czwartek, 18 czerwca, 2026
Ostatnie wpisy:
Biznes i FirmaBiznes i Firma

Zaraz na początku maja rusza obowiązkowa rejestracja – brak wpisu może Cię drogo kosztować

Redaktor

rozwiń >

Dyrektywa NIS2 wchodzi w życie – Polska reaguje

Ministerstwo Cyfryzacji poinformowało wczoraj, 27 kwietnia 2026 roku, o uruchomieniu procedury samoidentyfikacji dla podmiotów objętych nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. To bezpośrednia konsekwencja wdrożenia unijnej dyrektywy NIS2, która radykalnie rozszerza katalog firm i instytucji zobowiązanych do przestrzegania rygorystycznych wymogów w zakresie ochrony przed cyberatakami.

Już zaraz, 7 maja 2026 roku, zostanie uruchomiona aplikacja umożliwiająca dokonanie wpisu do Wykazu KSC. Przedsiębiorcy i inne podmioty prowadzące działalność w objętych regulacją sektorach będą musieli samodzielnie przeanalizować, czy podlegają nowym przepisom, a następnie dokonać obowiązkowego wpisu w razie pozytywnej weryfikacji tego nowego obowiązku.

Kogo dotyczy nowa regulacja o krajowym systemie cyberbezpieczeństwa?

Nowelizacja ustawy o KSC dzieli objęte nią podmioty na dwie kategorie: podmioty kluczowe oraz podmioty ważne. Rozróżnienie to ma fundamentalne znaczenie, ponieważ od statusu podmiotu zależą konkretne obowiązki w zakresie cyberbezpieczeństwa oraz kontrole ze strony organów państwowych.

Co istotne – ustawa nie przewiduje żadnego powiadomienia ze strony administracji. To przedsiębiorcy sami muszą ustalić, czy prowadzona przez nich działalność gospodarcza mieści się w katalogu objętym regulacją. Proces ten, nazywany samoidentyfikacją, opiera się na analizie przepisów ustawy, w szczególności art. 5 oraz załączników nr 1 i 2, które szczegółowo określają sektory, podsektory i rodzaje działalności. Ministerstwo Cyfryzacji wyraźnie podkreśla: brak świadomości nie zwalnia z obowiązku.

Trzystopniowy proces samoidentyfikacji – jak to zrobić? Instrukcja krok po kroku przygotowana przez Ministerstwo Cyfryzacji

Resort cyfryzacji opublikował szczegółową instrukcję, która dzieli proces samoidentyfikacji na trzy kluczowe etapy. Poniżej omawiamy ten komunikat ministerstwa, przedstawiając poszczególne kroki, jakie należy wykonać celem samoidentyfikacji.

Dalszy ciąg materiału pod wideo

KROK 1: Weryfikacja sektora działalności

Pierwszym krokiem jest sprawdzenie, czy prowadzona działalność mieści się w sektorach lub podsektorach wskazanych w załączniku nr 1 do ustawy (podmioty kluczowe) albo w załączniku nr 2 (podmioty ważne).

Kluczowe zastrzeżenie: przy ocenie należy brać pod uwagę rzeczywisty charakter prowadzonej działalności, a nie tylko formalnie zarejestrowane kody PKD. Ministerstwo wyjaśnia, że pomocniczo można posłużyć się kodami Polskiej Klasyfikacji Działalności, jednak decydujące znaczenie ma faktyczny zakres świadczonych usług.

KROK 2: Określenie wielkości podmiotu

Drugi etap wymaga ustalenia wielkości przedsiębiorstwa według unijnych kryteriów. Ustawa rozróżnia mikroprzedsiębiorstwa (poniżej 10 pracowników i obrót do 2 mln EUR), małe przedsiębiorstwa (poniżej 50 pracowników i obrót do 10 mln EUR), średnie przedsiębiorstwa (poniżej 250 pracowników i obrót do 50 mln EUR) oraz duże przedsiębiorstwa przekraczające te progi.

Istotne zastrzeżenie: przy obliczaniu wielkości przedsiębiorstwa uwzględnia się również przedsiębiorstwa powiązane oraz przedsiębiorstwa partnerskie. Oznacza to, że sama firma może być mikroprzedsiębiorstwem, ale jeśli jest częścią większej grupy kapitałowej, może zostać zakwalifikowana jako podmiot większy.

