą działalnością gospodarczą, której przedmiotem są czynności zaliczone do usług zgodnie z Polską Klasyfikacją Wyrobów i Usług (PKWiU) wprowadzoną rozporządzeniem Rady Ministrów z 4 września 2015 r. w sprawie Polskiej Klasyfikacji Wyrobów i Usług (PKWiU) (Dz. U. poz. 1676 ze zm.).
Powyższe potwierdził Urząd Statystyczny (...) w skierowanym do Wnioskodawcy piśmie z 28 marca 2024 r. o znaku (...), gdzie wskazano, że wymienione we wniosku usługi mieszczą się w grupowaniu: PKWiU 62.02.30.0 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego”.
5.Czy w okresie, którego dotyczy wniosek (wskazanym w odpowiedzi na pkt 1 wezwania), w odniesieniu do prowadzonej przez Pana działalności gospodarczej będą miały zastosowanie wszystkie wyłączenia zawarte w art. 8 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne?
Odpowiedź: Wyłączenia zawarte w art. 8 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne nie mają zastosowania do wykonywanej przez Pana działalności gospodarczej. Szczególnie nie świadczy Pan usług na rzecz byłego lub obecnego pracodawcy, a także spełnia Pan pozostałe warunki opodatkowania zryczałtowanym podatkiem dochodowym od niektórych przychodów osiąganych przez osoby fizyczne. Nadto nie planuje Pan w przyszłości podejmować działalności mieszczącej się w wyłączeniach wskazanych w art. 8 ww. ustawy.
6.Jakie konkretnie usługi/czynności wykonuje Pan w ramach usług sklasyfikowanych pod symbolem PKWiU 62.02.30 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego”?
We wniosku wskazał Pan, że:
W ramach prowadzonej przez siebie działalności gospodarczej Wnioskodawca planuje świadczyć usługi w zakresie cyberbezpieczeństwa obejmujące w szczególności:
- koordynację i ocenę działań reagowania na incydenty cyberbezpieczeństwa i ich skuteczność;
- prowadzenie poważnych incydentów związanych z bezpieczeństwem, od wykrycia do zamknięcia, komunikowanie się i współpracę z interesariuszami;
- współpracę z odpowiednimi komórkami w celu gromadzenia, analizowania i utrzymania danych o nielegalnych działaniach w celu wsparcia działań dochodzeniowych, eliminacji ryzyka i działań łagodzących;
- analizowanie wyciągniętych wniosków z zespołem reagowania na incydenty i zaproponowanie ulepszenia procedur środków kontroli bezpieczeństwa;
- opracowanie, dopracowanie i usprawnienie podręcznika reakcji na incydenty;
- opracowywanie, utrzymywanie i aktualizowanie struktury zarządzania incydentami cyberbezpieczeństwa w organizacji kontrahenta;
- wydawanie rekomendacji w zakresie powzięcia środków technicznych w celu zabezpieczenia systemów informatycznych;
- aktywne wspieranie wiedzą oraz pomocą przy rozwiązywaniu problemów świadczone dla pracowników oraz kontrahentów klienta implementujących środki bezpieczeństwa służące zwiększeniu poziomu bezpieczeństwa infrastruktury teleinformatycznej;
- przegląd i analizę dokumentów systemów teleinformatycznych pod kątem funkcjonalnym i bezpieczeństwa teleinformatycznego;
- komunikowanie się i współpracę z inżynierami zaangażowanymi w wykryte incydenty bezpieczeństwa;
- gromadzenie i analizę danych wspierających działania dochodzeniowe pozwalające eliminować lub ograniczać ryzyko ataków cybernetycznych;
- weryfikowanie czy zastosowane środki bezpieczeństwa poprawnie wykrywają ataki cybernetyczne.
Proszę – w odniesieniu do każdej z ww. czynności szczegółowo opisać charakter tych czynności, tj. wskazać:
·na czym one polegają,
·czego dotyczą, jaki jest ich zakres,
·co jest ich efektem.
Proszę o oddzielną charakterystykę w odniesieniu do każdej z dwunastu ww. przez Pana czynności.
Odpowiedź: Poniżej enumeratywnie opisano i skonkretyzowano zakres czynności objętych wnioskiem, w tym poprzez wskazanie na czym polegają, czego dotyczą, jaki jest ich zakres oraz co jest ich efektem (w ww. kolejności), zgodnie z treścią wezwania.
Co istotne, katalog czynności będących przedmiotem wniosku, jest katalogiem kompletnym usług, które zamierza Pan świadczyć w ramach prowadzonej czynności gospodarczej wedle posiadanej przez Pana wiedzy i kompetencji, zależnie od przedmiotu umowy zakres usług może zawierać całość czynności poniżej opisanych lub tylko ich część.
1.Koordynacja i ocena działań reagowania na incydenty cyberbezpieczeństwa i ich skuteczność polega na zarządzaniu oraz analizowaniu działań podjętych w odpowiedzi na wykryte incydenty związane z bezpieczeństwem cyfrowym. Proces ten obejmuje:
1)Wykrywanie i identyfikacja incydentów poprzez ustalenie, że doszło do incydentu oraz określenie jego natury.
2)Analiza incydentu, polegająca na zrozumieniu zakresu i wpływu incydentu na systemy oraz dane organizacji.
3)Reagowanie, polegające na podejmowaniu natychmiastowych działań mających na celu zatrzymanie incydentu, ograniczenie jego skutków oraz zapobieganie dalszym szkodom.
4)Zarządzanie, w tym koordynowanie działań różnych zespołów i jednostek w celu zapewnienia spójnej i efektywnej reakcji.
5)Ocena skuteczności, m.in. poprzez analizowanie, czy podjęte działania były skuteczne, oraz identyfikowanie obszarów do poprawy.
Działanie to obejmuje szereg czynności, które są kluczowe dla ochrony infrastruktury IT i danych organizacji. Dotyczą one m.in.:
·Systemów IT (ochrona serwerów, sieci, baz danych, aplikacji i innych komponentów infrastruktury IT).
·Danych (zapewnienie bezpieczeństwa danych przed nieautoryzowanym dostępem, modyfikacją lub usunięciem).
·Zgodności z przepisami (spełnianie wymogów prawnych i regulacyjnych dotyczących ochrony danych i cyberbezpieczeństwa).
·Zarządzania ryzykiem (ocena ryzyka związanego z incydentami oraz opracowanie strategii minimalizowania tego ryzyka).
Zakres koordynacji i oceny działań reagowania na incydenty cyberbezpieczeństwa obejmuje:
1)Przygotowanie, w tym opracowanie planów reagowania na incydenty, ustanowienie procedur oraz szkolenie personelu.
2)Wykrywanie, w tym monitorowanie systemów w celu wczesnego wykrywania incydentów oraz szybkie ich identyfikowanie.
