KSC 2026: Rejestracja firm w wykazie – terminy i konsekwencje braku zgłoszenia

Od 7 maja 2026 r. tysiące firm w Polsce zobowiązane są do wpisu do wykazu Krajowego Systemu Cyberbezpieczeństwa (KSC). Jest to konsekwencja wdrożenia unijnej dyrektywy NIS2. Termin na dokonanie tego obowiązku mija 3 października 2026 r. Niewywiązanie się z tego zobowiązania może skutkować karą od 15 tys. zł do nawet 10 mln euro. Poniżej przedstawiamy, jak w trzech krokach sprawdzić, czy obowiązek dotyczy Twojej firmy i jak dokonać wpisu.

Czy Twoja firma podlega pod nowe przepisy KSC? Sprawdź w 30 sekund

Aby wstępnie ocenić, czy Twoja działalność jest objęta nowymi wymogami, odpowiedz na poniższe pytania:

1. Czy działasz w sektorach takich jak energetyka, transport, bankowość, telekomunikacja, ochrona zdrowia, wodociągi/kanalizacja, IT, produkcja chemiczna lub spożywcza?
2. Czy Twoja firma zatrudnia co najmniej 50 pracowników?
3. Czy roczny obrót Twojej firmy przekracza 10 mln euro?

Ważna wskazówka: Jeśli odpowiedziałeś dwa razy TAK, Twoja firma prawdopodobnie musi dokonać wpisu. Jeśli odpowiedziałeś trzy razy TAK, jest to już pewne.

Co powinieneś zrobić?

1. Przeprowadź proces samoidentyfikacji zgodnie z poniższą instrukcją.
2. Dokonaj wpisu do wykazu KSC poprzez portal https://wykaz-ksc.gov.pl.
3. Wdróż odpowiednie procedury cyberbezpieczeństwa w swojej organizacji.

Pozostały czas: Do 3 października 2026 r. pozostało 107 dni.

Dyrektywa NIS2: Co oznacza wejście w życie i implementacja w Polsce?

Ministerstwo Cyfryzacji poinformowało 27 kwietnia 2026 r. o uruchomieniu procedury samoidentyfikacji dla podmiotów objętych nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. Jest to bezpośrednia reakcja na wprowadzenie unijnej dyrektywy NIS2, która znacząco poszerza katalog firm i instytucji zobowiązanych do stosowania rygorystycznych wymogów w zakresie ochrony przed cyberatakami.

Już od 7 maja 2026 r. dostępna jest aplikacja umożliwiająca dokonanie wpisu do Wykazu KSC. Przedsiębiorcy działający w objętych regulacją sektorach muszą samodzielnie ocenić, czy podlegają nowym przepisom, a w przypadku pozytywnej weryfikacji – dokonać obowiązkowego wpisu.

Przygotowanie firmy na nowe wymogi cyberbezpieczeństwa związane z NIS2 w Polsce

Szeroki zakres zastosowania nowej regulacji o krajowym systemie cyberbezpieczeństwa

Nowelizacja ustawy o KSC dzieli objęte nią podmioty na dwie kategorie: podmioty kluczowe oraz podmioty ważne. Klasyfikacja ta ma kluczowe znaczenie, ponieważ determinuje zakres obowiązków w zakresie cyberbezpieczeństwa oraz rodzaj kontroli ze strony organów państwowych.

Ważne jest, że administracja publiczna nie wysyła żadnych powiadomień. Obowiązek samodzielnej analizy spoczywa na przedsiębiorcach. Proces ten, nazywany samoidentyfikacją, polega na analizie przepisów ustawy, w szczególności art. 5 oraz załączników nr 1 i 2, które szczegółowo wymieniają sektory, podsektory i rodzaje działalności. Jak podkreśla Ministerstwo Cyfryzacji, brak wiedzy nie zwalnia z obowiązku.

Czym jest KSC i dlaczego rejestracja jest obowiązkowa?

KSC (Krajowy System Cyberbezpieczeństwa) to rejestr podmiotów, które zobowiązane są do spełnienia wysokich standardów w zakresie ochrony przed cyberatakami. Wpis obejmuje zarówno podmioty kluczowe (np. operatorzy infrastruktury krytycznej, banki), jak i podmioty ważne (mniejsze firmy działające w tych samych sektorach).

Cel utworzenia KSC:

Celem utworzenia KSC jest zapewnienie ochrony przed cyberatakami na infrastrukturę krytyczną, której sparaliżowanie mogłoby mieć katastrofalne skutki dla państwa. Unijna dyrektywa NIS2 wymusiła na krajach członkowskich rozszerzenie tego zakresu ochrony na większą liczbę firm.

Obowiązki po wpisie do KSC:

Rejestracja to dopiero początek. Po wpisie do KSC będziesz zobowiązany do:

• Wdrożenia procedur cyberbezpieczeństwa.
• Zgłaszania incydentów bezpieczeństwa w ciągu 24 godzin.
• Podlegania okresowym audytom.
• Organizowania szkoleń dla pracowników.

Trzystopniowy proces samoidentyfikacji – jak krok po kroku sprawdzić zgodność z przepisami KSC?