Szczególny przypadek stanowią przedsiębiorcy telekomunikacyjni – niezależnie od wielkości, wszyscy bez wyjątku podlegają pod ustawę. Duzi i średni stają się automatycznie podmiotami kluczowymi, natomiast mali i mikroprzedsiębiorcy otrzymują status podmiotów ważnych.

KROK 3: Analiza art. 5 ustawy – podlegam, czy nie podlegam?

Ostatni, najważniejszy etap to szczegółowa analiza artykułu 5 ustawy o KSC. Ten przepis określa precyzyjne zasady uznawania podmiotów za kluczowe lub ważne i wskazuje przypadki, w których podmiot może zostać objęty regulacją niezależnie od swojej wielkości.

Po dokładnej analizie tego przepisu możliwe jest ostateczne ustalenie, czy dany podmiot jest podmiotem kluczowym, podmiotem ważnym, czy też w ogóle nie podlega przepisom ustawy. Ministerstwo nie pozostawia wątpliwości: spełnienie przesłanek z art. 5 jednoznacznie oznacza objęcie podmiotu przepisami ustawy.

Terminy KSC, których nie można przegapić

Kalendarz wdrażania nowej regulacji jest niezwykle napięty. 6 maja 2026 roku mija termin, w którym Minister Cyfryzacji dokona z urzędu wpisów do Wykazu KSC wybranych kategorii podmiotów. Dotyczy to podmiotów publicznych, przedsiębiorców telekomunikacyjnych, dostawców usług cyfrowych oraz podmiotów, które wcześniej miały status operatorów usług kluczowych.

Dzień później, 7 maja 2026 roku, zostanie uruchomiona aplikacja webowa umożliwiająca samorejestrację pozostałym podmiotom. Okres na dokonanie samorejestracji kończy się 3 października 2026 roku. To nieco ponad pięć miesięcy, ale biorąc pod uwagę konieczność wcześniejszego przeprowadzenia trzystopniowej samoidentyfikacji, przygotowania dokumentacji oraz wdrożenia odpowiednich procedur cyberbezpieczeństwa, czas ten może okazać się bardzo krótki.

Gdzie i jak dokonać wpisu?

Wykaz KSC jest prowadzony w ramach Systemu S46, ale stanowi osobną aplikację webową dostępną pod adresem https://wykaz-ksc.gov.pl. Wnioski o wpis, zmianę wpisu oraz wykreślenie podmiotu z wykazu będą wypełniane i składane wyłącznie w formie elektronicznej za pośrednictwem tej aplikacji.

Każdy wniosek musi być opatrzony kwalifikowanym podpisem elektronicznym. Ministerstwo podkreśla, że proces będzie w pełni zdigitalizowany – nie ma możliwości składania dokumentów w formie papierowej.

Co grozi za brak wpisu?

Ministerstwo Cyfryzacji w swoim komunikacie skupiło się na procedurze samoidentyfikacji i rejestracji, nie precyzując wprost sankcji za niedopełnienie obowiązku. Jednak brak wpisu do wykazu pomimo spełnienia ustawowych przesłanek będzie traktowany jako naruszenie przepisów ustawy o krajowym systemie cyberbezpieczeństwa. A za takie naruszenia grożą naprawdę wysokie kary:

  • dla podmiotów kluczowych – od 20 tys. zł do 10 mln euro,
  • dla podmiotów ważnych – od 15 tys. zł do 7 mln euro,
  • za najpoważniejsze naruszenia – do 100 mln zł,
  • za niezastosowanie się do nakazu organu cyberbezpieczeństwa – od 500 zł do 100 tys. zł za każdy dzień opóźnienia,
  • dla kierownika jednostki – do 300 proc. miesięcznego wynagrodzenia.

Cyberbezpieczeństwo to nie tylko formalność – naprawdę trzeba zadbać o procedury i ich realizację

Nowelizacja ustawy o KSC to nie jest jedynie kolejny papierowy obowiązek. To odpowiedź na realnie rosnące zagrożenia w cyberprzestrzeni. Ataki ransomware, wycieki danych osobowych, sabotaż infrastruktury krytycznej – to już nie abstrakcyjne scenariusze, ale codzienność firm działających w kluczowych sektorach gospodarki.