3)Reagowanie, w tym implementacja procedur reagowania na incydenty, w tym izolowanie zagrożonych systemów, zabezpieczanie dowodów i komunikacja z odpowiednimi zespołami.
4)Odzyskiwanie, w tym przywracanie normalnego działania systemów po incydencie oraz zapewnienie, że incydent nie spowodował długotrwałych szkód.
5)Przegląd, w tym analizowanie incydentu po jego zakończeniu, dokumentowanie działań oraz wyciąganie wniosków na przyszłość.
Efektami koordynacji i oceny działań reagowania na incydenty cyberbezpieczeństwa są:
1)Minimalizacja szkód (szybka i skuteczna reakcja na incydenty zmniejsza ich negatywny wpływ na organizację).
2)Poprawa zabezpieczeń (analiza incydentów pozwala na identyfikację słabych punktów i wprowadzenie odpowiednich usprawnień).
3)Zwiększenie świadomości (regularne przeglądy i szkolenia zwiększają świadomość personelu na temat zagrożeń i procedur bezpieczeństwa).
4)Zgodność z regulacjami (utrzymanie zgodności z przepisami prawnymi i regulacyjnymi poprzez dokumentowanie i raportowanie incydentów oraz działań podjętych w odpowiedzi na nie).
5)Budowanie zaufania (skuteczne zarządzanie incydentami buduje zaufanie klientów i partnerów biznesowych do organizacji, pokazując, że jest ona zdolna do ochrony swoich zasobów cyfrowych).
2.Prowadzenie poważnych incydentów związanych z bezpieczeństwem, od wykrycia do zamknięcia, komunikowanie się i współpracę z interesariuszami obejmuje zarządzanie całym cyklem życia incydentu – od jego wykrycia, przez analizę i reagowanie, aż po zamknięcie. Kluczowe elementy to:
1)Wykrycie, polegające na identyfikacji incydentu, który może mieć poważne konsekwencje dla organizacji.
2)Analiza, poprzez szczegółowe badanie przyczyn, przebiegu i skutków incydentu.
3)Reakcja, polegająca na natychmiastowym działaniu mających na celu ograniczenie wpływu incydentu.
4)Zamknięcie, poprzez dokumentowanie i wyciąganie wniosków z przeprowadzonej operacji.
Czynność ta dotyczy incydentów, które mogą mieć znaczący wpływ na operacje organizacji, reputację lub zgodność z przepisami. Incydenty te często obejmują:
·Ataki zewnętrzne (hakerzy, malware, ransomware).
·Ataki wewnętrzne (nieautoryzowany dostęp lub działania wewnętrznych pracowników).
·Utratę danych (naruszenia danych wrażliwych lub własności intelektualnej).
Zakres opisywanej czynności obejmuje:
1)Identyfikację, w tym wykrywanie potencjalnych incydentów.
2)Priorytetyzację, w tym określanie, które incydenty wymagają natychmiastowej uwagi.
3)Komunikację, w tym regularne informowanie interesariuszy o postępach i wynikach działań.
4)Dokumentację, w tym prowadzenie szczegółowej dokumentacji wszystkich działań i decyzji.
Efektami opisywanych działań są:
1)Redukcja szkód (skuteczna i szybka reakcja minimalizuje negatywny wpływ incydentów).
2)Poprawa procesów (wnioski z analizy pomagają ulepszać procedury bezpieczeństwa).
3)Zwiększone zaufanie (transparentna komunikacja z interesariuszami buduje zaufanie do organizacji).
3.Współpraca z odpowiednimi komórkami w celu gromadzenia, analizowania i utrzymania danych o nielegalnych działaniach w celu wsparcia działań dochodzeniowych, eliminacji ryzyka i działań łagodzących, gdzie współpraca obejmuje koordynację działań z różnymi komórkami organizacji, takimi jak zespoły IT, bezpieczeństwa, prawne i zarządzania ryzykiem, w celu:
1) Gromadzenia danych, poprzez zbieranie informacji o potencjalnie nielegalnych działaniach.
2) Analizy, w tym analizowania zgromadzonych danych w celu zidentyfikowania wzorców i źródeł zagrożeń.
3) Utrzymania, polegającego na zapewnieniu integralności i dostępności danych dla celów dochodzeniowych.
Czynności te odnoszą się stricte do incydentów, które mogą być związane z działaniami przestępczymi lub niezgodnymi z politykami organizacji, w tym:
·Oszuści (działania związane z oszustwami finansowymi).
·Kradzież danych (nieautoryzowany dostęp do informacji).
·Zachowania pracowników (naruszenia polityk bezpieczeństwa wewnętrznego).
Zakres obejmuje:
1)Identyfikację, w tym wykrywanie i śledzenie potencjalnie nielegalnych działań.
2)Analizę, w tym badanie zgromadzonych danych w celu wsparcia działań dochodzeniowych.
3)Koordynację, w tym współpracę z wewnętrznymi i zewnętrznymi interesariuszami, takimi jak organy ścigania.
Współpraca z odpowiednimi komórkami w celu gromadzenia, analizowania i utrzymania danych o nielegalnych działaniach w celu wsparcia działań dochodzeniowych, eliminacji ryzyka i działań łagodzących mających na celu:
1)Wsparcie działań dochodzeniowych (zebrane dane wspierają śledztwa wewnętrzne i zewnętrzne).
2)Eliminacja ryzyka (identyfikacja i usunięcie źródeł zagrożeń).
3)Usprawnienie procedur (poprawa procedur bezpieczeństwa na podstawie wyników analizy).
4.Analizowanie wyciągniętych wniosków z zespołem reagowania na incydenty i zaproponowanie ulepszenia procedur środków kontroli bezpieczeństwa obejmuje przegląd i ocenę działań podjętych w odpowiedzi na incydenty oraz sugerowanie usprawnień. Proces ten obejmuje:
1)Przegląd działań, poprzez analizę wszystkich kroków podjętych podczas incydentu.
2)Ocenę skuteczności, w tym sprawdzenie czy działania były skuteczne.
3)Rekomendacje, polegające na propozycji zmian i usprawnień w procedurach bezpieczeństwa.
Czynności te dotyczą wszystkich incydentów bezpieczeństwa, w tym:
·Ataki cybernetyczne (hacking, phishing, malware).
·Naruszenia danych (utrata lub kradzież danych).
·Awarie systemów (problemy techniczne wpływające na bezpieczeństwo).
Analizowanie wyciągniętych wniosków z zespołem reagowania na incydenty i zaproponowanie ulepszenia procedur środków kontroli bezpieczeństwa swym zakresem obejmuje:
1)Dokumentację, w tym zbieranie i analizowanie dokumentacji incydentu.
2)Spotkania zespołowe, w tym przeprowadzanie spotkań w celu omówienia wniosków.
3)Raportowanie, w tym przygotowywanie raportów z wnioskami i rekomendacjami.
Efektami opisywanych czynności są:
1)Ulepszone procedury (usprawnienie procesów bezpieczeństwa na podstawie wniosków z analizy).
