Od 7 maja 2026 roku tysiące polskich firm będzie musiało dokonać wpisu do nowego Wykazu Krajowego Systemu Cyberbezpieczeństwa (KSC). Jest to bezpośrednia konsekwencja wdrożenia unijnej dyrektywy NIS2. Ministerstwo Cyfryzacji opublikowało szczegółową instrukcję dotyczącą procesu samoidentyfikacji. Przedsiębiorcy mają czas na dokonanie wpisu do 3 października 2026 roku, jednak wcześniej muszą ustalić, czy podlegają nowym przepisom i wdrożyć odpowiednie procedury.
Dyrektywa NIS2 wchodzi w życie – Polska reaguje
Ministerstwo Cyfryzacji poinformowało 27 kwietnia 2026 roku o uruchomieniu procedury samoidentyfikacji dla podmiotów objętych nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. Jest to bezpośredni skutek implementacji unijnej dyrektywy NIS2, która znacząco rozszerza katalog firm i instytucji zobowiązanych do przestrzegania rygorystycznych wymogów w zakresie ochrony przed cyberatakami.
Już 7 maja 2026 roku zostanie uruchomiona aplikacja umożliwiająca wpis do Wykazu KSC. Przedsiębiorcy i inne podmioty działające w objętych regulacją sektorach będą musieli samodzielnie przeanalizować, czy podlegają nowym przepisom, a następnie dokonać obowiązkowego wpisu, jeśli analiza wykaże taki obowiązek.
Kogo dotyczy nowa regulacja o krajowym systemie cyberbezpieczeństwa?
Nowelizacja ustawy o KSC dzieli objęte nią podmioty na dwie kategorie: podmioty kluczowe oraz podmioty ważne. To rozróżnienie jest kluczowe, ponieważ od statusu podmiotu zależą jego konkretne obowiązki w zakresie cyberbezpieczeństwa oraz rodzaje kontroli ze strony organów państwowych.
Należy podkreślić, że ustawa nie przewiduje żadnego powiadomienia ze strony administracji. To na przedsiębiorcach spoczywa odpowiedzialność za ustalenie, czy ich działalność gospodarcza mieści się w katalogu objętym regulacją. Proces ten, określany jako samoidentyfikacja, opiera się na analizie przepisów ustawy, w szczególności art. 5 oraz załączników nr 1 i 2, które szczegółowo określają sektory, podsektory i rodzaje działalności. Ministerstwo Cyfryzacji jasno komunikuje: brak świadomości przepisów nie zwalnia z obowiązku.
Trzystopniowy proces samoidentyfikacji – jak to zrobić? Instrukcja krok po kroku
Ministerstwo Cyfryzacji opublikowało szczegółową instrukcję, która dzieli proces samoidentyfikacji na trzy kluczowe etapy. Poniżej przedstawiamy poszczególne kroki, które należy wykonać w celu samoidentyfikacji.
KROK 1: Weryfikacja sektora działalności
Pierwszym etapem jest sprawdzenie, czy prowadzona działalność mieści się w sektorach lub podsektorach wskazanych w załączniku nr 1 do ustawy (podmioty kluczowe) lub w załączniku nr 2 (podmioty ważne).
Ważne zastrzeżenie: przy ocenie należy brać pod uwagę rzeczywisty charakter prowadzonej działalności, a nie tylko formalnie zarejestrowane kody PKD. Ministerstwo wyjaśnia, że kody Polskiej Klasyfikacji Działalności mogą być pomocnicze, ale decydujące znaczenie ma faktyczny zakres świadczonych usług.
KROK 2: Określenie wielkości podmiotu
Drugi etap wymaga ustalenia wielkości przedsiębiorstwa według unijnych kryteriów. Ustawa rozróżnia mikroprzedsiębiorstwa (poniżej 10 pracowników i obrót roczny poniżej 2 mln euro), małe przedsiębiorstwa (poniżej 50 pracowników i obrót roczny poniżej 10 mln euro), średnie przedsiębiorstwa (poniżej 250 pracowników i obrót roczny poniżej 50 mln euro) oraz duże przedsiębiorstwa przekraczające te progi.
Istotne zastrzeżenie: przy obliczaniu wielkości przedsiębiorstwa uwzględnia się również przedsiębiorstwa powiązane oraz przedsiębiorstwa partnerskie. Oznacza to, że nawet jeśli własna firma jest mikroprzedsiębiorstwem, ale jest częścią większej grupy kapitałowej, może zostać zakwalifikowana jako podmiot większy.
Szczególny przypadek dotyczący przedsiębiorców telekomunikacyjnych – niezależnie od ich wielkości, wszyscy bez wyjątku podlegają pod ustawę. Duże i średnie przedsiębiorstwa telekomunikacyjne stają się automatycznie podmiotami kluczowymi, natomiast mali i mikroprzedsiębiorcy telekomunikacyjni otrzymują status podmiotów ważnych.
KROK 3: Analiza art. 5 ustawy – podlegam, czy nie podlegam?
Ostatni, najważniejszy etap polega na szczegółowej analizie artykułu 5 ustawy o KSC. Ten przepis precyzyjnie określa zasady uznawania podmiotów za kluczowe lub ważne i wskazuje przypadki, w których podmiot może zostać objęty regulacją niezależnie od swojej wielkości.
Po dokładnej analizie tego przepisu możliwe jest ostateczne ustalenie, czy dany podmiot jest podmiotem kluczowym, podmiotem ważnym, czy też w ogóle nie podlega przepisom ustawy. Ministerstwo podkreśla: spełnienie przesłanek z art. 5 jednoznacznie oznacza objęcie podmiotu przepisami ustawy.