Ministerstwo Cyfryzacji przygotowało szczegółową instrukcję samoidentyfikacji, którą dzielimy na trzy kluczowe etapy:

KROK 1: Określenie sektora działalności

Pierwszym krokiem jest ustalenie, czy prowadzona działalność mieści się w sektorach lub podsektorach wymienionych w załączniku nr 1 do ustawy (dotyczy podmiotów kluczowych) lub w załączniku nr 2 (dotyczy podmiotów ważnych).

Ważna uwaga: przy ocenie należy brać pod uwagę rzeczywisty charakter prowadzonej działalności, a nie wyłącznie formalnie zarejestrowane kody PKD. Ministerstwo wyjaśnia, że kody PKD mogą być pomocnicze, ale decydujące znaczenie ma faktyczny zakres świadczonych usług i działalności.

KROK 2: Ustalenie wielkości podmiotu

Drugi etap polega na określeniu wielkości przedsiębiorstwa zgodnie z unijnymi kryteriami. Ustawa rozróżnia mikroprzedsiębiorstwa (poniżej 10 pracowników i obrót do 2 mln euro), małe przedsiębiorstwa (poniżej 50 pracowników i obrót do 10 mln euro), średnie przedsiębiorstwa (poniżej 250 pracowników i obrót do 50 mln euro) oraz duże przedsiębiorstwa (przekraczające te progi).

Istotne zastrzeżenie: przy obliczaniu wielkości przedsiębiorstwa uwzględnia się również przedsiębiorstwa powiązane oraz partnerskie. Nawet jeśli Twoja firma jest mikroprzedsiębiorstwem, ale należy do większej grupy kapitałowej, może zostać zakwalifikowana jako podmiot o większych rozmiarach.

Wyjątek: wszyscy przedsiębiorcy telekomunikacyjni, niezależnie od wielkości, podlegają pod ustawę. Duże i średnie firmy stają się automatycznie podmiotami kluczowymi, natomiast mali i mikroprzedsiębiorcy otrzymują status podmiotów ważnych.

KROK 3: Kwalifikacja jako podmiot kluczowy czy ważny

Ostatni, kluczowy etap to szczegółowa analiza artykułu 5 ustawy o KSC. Ten przepis precyzyjnie określa zasady kwalifikowania podmiotów jako kluczowe lub ważne oraz wskazuje przypadki, w których podmiot może zostać objęty regulacją niezależnie od swojej wielkości.

Po analizie tego przepisu możliwe jest ostateczne ustalenie, czy dana firma jest podmiotem kluczowym, podmiotem ważnym, czy też w ogóle nie podlega przepisom ustawy. Spełnienie przesłanek z art. 5 oznacza objęcie podmiotu przepisami ustawy.

Kluczowe terminy związane z ustawą o krajowym systemie cyberbezpieczeństwa

Kalendarz wdrożenia nowej regulacji jest bardzo napięty. Do 6 maja 2026 r. obowiązywał termin na dokonanie wpisów do Wykazu KSC przez Ministra Cyfryzacji z urzędu. Dotyczyło to podmiotów publicznych, przedsiębiorców telekomunikacyjnych, dostawców usług cyfrowych oraz podmiotów, które wcześniej miały status operatorów usług kluczowych.

Od 7 maja 2026 r. dostępna jest aplikacja webowa umożliwiająca samorejestrację pozostałym podmiotom. Termin na dokonanie samorejestracji upływa 3 października 2026 r. Mając na uwadze konieczność przeprowadzenia samoidentyfikacji, przygotowania dokumentacji i wdrożenia procedur, czas ten może okazać się niewystarczający.

Gdzie i jak dokonać wpisu do Wykazu KSC?

Wykaz KSC jest prowadzony w ramach Systemu S46, ale dostępny jest jako osobna aplikacja webowa pod adresem https://wykaz-ksc.gov.pl. Wnioski o wpis, zmianę lub wykreślenie podmiotu z wykazu należy wypełniać i składać wyłącznie elektronicznie za pośrednictwem tej aplikacji.

Każdy wniosek musi być opatrzony kwalifikowanym podpisem elektronicznym. Proces jest w pełni zdigitalizowany – nie ma możliwości składania dokumentów w formie papierowej.

Konsekwencje braku wpisu do Wykazu KSC i naruszeń przepisów

Ministerstwo Cyfryzacji skupia się na procedurze rejestracji, jednak brak wpisu do wykazu przy jednoczesnym spełnieniu ustawowych przesłanek będzie traktowany jako naruszenie przepisów ustawy o krajowym systemie cyberbezpieczeństwa. Sankcje są znaczące:

• Dla podmiotów kluczowych: kary od 20 tys. zł do 10 mln euro.
• Dla podmiotów ważnych: kary od 15 tys. zł do 7 mln euro.
• Za najpoważniejsze naruszenia: do 100 mln zł.
• Za niezastosowanie się do nakazu organu cyberbezpieczeństwa: od 500 zł do 100 tys. zł za każdy dzień zwłoki.
• Dla kierownika jednostki: do 300% miesięcznego wynagrodzenia.