2)Zmniejszenie ryzyka (redukcja możliwości powtórzenia się podobnych incydentów).
3)Zwiększenie świadomości (edukacja zespołów na temat skutecznych praktyk reagowania).
5.Opracowanie, dopracowanie i usprawnienie podręcznika reakcji na incydenty polega na tworzeniu i aktualizowaniu dokumentacji zawierającej procedury i wytyczne dotyczące zarządzania incydentami bezpieczeństwa. Obejmuje to:
1) Tworzenie, poprzez opracowanie nowych procedur i wytycznych.
2) Aktualizowanie, polegające na regularnej aktualizacji istniejących dokumentów w odpowiedzi na nowe zagrożenia i doświadczenia.
3) Usprawnianie, w tym wprowadzanie zmian mających na celu poprawę skuteczności działań.
Działania te dotyczą wszystkich aspektów zarządzania incydentami bezpieczeństwa, w tym:
·Wykrywania (procedury wczesnego wykrywania incydentów).
·Reagowania (kroki do podjęcia natychmiast po wykryciu incydentu).
·Odzyskiwania (procesy przywracania normalnej działalności po incydencie).
Opracowanie, dopracowanie i usprawnienie podręcznika reakcji na incydenty swym zakresem obejmuje:
1)Zasady ogólne, w tym wytyczne dotyczące ogólnych zasad zarządzania incydentami.
2)Procedury szczegółowe, w tym manuale konkretnych kroków do podjęcia w różnych scenariuszach incydentów.
3)Role i odpowiedzialności, w tym określenie, kto jest odpowiedzialny za poszczególne działania.
Efektami opisywanych wyżej czynności są:
1)Skuteczna reakcja (usprawnione procedury zwiększają skuteczność reakcji na incydenty).
2)Jednolitość działań (wszyscy członkowie zespołu działają według spójnych wytycznych).
3)Zwiększone bezpieczeństwo (poprawa ogólnego poziomu bezpieczeństwa organizacji).
6.Opracowywanie, utrzymywanie i aktualizowanie struktury zarządzania incydentami cyberbezpieczeństwa w organizacji kontrahenta obejmuje tworzenie i bieżącą obsługę systemu i procesów zarządzania incydentami w organizacji kontrahenta. Składa się z:
1)Opracowywania struktury, poprzez tworzenie podstawowych ram i procedur.
2)Utrzymywania, poprzez monitorowanie i regularną aktualizację tych ram.
3)Aktualizowania, polegającego na wprowadzaniu zmian w odpowiedzi na nowe zagrożenia i technologie.
Działanie te dotyczą zarządzania wszystkimi incydentami bezpieczeństwa w organizacji kontrahenta, w tym:
•Wykrywania (mechanizmy monitorowania zagrożeń).
•Reagowania (procedury reakcji na incydenty).
•Przywracania (procesy odzyskiwania po incydencie).
Opracowywanie, utrzymywanie i aktualizowanie struktury zarządzania incydentami cyberbezpieczeństwa w organizacji kontrahenta w swym zakresie obejmuje:
1)Ramowe struktury, w tym podstawowe zasady i wytyczne zarządzania incydentami.
2)Procesy operacyjne, w tym szczegółowe procedury działania.
3)Komunikację, w tym mechanizmy informowania i raportowania.
Efektami owych działań są:
1)Lepsza koordynacja (skuteczne zarządzanie incydentami dzięki spójnej strukturze).
2)Szybsza reakcja (zdefiniowane procedury przyspieszają reakcję na incydenty).
3)Zwiększone bezpieczeństwo (spójna struktura zwiększa ogólny poziom bezpieczeństwa).
7.Wydawanie rekomendacji w zakresie powzięcia środków technicznych w celu zabezpieczenia systemów informatycznych obejmuje analizę obecnych środków bezpieczeństwa i sugerowanie nowych technologii i procedur, które mogą zwiększyć poziom ochrony systemów informatycznych. Obejmuje to:
1) Ocenę obecnego stanu, poprzez analizę aktualnych zabezpieczeń.
2) Identyfikację luk polegającą na wykrywaniu potencjalnych słabości i zagrożeń.
3) Rekomendacje, poprzez proponowanie odpowiednich środków technicznych.
Dotyczy wszelkich aspektów technicznych zabezpieczeń systemów informatycznych, w tym:
·Oprogramowania (antywirusy, firewalle, systemy wykrywania intruzów).
·Sprzętu (urządzenia zabezpieczające, takie jak serwery proxy).
·Procedur (polityki i procedury dotyczące bezpieczeństwa IT).
Wydawanie rekomendacji w zakresie powzięcia środków technicznych w celu zabezpieczenia systemów informatycznych swym zakresem obejmuje:
1)Audyt bezpieczeństwa, w tym przeprowadzenie szczegółowych audytów systemów.
2)Analizę ryzyka, w tym ocena ryzyka i potencjalnych zagrożeń.
3)Rekomendacje techniczne, w tym proponowanie technologii i środków zabezpieczeń.
Efektami omawianych działań są:
1)Wzmocnienie bezpieczeństwa (zastosowanie rekomendacji zwiększa ochronę systemów).
2)Zmniejszenie ryzyka (redukcja możliwości wystąpienia incydentów bezpieczeństwa).
3)Zgodność z regulacjami (utrzymanie zgodności z wymogami prawnymi i regulacyjnymi).
8.Aktywne wspieranie wiedzą oraz pomocą przy rozwiązywaniu problemów świadczone dla pracowników oraz kontrahentów klienta implementujących środki bezpieczeństwa służące zwiększeniu poziomu bezpieczeństwa infrastruktury teleinformatycznej obejmuje doradztwo i pomoc techniczną dla pracowników oraz kontrahentów klienta, mające na celu poprawę bezpieczeństwa infrastruktury teleinformatycznej. Obejmuje to:
1) Doradztwo, polegające na bieżącym wsparciu dotyczących najlepszych praktyk.
2) Szkolenie, poprzez przeprowadzanie szkoleń z zakresu bezpieczeństwa IT.
3) Wsparcie techniczne, w tym pomoc w rozwiązywaniu problemów związanych z implementacją środków bezpieczeństwa.
Działania te dotyczą wszelkich czynności mających na celu zwiększenie poziomu bezpieczeństwa infrastruktury IT, w tym:
·Implementacji zabezpieczeń (wdrażanie nowych technologii i procedur).
·Szkolenia personelu (podnoszenie kompetencji pracowników i kontrahentów).
·Rozwiązywania problemów (pomoc w rozwiązywaniu bieżących problemów bezpieczeństwa).
Aktywne wspieranie wiedzą oraz pomocą przy rozwiązywaniu problemów świadczone dla pracowników oraz kontrahentów klienta implementujących środki bezpieczeństwa służące zwiększeniu poziomu bezpieczeństwa infrastruktury teleinformatycznej swym zakresem obejmuje:
1)Konsultacje, w tym regularne konsultacje i wsparcie.