Dyrektywa NIS2, którą Polska wdraża poprzez nowelizację KSC, powstała na bazie gorzkich doświadczeń państw członkowskich UE. Wcześniejsze regulacje okazały się niewystarczające – obejmowały zbyt wąski katalog podmiotów, a wymogi były zbyt ogólne. Nowa regulacja stawia na kompleksowość, precyzję i rzeczywiste podniesienie poziomu bezpieczeństwa.

Dla firm objętych regulacją oznacza to konieczność inwestycji w technologie, procedury i szkolenia. Oznacza też odpowiedzialność osobistą kadry zarządzającej za zapewnienie odpowiedniego poziomu ochrony.

Co zrobić już teraz w związku z nowelizacją ustawy o KSC implementującą dyrektywę NIS2?

Ministerstwo Cyfryzacji apeluje, aby podmioty potencjalnie objęte regulacją nie zwlekały z analizą swojej sytuacji. Zalecane działania to:

  • natychmiastowa weryfikacja, czy działalność mieści się w sektorach objętych ustawą,
  • ustalenie wielkości przedsiębiorstwa z uwzględnieniem podmiotów powiązanych,
  • dokładna analiza art. 5 ustawy,
  • przygotowanie się do wpisu w aplikacji od 7 maja.

W przypadku stwierdzenia objęcia regulacją konieczne jest rozpoczęcie przygotowań do wdrożenia wymaganych procedur cyberbezpieczeństwa. Kluczowe jest podejście proaktywne. Czekanie na wyjaśnienia, wytyczne czy – co gorsza – na kontrolę organów nadzoru może oznaczać poważne konsekwencje prawne i finansowe.

Artykuł w pytaniach i odpowiedziach (FAQ) – podsumowanie

Kiedy rusza i gdzie dostępna jest rejestracja do Wykazu KSC?

Aplikacja webowa do wpisu rusza 7 maja 2026 r. Wykaz KSC działa w ramach Systemu S46 pod adresem https://wykaz-ksc.gov.pl. Wnioski o wpis składa się wyłącznie elektronicznie i opatruje kwalifikowanym podpisem elektronicznym.

Do kiedy można dokonać samorejestracji w Wykazie KSC?

Okres samorejestracji kończy się 3 października 2026 r. 7 maja 2026 r. startuje aplikacja do wpisu, a do 6 maja 2026 r. Minister Cyfryzacji z urzędu wpisze wybrane kategorie podmiotów.

Jak wygląda trzystopniowa samoidentyfikacja podmiotów na potrzeby ustawy o KSC?

Etap 1: sprawdzenie sektora wg załącznika nr 1 (kluczowe) lub nr 2 (ważne) z uwzględnieniem faktycznej działalności, nie tylko PKD. Etap 2: ustalenie wielkości z uwzględnieniem podmiotów powiązanych i partnerskich. Etap 3: analiza art. 5 ustawy o KSC i ostateczne ustalenie statusu lub braku podlegania.

Jakie kary grożą za brak wpisu do Wykazu KSC lub naruszenia ustawy o krajowym systemie cyberbezpieczeństwa?

Dla podmiotów kluczowych: 20 tys. zł – 10 mln euro, dla podmiotów ważnych: 15 tys. zł – 7 mln euro; za najpoważniejsze naruszenia do 100 mln zł. Za niewykonanie nakazu organu cyberbezpieczeństwa 500 – 100 tys. zł za dzień; dla kierownika jednostki do 300% miesięcznego wynagrodzenia.

Czy przedsiębiorcy telekomunikacyjni zawsze podlegają ustawie o KSC?

Tak. Niezależnie od wielkości wszyscy podlegają ustawie o KSC: duzi i średni stają się automatycznie podmiotami kluczowymi, a mali i mikroprzedsiębiorcy podmiotami ważnymi.

Źródło: Ministerstwo Cyfryzacji

Zobacz również

Dodatkowe 350 zł do emerytury. Sprawdź, czy należy się świadczenie

Redaktor

Coraz trudniej zatrudnić w logistyce. Firmy wskazują główne bariery

Redaktor

Kto może ubiegać się o zasiłek opiekuńczy? Jak długo ZUS będzie wypłacać świadczenie?

Redaktor