Cyberbezpieczeństwo – więcej niż formalność: wdrożenie procedur jest kluczowe

Nowelizacja ustawy o KSC nie jest jedynie biurokratycznym wymogiem. Jest to odpowiedź na realnie rosnące zagrożenia w cyberprzestrzeni. Ataki ransomware, wycieki danych, sabotaż infrastruktury – to dzisiejsza rzeczywistość dla firm z kluczowych sektorów gospodarki.

Dyrektywa NIS2, wdrażana przez Polskę poprzez nowelizację KSC, bazuje na doświadczeniach państw członkowskich. Wcześniejsze regulacje okazały się niewystarczające ze względu na zbyt wąski zakres i ogólne wymogi. Nowa regulacja stawia na kompleksowość, precyzję i rzeczywiste podniesienie poziomu bezpieczeństwa.

Dla firm objętych regulacją oznacza to konieczność inwestycji w technologie, procedury i szkolenia. Nakłada również osobistą odpowiedzialność na kadrę zarządzającą za zapewnienie odpowiedniego poziomu ochrony.

Co zrobić teraz w związku z nowelizacją ustawy o KSC i dyrektywą NIS2?

Ministerstwo Cyfryzacji apeluje do podmiotów potencjalnie objętych regulacją, aby nie zwlekały z analizą swojej sytuacji. Zalecane działania:

• Natychmiastowa weryfikacja, czy działalność mieści się w sektorach objętych ustawą.
• Ustalenie wielkości przedsiębiorstwa z uwzględnieniem podmiotów powiązanych.
• Dokładna analiza art. 5 ustawy o KSC.
• Dokonanie wpisu w aplikacji od 7 maja.

W przypadku stwierdzenia objęcia regulacją, konieczne jest rozpoczęcie prac nad wdrożeniem wymaganych procedur cyberbezpieczeństwa. Kluczowe jest proaktywne podejście. Oczekiwanie na wyjaśnienia czy kontrole może prowadzić do poważnych konsekwencji.

Najczęściej zadawane pytania (FAQ)

Kiedy rusza i gdzie dostępna jest rejestracja do Wykazu KSC?

Aplikacja webowa do wpisu została uruchomiona 7 maja 2026 r. Wykaz KSC jest dostępny pod adresem https://wykaz-ksc.gov.pl. Wnioski składa się wyłącznie elektronicznie, z użyciem kwalifikowanego podpisu elektronicznego.

Od kiedy można dokonać samorejestracji, a do kiedy trwa termin?

Okres samorejestracji kończy się 3 października 2026 r. Aplikacja do wpisu ruszyła 7 maja 2026 r. Wpisów z urzędu dokonano do 6 maja 2026 r.

Jak przebiega trzystopniowa samoidentyfikacja dla celów ustawy o KSC?

Etap 1: Sprawdzenie sektora działalności na podstawie załączników nr 1 i 2, z uwzględnieniem faktycznego charakteru działalności. Etap 2: Ustalenie wielkości podmiotu, uwzględniając firmy powiązane. Etap 3: Analiza art. 5 ustawy KSC w celu ostatecznego określenia statusu.

Jakie kary grożą za brak wpisu do Wykazu KSC lub naruszenia przepisów?

Dla podmiotów kluczowych: 20 tys. zł – 10 mln euro; dla podmiotów ważnych: 15 tys. zł – 7 mln euro. Za najpoważniejsze naruszenia do 100 mln zł. Niewykonanie nakazu organu: 500 – 100 tys. zł za dzień. Dla kierownika jednostki: do 300% miesięcznego wynagrodzenia.

Czy przedsiębiorcy telekomunikacyjni zawsze podlegają ustawie o KSC?

Tak. Wszyscy przedsiębiorcy telekomunikacyjni, niezależnie od wielkości, podlegają ustawie. Duże i średnie firmy to podmioty kluczowe, a mali i mikroprzedsiębiorcy to podmioty ważne.

Zostały mi tylko 3 miesiące – czy zdążę?

Tak, jeśli zaczniesz działać natychmiast. Sama rejestracja, jeśli posiadasz kwalifikowany podpis elektroniczny, zajmuje około 30 minut. Kluczowym wyzwaniem może być opracowanie i wdrożenie procedur, co wymaga więcej czasu.

Czy małe firmy (poniżej 50 osób) również muszą się rejestrować?

To zależy od sektora. Wszyscy przedsiębiorcy telekomunikacyjni podlegają obowiązkowi. W innych branżach zazwyczaj nie, chyba że spełniają dodatkowe kryteria określone w art. 5 ustawy.

Wyniki Biznes Fakty:

• Działaj proaktywnie: Nie czekaj na ostatnią chwilę. Rozpocznij proces samoidentyfikacji i analizę swojej firmy już dziś.
• Dokładna analiza kluczowa: Upewnij się, że dokładnie analizujesz faktyczny charakter swojej działalności, a nie tylko kody PKD, oraz uwzględniasz podmioty powiązane przy określaniu wielkości firmy.

Więcej informacji na : mojafirma.infor.pl