2)Szkolenia, w tym organizowanie i prowadzenie szkoleń z zakresu bezpieczeństwa IT.
3)Wsparcie, w tym stała pomoc techniczna i merytoryczna.
Efektami opisywanych działań są:
·Zwiększone kompetencje (pracownicy i kontrahenci lepiej przygotowani do zarządzania bezpieczeństwem).
·Skuteczniejsze zabezpieczenia (lepsza implementacja środków bezpieczeństwa).
·Zmniejszenie ryzyka (redukcja ryzyka dzięki lepszej wiedzy i umiejętnościom).
9.Przegląd i analiza dokumentów systemów teleinformatycznych pod kątem funkcjonalnym i bezpieczeństwa teleinformatycznego polega na ocenie dokumentacji dotyczącej systemów IT, z naciskiem na aspekty funkcjonalne i bezpieczeństwa. Obejmuje to:
1) Analizę dokumentacji, poprzez przeglądanie i ocenianie dokumentów technicznych i operacyjnych.
2) Ocenę funkcjonalności, polegającą na sprawdzaniu, czy systemy działają zgodnie z założeniami.
3) Ocenę bezpieczeństwa, w tym identyfikację potencjalnych zagrożeń i słabości.
Czynności te dotyczą dokumentacji związanej z systemami teleinformatycznymi, w tym:
·Specyfikacji technicznych (dokumenty opisujące działanie systemów).
·Polityk bezpieczeństwa (wytyczne dotyczące zarządzania bezpieczeństwem).
·Procedur operacyjnych (instrukcje dotyczące obsługi i zarządzania systemami).
Przegląd i analiza dokumentów systemów teleinformatycznych pod kątem funkcjonalnym i bezpieczeństwa teleinformatycznego swym zakresem obejmuje:
1)Przegląd dokumentacji, w tym dokładne analizowanie wszystkich istotnych dokumentów.
2)Ocenę zgodności, w tym sprawdzanie zgodności z wewnętrznymi i zewnętrznymi standardami.
3)Rekomendacje, w tym proponowanie usprawnień i korekt.
Efektami owych działań są:
·Zgodność z wymaganiami (upewnienie się, że dokumentacja spełnia wszystkie wymogi).
·Zwiększone bezpieczeństwo (identyfikacja i eliminacja potencjalnych zagrożeń),
·Poprawa funkcjonalności (upewnienie się, że systemy działają zgodnie z założeniami).
10.Komunikowanie się i współpracę z inżynierami zaangażowanymi w wykryte incydenty bezpieczeństwa obejmuje koordynację działań technicznych w odpowiedzi na incydenty bezpieczeństwa. Składa się z:
1) Komunikacji poprzez regularne informowanie i współpraca z inżynierami.
2) Koordynacji polegającej na skutecznym zarządzaniu działaniami technicznymi.
3) Współpracy poprzez pracę zespołową w celu rozwiązania problemów bezpieczeństwa.
Czynności dotyczą wszelkich działań technicznych związanych z zarządzaniem incydentami bezpieczeństwa, w tym:
·Wykrywania (identyfikacja źródeł zagrożeń).
·Reagowania (implementacja środków zaradczych).
·Odzyskiwania (przywracanie normalnej działalności systemów).
Komunikowanie się i współpracę z inżynierami zaangażowanymi w wykryte incydenty bezpieczeństwa swym zakresem obejmuje:
1)Spotkania zespołowe, w tym regularne spotkania z inżynierami.
2)Dokumentację, w tym prowadzenie dokładnej dokumentacji działań.
3)Raportowanie, w tym informowanie o postępach i wynikach.
Działania te są podejmowane, aby osiągnąć efekty w postaci:
1)Szybszej reakcji na incydenty (efektywna komunikacja i współpraca przyspieszają reakcję na incydenty).
2)Lepszych rozwiązań (współpraca techniczna prowadzi do skuteczniejszych rozwiązań).
3)Zwiększonego bezpieczeństwa (skuteczna koordynacja działań zwiększa poziom ochrony systemów).
11.Gromadzenie i analiza danych wspierających działania dochodzeniowe pozwalające eliminować lub ograniczać ryzyko ataków cybernetycznych ma na celu wspierania działań dochodzeniowych i minimalizacji ryzyka przyszłych ataków. Obejmują one:
1) Zbieranie danych, polegające na gromadzeniu logów, raportów i innych istotnych informacji.
2) Analizę, poprzez szczegółowe badanie zgromadzonych danych.
3) Raportowanie, polegające na przygotowywaniu raportów z wynikami analizy.
Działania te dotyczą wszelkich incydentów bezpieczeństwa, które mogą prowadzić do dalszych działań dochodzeniowych, w tym:
·Ataków hakerskich (analiza metod i technik używanych przez napastników).
·Naruszenia danych (badanie przyczyn i skutków utraty danych).
·Problemów technicznych (analiza awarii systemów pod kątem bezpieczeństwa).
Gromadzenie i analiza danych wspierających działania dochodzeniowe pozwalające eliminować lub ograniczać ryzyko ataków cybernetycznych swym zakresem obejmuje:
1)Gromadzenie informacji, w tym zbieranie wszystkich dostępnych danych o incydentach.
2)Analizę techniczną, w tym szczegółową analizę techniczną danych.
3)Wnioski i rekomendacje, w tym przygotowywanie wniosków i rekomendacji na podstawie analizy.
Efektami niniejszych działań są:
1)Wsparcie dochodzeń (zebrane dane wspierają wewnętrzne i zewnętrzne dochodzenia).
2)Redukcja ryzyka (analiza danych pozwala na identyfikację i eliminację źródeł zagrożeń).
3)Poprawa bezpieczeństwa (wnioski z analizy prowadzą do lepszych praktyk bezpieczeństwa).
12.Weryfikowanie czy zastosowane środki bezpieczeństwa poprawnie wykrywają ataki cybernetyczne obejmuje testowanie i ocenę skuteczności zastosowanych zabezpieczeń w wykrywaniu i zapobieganiu atakom cybernetycznym. Działania polegają na:
1) Testowaniu, poprzez przeprowadzaniu testów penetracyjnych i innych form audytów bezpieczeństwa.
2) Ocenie, polegającej na analizie wyników testów w celu oceny skuteczności środków.
3) Wskazywaniu rekomendacji, poprzez proponowanie usprawnień na podstawie wyników testów.
Czynności te dotyczą szeregu środków technicznych i procedur związanych z bezpieczeństwem IT, w tym:
•Systemów wykrywania intruzów (IDS/IPS).
•Oprogramowania zabezpieczającego (antywirusy, firewalle).
•Procedur operacyjnych (polityki i procedury dotyczące zarządzania incydentami).