NIS2, KSC, cyberbezpieczeństwo, UE, Unia Europejska, obowiązki
Nowe obowiązki i nowelizacja ustawy KSC to skutek implementacji unijnej dyrektywy NIS2
Shutterstock
Terminy KSC, których nie można przegapić
Harmonogram wdrożenia nowej regulacji jest bardzo ambitny. 6 maja 2026 roku to termin, do którego Minister Cyfryzacji z urzędu dokona wpisów do Wykazu KSC dla wybranych kategorii podmiotów. Dotyczy to podmiotów publicznych, przedsiębiorców telekomunikacyjnych, dostawców usług cyfrowych oraz podmiotów, które wcześniej posiadały status operatorów usług kluczowych.
Dzień później, 7 maja 2026 roku, zostanie uruchomiona aplikacja webowa umożliwiająca samorejestrację pozostałym podmiotom. Okres na dokonanie samorejestracji kończy się 3 października 2026 roku. To nieco ponad pięć miesięcy, ale biorąc pod uwagę konieczność wcześniejszego przeprowadzenia trzystopniowego procesu samoidentyfikacji, przygotowania dokumentacji i wdrożenia odpowiednich procedur cyberbezpieczeństwa, ten czas może okazać się niewystarczający.
Gdzie i jak dokonać wpisu?
Wykaz KSC jest prowadzony w ramach Systemu S46, ale stanowi osobną aplikację webową dostępną pod adresem https://wykaz-ksc.gov.pl. Wnioski o wpis, zmianę wpisu oraz wykreślenie podmiotu z wykazu będą wypełniane i składane wyłącznie w formie elektronicznej za pośrednictwem tej aplikacji.
Każdy wniosek musi być opatrzony kwalifikowanym podpisem elektronicznym. Ministerstwo podkreśla, że proces będzie w pełni zdigitalizowany – nie ma możliwości składania dokumentów w formie papierowej.
Co grozi za brak wpisu?
Ministerstwo Cyfryzacji w swoim komunikacie skupiło się na procedurze samoidentyfikacji i rejestracji, nie precyzując bezpośrednio sankcji za niedopełnienie obowiązku. Należy jednak pamiętać, że brak wpisu do wykazu, pomimo spełnienia ustawowych przesłanek, będzie traktowany jako naruszenie przepisów ustawy o krajowym systemie cyberbezpieczeństwa. Za takie naruszenia grożą następujące kary:
- Dla podmiotów kluczowych: kary finansowe od 20 tys. zł do 10 mln euro.
- Dla podmiotów ważnych: kary finansowe od 15 tys. zł do 7 mln euro.
- Za najpoważniejsze naruszenia: kary finansowe mogą sięgnąć nawet 100 mln zł.
- Za niezastosowanie się do nakazu organu cyberbezpieczeństwa: kary od 500 zł do 100 tys. zł za każdy dzień opóźnienia.
- Dla kierownika jednostki: kary do 300% miesięcznego wynagrodzenia.
Cyberbezpieczeństwo to nie tylko formalność – zadbaj o procedury i ich realizację
Nowelizacja ustawy o KSC to nie tylko kolejny obowiązek formalny. To reakcja na realnie rosnące zagrożenia w cyberprzestrzeni. Ataki ransomware, wycieki danych osobowych, sabotaż infrastruktury krytycznej – to już nie abstrakcyjne scenariusze, ale codzienne wyzwania dla firm działających w kluczowych sektorach gospodarki.
Dyrektywa NIS2, implementowana w Polsce poprzez nowelizację KSC, została stworzona na bazie doświadczeń państw członkowskich UE. Wcześniejsze regulacje okazały się niewystarczające, obejmując zbyt wąski katalog podmiotów i formułując zbyt ogólne wymogi. Nowa regulacja kładzie nacisk na kompleksowość, precyzję i faktyczne podniesienie poziomu bezpieczeństwa cyfrowego.
Dla firm objętych regulacją oznacza to konieczność inwestycji w technologie, procedury i szkolenia pracowników. Oznacza to również osobistą odpowiedzialność kadry zarządzającej za zapewnienie odpowiedniego poziomu ochrony systemów i danych.
Co zrobić już teraz w związku z nowelizacją ustawy o KSC implementującą dyrektywę NIS2?
Ministerstwo Cyfryzacji apeluje, aby podmioty potencjalnie objęte regulacją nie zwlekały z analizą swojej sytuacji. Zalecane działania to:
- Natychmiastowa weryfikacja, czy prowadzona działalność mieści się w sektorach objętych ustawą.
- Ustalenie wielkości przedsiębiorstwa z uwzględnieniem podmiotów powiązanych i partnerskich.
- Dokładna analiza przepisów art. 5 ustawy o KSC.
- Przygotowanie się do korzystania z aplikacji do wpisu od 7 maja 2026 roku.
W przypadku stwierdzenia objęcia regulacją, konieczne jest rozpoczęcie przygotowań do wdrożenia wymaganych procedur cyberbezpieczeństwa. Kluczowe jest podejście proaktywne. Oczekiwanie na dalsze wyjaśnienia, wytyczne lub – co gorsza – na kontrolę organów nadzoru może skutkować poważnymi konsekwencjami prawnymi i finansowymi.
Wyniki Biznes Fakty:
- Ustaw swoje procedury bezpieczeństwa IT na wysokim poziomie. Nie traktuj wymogów NIS2 tylko jako formalności, ale jako szansę na realne wzmocnienie odporności swojej firmy na ataki.
- Zbuduj kompleksowy plan wdrożenia cyberbezpieczeństwa. Obejmuje on nie tylko technologie, ale także szkolenia dla pracowników i regularne audyty bezpieczeństwa.
Szczegóły można znaleźć na stronie internetowej : mojafirma.infor.pl