Weryfikowanie czy zastosowane środki bezpieczeństwa poprawnie wykrywają ataki cybernetyczne swym zakresem obejmuje:
1)Audyt zabezpieczeń, w tym regularne przeprowadzanie audytów i testów.
2)Ocenę wyników, w tym analizę skuteczności obecnych zabezpieczeń.
3)Usprawnienia, w tym proponowanie i implementację nowych środków zabezpieczeń.
Efektem opisywanych w niniejszym punkcie działań są:
·Zwiększona skuteczność (środki bezpieczeństwa są bardziej efektywne w wykrywaniu i zapobieganiu atakom).
·Zmniejszenie ryzyka (mniejsze ryzyko powodzenia ataków dzięki lepszym zabezpieczeniom).
·Ciągłe doskonalenie (regularne weryfikacje prowadzą do stałej poprawy poziomu bezpieczeństwa).
Pytanie
Czy przychód Wnioskodawcy z tytułu opisanej w zdarzeniu przyszłym działalności usługowej z zakresu cyberbezpieczeństwa może być opodatkowany w formie ryczałtu ewidencjonowanego według stawki 8,5%, zgodnie z art. 12 ust. 1 pkt 5 lit. a ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne (t. j. Dz. U. z 2022 r. poz. 2540 ze zm., dalej także jako „u.z.p.d.”)?
Pana stanowisko w sprawie
Zdaniem Wnioskodawcy, przychód z tytułu opisanej w zdarzeniu przyszłym działalności usługowej z zakresu cyberbezpieczeństwa, zgodnie z dyspozycją art. 12 ust. 1 pkt 5 lit. a u.z.p.d., może być opodatkowany w formie ryczałtu ewidencjonowanego według stawki 8,5%.
Zdaniem Wnioskodawcy, planowane do realizowania przez niego usługi i zdania na podstawie umów cywilnoprawnych zaliczają się do klasyfikacji PKWiU 62.02.30.0 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego”, co potwierdził Urząd (…) w odpowiedzi na wniosek z 28 marca 2024 r. o znaku (…) wskazał, że wymienione powyżej usługi mieszczą się w grupowaniu PKWiU 62.02.30.0.
Zgodnie z objaśnieniami do PKWiU wydanymi przez Główny Urząd Statystyczny grupowanie to obejmuje usługi pomocy technicznej mające na celu rozwiązanie problemów klienta w zakresie technologii informatycznych i sprzętu komputerowego, takie jak: udzielanie pomocy klientowi w uruchamianiu i usuwaniu usterek w oprogramowaniu, usługi zastępowania nowszą wersją oprogramowania, udzielanie pomocy klientowi w użytkowaniu i usuwaniu usterek sprzętu komputerowego, włączając testowanie podstawowego oprogramowania oraz naprawę sprzętu informatycznego, udzielanie pomocy technicznej w przenoszeniu systemu komputerowego klienta na nowe miejsce, udzielanie pomocy klientowi w użytkowaniu i usuwaniu usterek dla kombinacji sprzęt komputerowy i oprogramowanie, udzielanie pomocy technicznej w celu rozwiązania problemów klienta związanych z użytkowaniem systemu komputerowego, tj. usługi w zakresie kontroli lub oceny działania komputera, włączając usługi w zakresie kontroli, oceny i dokumentowania serwera, sieci lub technologii dla elementów, wydajności lub bezpieczeństwa.
Należy więc wskazać, iż usługi wskazane w opisie zdarzenia przyszłego, które Wnioskodawca planuje realizować, dotyczą usług pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego. W wyniku przewidywanych do świadczenia usług Wnioskodawca będzie udzielał pomocy klientowi w użytkowaniu i usuwaniu usterek sprzętu komputerowego, włączając testowanie podstawowego oprogramowania oraz świadczył usługi w zakresie kontroli, oceny i dokumentowania serwera, sieci lub technologii dla elementów, wydajności lub bezpieczeństwa – co będzie stanowiło efekt ich świadczenia. Stąd też należy uznać, iż usługi przewidziane do świadczenia przez Wnioskodawcę mieszczą się w zakresie usług wskazanych w PKWiU 62.02.30.0.
Wnioskodawca podnosi, iż usługi które planuje świadczyć nie stanowią usług związanych z oprogramowaniem, ponieważ przez usługi związane z oprogramowaniem należy rozumieć pisanie, modyfikowanie, badanie, dokumentowanie i wspomaganie oprogramowania, włączając pisanie zleceń sterujących programami dla użytkowników, analizowanie, projektowanie systemów gotowych do użycia: rozbudowę, tworzenie, dostarczanie oraz dokumentację oprogramowania wykonanego na zlecenie określonego użytkownika, pisanie programów na zlecenie użytkownika, projektowanie stron internetowych. Natomiast planowane do świadczenia usługi nie spełniają wskazanej definicji, stąd też nie można ich uznać za usługi związane z oprogramowaniem.
Dodatkowo Wnioskodawca wskazuje, że przewidziane przez niego usługi nie dotyczą rozbudowy i implementacji oprogramowania, usług projektowania, programowania i rozwoju oprogramowania technologii informatycznych, czy też tworzenia oprogramowania, jego modyfikowania, czy ulepszania ani też doradztwa w zakresie oprogramowania.
Wnioskodawca nie będzie zatem wykonywał czynności, takich jak: pisanie, modyfikowanie, badanie, dokumentowanie i wspomaganie oprogramowania, włączając pisanie zleceń sterujących programami dla użytkowników, projektowanie systemów gotowych do użycia: rozbudowę, tworzenie, dostarczanie oraz dokumentację oprogramowania wykonanego na zlecenie określonego użytkownika, pisanie programów na zlecenie użytkownika, projektowanie stron internetowych.
Podsumowując, charakter planowanych do świadczenia usług jest ściśle ukierunkowany na udzielanie pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego. Opisany wyżej zakres prac nie stanowi usług związanych z szeroko rozumianym wytwarzaniem, rozwojem oraz implementacją oprogramowania, doradztwem w zakresie oprogramowania, a także doradztwem w zakresie sprzętu komputerowego.
Reasumując – planowane do świadczenia usługi w ramach prowadzonej przez Wnioskodawcę działalności gospodarczej, nie są usługami związanymi z doradztwem w zakresie oprogramowania ani też usługami związanymi z oprogramowaniem, ani też innymi usługami, które określone są jako usługi podlegające opodatkowaniu stawką 12%, i są określone w art. 12 ust. 1 pkt 5 lit. a ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, w związku z czym podlegają opodatkowaniu stawką 8,5 %.
Ocena stanowiska
Stanowisko, które przedstawił Pan we wniosku jest nieprawidłowe.
Uzasadnienie interpretacji indywidualnej
Stosownie do art. 1 pkt 1 ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne (t. j. Dz. U. z 2024 r. poz. 776):
Ustawa reguluje opodatkowanie zryczałtowanym podatkiem dochodowym niektórych przychodów (dochodów) osiąganych przez osoby fizyczne prowadzące pozarolniczą działalność gospodarczą.
Zgodnie z art. 6 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:
Opodatkowaniu ryczałtem od przychodów ewidencjonowanych podlegają przychody osób fizycznych lub przedsiębiorstw w spadku z pozarolniczej działalności gospodarczej, o których mowa w art. 7a ust. 4 lub art. 14 ustawy o podatku dochodowym, z zastrzeżeniem ust. 1e i 1f, w tym również gdy działalność ta jest prowadzona w formie spółki cywilnej osób fizycznych, spółki cywilnej osób fizycznych i przedsiębiorstwa w spadku lub spółki jawnej osób fizycznych, zwanych dalej „spółką”. Do przychodów przedsiębiorstwa w spadku nie stosuje się przepisu art. 12 ust. 10a.
W myśl art. 6 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:
Podatnicy opłacają w roku podatkowym ryczałt od przychodów ewidencjonowanych z działalności wymienionej w ust. 1, jeżeli:
1)w roku poprzedzającym rok podatkowy:
a)uzyskali przychody z tej działalności, prowadzonej wyłącznie samodzielnie, w wysokości nieprzekraczającej 2 000 000 euro, lub
b)uzyskali przychody wyłącznie z działalności prowadzonej w formie spółki, a suma przychodów wspólników spółki z tej działalności nie przekroczyła kwoty 2 000 000 euro,
2)rozpoczną wykonywanie działalności w roku podatkowym i nie korzystają z opodatkowania w formie karty podatkowej – bez względu na wysokość przychodów.
Możliwość opodatkowania w formie ryczałtu od przychodów ewidencjonowanych uzależniona jest między innymi od niespełnienia przesłanek negatywnych określonych w art. 8 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.
Według ww. przepisu:
1.Opodatkowania w formie ryczałtu od przychodów ewidencjonowanych, z zastrzeżeniem art. 6 ust. 1b, nie stosuje się do podatników:
1)opłacających podatek w formie karty podatkowej na zasadach określonych w rozdziale 3;
2)korzystających, na podstawie odrębnych przepisów, z okresowego zwolnienia od podatku dochodowego;
3)osiągających w całości lub w części przychody z tytułu:
a)prowadzenia aptek,
b)(uchylona)
c)działalności w zakresie kupna i sprzedaży wartości dewizowych,
d)(uchylona)
e)(uchylona)
f)działalności w zakresie handlu częściami i akcesoriami do pojazdów mechanicznych;
4)wytwarzających wyroby opodatkowane podatkiem akcyzowym, na podstawie odrębnych przepisów, z wyjątkiem wytwarzania energii elektrycznej z odnawialnych źródeł energii;
5)podejmujących wykonywanie działalności w roku podatkowym po zmianie działalności wykonywanej:
a)samodzielnie na działalność prowadzoną w formie spółki z małżonkiem,
b)w formie spółki z małżonkiem na działalność prowadzoną samodzielnie przez jednego lub każdego z małżonków,
c)samodzielnie przez małżonka na działalność prowadzoną samodzielnie przez drugiego małżonka
– jeżeli małżonek lub małżonkowie przed zmianą opłacali z tytułu prowadzenia tej działalności podatek dochodowy na ogólnych zasadach.
6) (uchylony)
2.Jeżeli podatnik prowadzący działalność samodzielnie lub w formie spółki, który wybrał opodatkowanie w formie ryczałtu od przychodów ewidencjonowanych, uzyska z tej działalności przychody ze sprzedaży towarów handlowych lub wyrobów lub ze świadczenia usług na rzecz byłego lub obecnego pracodawcy, odpowiadających czynnościom, które podatnik lub co najmniej jeden ze wspólników:
1)wykonywał w roku poprzedzającym rok podatkowy lub
2)wykonywał lub wykonuje w roku podatkowym
– w ramach stosunku pracy lub spółdzielczego stosunku pracy, podatnik ten traci w roku podatkowym prawo do opodatkowania w formie ryczałtu od przychodów ewidencjonowanych i, poczynając od dnia uzyskania tego przychodu do końca roku podatkowego, opłaca podatek dochodowy na ogólnych zasadach.
3.Jeżeli podatnik w roku poprzedzającym rok podatkowy nie uzyskał przychodu z działalności, o której mowa w ust. 1 pkt 3 i 4, traci w roku podatkowym prawo do opodatkowania w formie ryczałtu od przychodów ewidencjonowanych z dniem uzyskania przychodów z tych rodzajów działalności i od tego dnia opłaca podatek dochodowy na ogólnych zasadach.
Kolejnym warunkiem skorzystania ze zryczałtowanej formy opodatkowania jest złożenie oświadczenia o wyborze opodatkowania w formie ryczałtu od przychodów ewidencjonowanych.
Jak stanowi art. 9 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:
Sporządzone na piśmie oświadczenie o wyborze opodatkowania przychodów z pozarolniczej działalności gospodarczej w formie ryczałtu od przychodów ewidencjonowanych na dany rok podatkowy podatnik składa naczelnikowi urzędu skarbowego właściwemu według miejsca zamieszkania podatnika, a w przypadku przedsiębiorstwa w spadku – według ostatniego miejsca zamieszkania zmarłego przedsiębiorcy, do 20. dnia miesiąca następującego po miesiącu, w którym osiągnął pierwszy przychód z tego tytułu w roku podatkowym, albo do końca roku podatkowego, jeżeli pierwszy taki przychód osiągnął w grudniu roku podatkowego.
Stosownie do art. 4 ust. 1 pkt 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:
Działalność usługowa to pozarolnicza działalność gospodarcza, której przedmiotem są czynności zaliczone do usług zgodnie z Polską Klasyfikacją Wyrobów i Usług (PKWiU) wprowadzoną rozporządzeniem Rady Ministrów z dnia 4 września 2015 r. w sprawie Polskiej Klasyfikacji Wyrobów i Usług (PKWiU) (Dz. U. poz. 1676, z 2017 r. poz. 2453, z 2018 r. poz. 2440, z 2019 r. poz. 2554 oraz z 2020 r. poz. 556), z zastrzeżeniem pkt 2 i 3.
Według art. 4 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:
Ilekroć w ustawie używa się oznaczenia „ex” przy symbolu danego grupowania PKWiU, oznacza to, że zakres wyrobów lub usług jest węższy niż określony w tym grupowaniu.
Oznaczenie „ex” dotyczy zatem tylko określonej usługi z danego grupowania. Umieszczenie tego dopisku przy konkretnym symbolu statystycznym ma na celu zawężenie stosowania przepisu tylko do tej nazwy grupowania.
Wysokość stawek ryczałtu od przychodów ewidencjonowanych została przez ustawodawcę ustalona w art. 12 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.
W myśl art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:
Ryczałt od przychodów ewidencjonowanych wynosi 12% przychodów ze świadczenia usług związanych z doradztwem w zakresie sprzętu komputerowego (PKWiU 62.02.10.0), związanych z oprogramowaniem (PKWiU ex 62.01.1), objętych grupowaniem „Oryginały oprogramowania komputerowego” (PKWiU 62.01.2), związanych z doradztwem w zakresie oprogramowania (PKWiU ex 62.02), w zakresie instalowania oprogramowania (PKWiU ex 62.09.20.0), związanych z zarządzaniem siecią i systemami informatycznymi (PKWiU 62.03.1).
Stosownie do art. 12 ust. 1 pkt 5 lit. a ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:
Ryczałt od przychodów ewidencjonowanych wynosi 8,5% przychodów z działalności usługowej, w tym przychodów z działalności gastronomicznej w zakresie sprzedaży napojów o zawartości alkoholu powyżej 1,5%, z zastrzeżeniem pkt 1-4 oraz 6-8.
Zwracam również uwagę, że możliwość opłacania oraz wysokość stawki ryczałtu od przychodów ewidencjonowanych uzyskanych w związku z prowadzoną działalnością gospodarczą zależy wyłącznie od faktycznego rodzaju wykonywanych w ramach tej działalności usług.
Zatem konieczne jest każdorazowe przypisanie rodzaju wykonywanych czynności do określonego grupowania PKWiU. Przy czym klasyfikacji tej do określonego symbolu PKWiU dokonuje sam podatnik.
Przy czym w myśl art. 12 ust. 3 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:
Jeżeli podatnik obowiązany do prowadzenia ewidencji przychodów prowadzi działalność, z której przychody są opodatkowane różnymi stawkami określonymi w ust. 1, ryczałt od przychodów ewidencjonowanych ustala się według stawki właściwej dla przychodów z każdego rodzaju działalności, pod warunkiem, że ewidencja przychodów jest prowadzona w sposób umożliwiający określenie przychodów z każdego rodzaju działalności. W przypadku, gdy podatnik, o którym mowa w zdaniu poprzednim, nie prowadzi ewidencji w sposób zapewniający ustalenie przychodów dla każdego rodzaju działalności, ryczałt od przychodów ewidencjonowanych wynosi 8,5% przychodów, z tym że w przypadku osiągania również przychodów, o których mowa w:
1)ust. 1 pkt 1, ryczałt wynosi 17%;
2)2 ust. 1 pkt 2 ryczałt wynosi 15%;
2a) ust. 1 pkt 2a ryczałt wynosi 14%;
2b) ust. 1 pkt 2b ryczałt wynosi 12%;
3)ust. 1 pkt 3 ryczałt wynosi 10%;
4)ust. 1 pkt 4 ryczałt wynosi 12,5%.
Zatem, w sytuacji prowadzenia działalności gospodarczej opodatkowanej zryczałtowanym podatkiem dochodowym wg różnych stawek, ryczałt od przychodów ewidencjonowanych na podstawie prowadzonej ewidencji przychodów ustala się według stawki właściwej dla przychodów z każdego rodzaju działalności, pod warunkiem że ewidencja przychodów jest prowadzona w sposób umożliwiający określenie przychodów z każdego rodzaju działalności.
Należy zauważyć, że dział 62 PKWiU – Usługi związane z oprogramowaniem i doradztwem w zakresie informatyki i usługi powiązane – obejmuje:
·dostarczanie ekspertyz w zakresie technologii informatycznych,
·pisanie, modyfikowanie, badanie i wspomaganie oprogramowania,
·planowanie i projektowanie systemów komputerowych, które łączą sprzęt komputerowy, oprogramowanie i sprzęt komunikacyjny,
·zarządzanie i obsługa systemów komputerowych i/lub urządzeń przetwarzania danych należących do klienta w miejscu ich zainstalowania,
·pozostałe profesjonalne i techniczne usługi związane z informatyką.
Natomiast klasa PKWiU 62.02 – Usługi związane z doradztwem w zakresie informatyki obejmuje następujące grupowania PKWiU:
1)62.02.10.0 – Usługi związane z doradztwem w zakresie sprzętu komputerowego,
2)62.02.20.0 – Usługi związane z doradztwem w zakresie oprogramowania komputerowego,
3)62.02.30.0 – Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego.
Grupowanie 62.02.30.0 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego” obejmuje: usługi pomocy technicznej mające na celu rozwiązanie problemów klienta w zakresie technologii informatycznych i sprzętu komputerowego, takie jak:
·udzielanie pomocy klientowi w uruchamianiu i usuwaniu usterek w oprogramowaniu,
·usługi zastępowania nowszą wersją oprogramowania,
·udzielanie pomocy klientowi w użytkowaniu i usuwaniu usterek sprzętu komputerowego, włączając testowanie podstawowego oprogramowania oraz naprawę sprzętu informatycznego,
·udzielanie pomocy technicznej w przenoszeniu systemu komputerowego klienta na nowe miejsce,
·udzielanie pomocy klientowi w użytkowaniu i usuwaniu usterek dla kombinacji sprzęt komputerowy i oprogramowanie,
·udzielanie pomocy technicznej w celu rozwiązania problemów klienta związanych z użytkowaniem systemu komputerowego, tj. usługi w zakresie kontroli lub oceny działania komputera, włączając usługi w zakresie kontroli, oceny i dokumentowania serwera, sieci lub technologii dla elementów, wydajności lub bezpieczeństwa.
Jak wynika z wcześniej cytowanego art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, ryczałt od przychodów ewidencjonowanych wynosi 12% przychodów ze świadczenia usług związanych z doradztwem w zakresie oprogramowania (PKWiU ex 62.02). Przy czym przepis ten nie odwołuje się ani do bezpośredniego, ani pośredniego związku z doradztwem w zakresie oprogramowania. W tej regulacji nie ma też mowy o usługach związanych z doradztwem w zakresie programowania (doradztwem w zakresie tworzenia czy dodawania nowych kodów źródłowych programów komputerowych), a związanych z doradztwem w zakresie oprogramowania.
Z przedstawionego we wniosku opisu sprawy wynika, że prowadzi Pan jednoosobową działalność gospodarczą od 2 grudnia 2019 r. Od 2025 r. zamierza Pan świadczyć usługi na rzecz kontrahentów jako Specjalista do spraw Cyberbezpieczeństwa. Oświadczenie o wyborze formy opodatkowania zryczałtowanym podatkiem dochodowym od niektórych przychodów osiąganych przez osoby fizyczne zostało przez Pana złożone w styczniu 2024 r. w związku ze zmianą zakresu świadczonych usług. Prowadzona przez Pana działalność gospodarcza będzie działalnością usługową.
Świadczone usługi będą polegały na:
·prowadzeniu poważnych incydentów związanych z bezpieczeństwem, od wykrycia do zamknięcia, komunikowaniu się i współpracy z interesariuszami;
·współpracy z odpowiednimi komórkami w celu gromadzenia, analizowania i utrzymania danych o nielegalnych działaniach w celu wsparcia działań dochodzeniowych, eliminacji ryzyka i działań łagodzących;
·analizowaniu wyciągniętych wniosków z zespołem reagowania na incydenty i zaproponowaniu ulepszenia procedur środków kontroli bezpieczeństwa;
·opracowaniu, dopracowaniu i usprawnieniu podręcznika reakcji na incydenty;
·opracowywaniu, utrzymywaniu i aktualizowaniu struktury zarządzania incydentami cyberbezpieczeństwa w organizacji kontrahenta;
·wydawaniu rekomendacji w zakresie powzięcia środków technicznych w celu zabezpieczenia systemów informatycznych;
·aktywnym wspieraniu wiedzą oraz pomocą przy rozwiązywaniu problemów świadczone dla pracowników oraz kontrahentów klienta implementujących środki bezpieczeństwa służące zwiększeniu poziomu bezpieczeństwa infrastruktury teleinformatycznej;
·przeglądzie i analizie dokumentów systemów teleinformatycznych pod kątem funkcjonalnym i bezpieczeństwa teleinformatycznego;
·komunikowaniu się i współpracy z inżynierami zaangażowanymi w wykryte incydenty bezpieczeństwa;
·gromadzeniu i analizie danych wspierających działania dochodzeniowe pozwalające eliminować lub ograniczać ryzyko ataków cybernetycznych;
·weryfikowaniu, czy zastosowane środki bezpieczeństwa poprawnie wykrywają ataki cybernetyczne.
Przy czym usługi, które będzie Pan świadczył, nie będą związane z doradztwem w zakresie oprogramowania. Usługi te nie będą również związane z doradztwem w zakresie doboru i konfiguracji oprogramowania. Wskazał Pan, iż nie będzie świadczył i nie świadczy Pan usług opisanych we wniosku na rzecz podmiotu, który był lub jest Pana pracodawcą, zaś zakładana wysokość przychodów z pozarolniczej działalności gospodarczej nie przekracza i nie przekroczy kwoty 2 000 000 EURO. Wyłączenia zawarte w art. 8 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne nie mają zastosowania do wykonywanej przez Pana działalności gospodarczej i nie planuje Pan w przyszłości podejmować działalności mieszczącej się w wyłączeniach wskazanych w art. 8 ww. ustawy.
Mając na względzie powołane przepisy oraz treść wniosku stwierdzam, że przychody, które zamierza Pan uzyskiwać ze świadczenia usług jako Specjalista do spraw Cyberbezpieczeństwa w ramach prowadzonej przez Pana działalności gospodarczej, które mieszczą się w grupowaniu PKWiU 62.02.30.0 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego” i które nie będą związane z doradztwem w zakresie oprogramowania, będą podlegały opodatkowaniu ryczałtem od przychodów ewidencjonowanych wg stawki 8,5% zgodnie z art. 12 ust. 1 pkt 5 lit. a ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.
Zastrzec jednak należy, że zastosowanie stawki 8,5% dla przychodów ze świadczonych przez Pana usług będzie prawidłowe wyłącznie, jeżeli faktycznie nie będzie uzyskiwał Pan przychodów ze świadczenia innych usług wymienionych w art. 12 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, do których to usług przypisana jest inna stawka ryczałtu.
Dodatkowe informacje
Informacja o zakresie rozstrzygnięcia
Interpretacja dotyczy zdarzenia przyszłego przedstawionego przez Pana i stanu prawnego obowiązującego w dniu wydania interpretacji.
Interpretacja została wydana przy założeniu, że poprawnie zakwalifikował Pan świadczone usługi do odpowiedniego klasyfikowania PKWiU. Interpretacja nie rozstrzyga o prawidłowości tej klasyfikacji (zasady formalnego przyporządkowania towaru lub usługi do grupowania statystycznego nie są przepisami prawa podatkowego).
Pouczenie o funkcji ochronnej interpretacji
·Funkcję ochronną interpretacji indywidualnych określają przepisy art. 14k-14nb ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (t. j. Dz. U. z 2023 r. poz. 2383 ze zm.). Interpretacja będzie mogła pełnić funkcję ochronną, jeśli Pana sytuacja będzie zgodna (tożsama) z opisem zdarzenia przyszłego i zastosuje się Pan do interpretacji.
·Zgodnie z art. 14na § 1 Ordynacji podatkowej:
Przepisów art. 14k-14n Ordynacji podatkowej nie stosuje się, jeśli stan faktyczny lub zdarzenie przyszłe będące przedmiotem interpretacji indywidualnej jest elementem czynności, które są przedmiotem decyzji wydanej:
1)z zastosowaniem art. 119a;
2)w związku z wystąpieniem nadużycia prawa, o którym mowa w art. 5 ust. 5 ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług;
3)z zastosowaniem środków ograniczających umowne korzyści.
·Zgodnie z art. 14na § 2 Ordynacji podatkowej:
Przepisów art. 14k-14n nie stosuje się, jeżeli korzyść podatkowa, stwierdzona w decyzjach wymienionych w § 1, jest skutkiem zastosowania się do utrwalonej praktyki interpretacyjnej, interpretacji ogólnej lub objaśnień podatkowych.
Pouczenie o prawie do wniesienia skargi na interpretację
Ma Pan prawo do zaskarżenia tej interpretacji indywidualnej do Wojewódzkiego Sądu Administracyjnego. Zasady zaskarżania interpretacji indywidualnych reguluje ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j. Dz. U. z 2024 r. poz. 935; dalej jako „PPSA”).
Skargę do Sądu wnosi się za pośrednictwem Dyrektora KIS (art. 54 § 1 PPSA). Skargę należy wnieść w terminie trzydziestu dni od dnia doręczenia interpretacji indywidualnej (art. 53 § 1 PPSA):
·w formie papierowej, w dwóch egzemplarzach (oryginał i odpis) na adres: Krajowa Informacja Skarbowa, ul. Warszawska 5, 43-300 Bielsko-Biała (art. 47 § 1 PPSA), albo
·w formie dokumentu elektronicznego, w jednym egzemplarzu (bez odpisu), na adres Elektronicznej Skrzynki Podawczej Krajowej Informacji Skarbowej na platformie ePUAP: /KIS/SkrytkaESP (art. 47 § 3 i art. 54 § 1a PPSA).
Skarga na interpretację indywidualną może opierać się wyłącznie na zarzucie naruszenia przepisów postępowania, dopuszczeniu się błędu wykładni lub niewłaściwej oceny co do zastosowania przepisu prawa materialnego. Sąd jest związany zarzutami skargi oraz powołaną podstawą prawną (art. 57a PPSA).
Podstawa prawna dla wydania interpretacji
Podstawą prawną dla wydania tej interpretacji jest art. 13 § 2a oraz art. 14b § 1 ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (t. j. Dz. U. z 2023 r. poz. 2383 ze zm.).