Od 7 maja 2026 roku obowiązuje mechanizm samorejestracji w nowym Wykazie podmiotów kluczowych i podmiotów ważnych. Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (tzw. ustawa o KSC 2.0.), która implementuje unijną dyrektywę NIS2, rozszerzyła zakres obowiązków na tysiące firm, dotychczas nieobjętych tak szerokimi regulacjami. Dotyczy to między innymi producentów żywności, firm kurierskich, zakładów chemicznych czy producentów maszyn. Dla wielu z tych przedsiębiorstw termin na zgłoszenie upływa 3 października 2026 roku.
Cyberbezpieczeństwo trafia na poziom zarządu
Nowelizacja ustawy o KSC zmienia postrzeganie cyberbezpieczeństwa z kwestii wyłącznie technicznej na strategiczny priorytet zarządczy. Za realizację obowiązków związanych z cyberbezpieczeństwem odpowiadają bezpośrednio zarządy spółek oraz inne osoby kierujące podmiotami objętymi ustawą. Jest to spowodowane realnymi konsekwencjami, jakie dla działalności gospodarczej może nieść skuteczny atak cybernetyczny, taki jak ransomware. Przestoje w pracy, utrata danych, koszty odbudowy systemów, zakłócenia w łańcuchu dostaw czy roszczenia od kontrahentów mogą sparaliżować funkcjonowanie firm, szczególnie tych opartych na zaawansowanych systemach ERP, platformach sprzedażowych czy elektronicznym obiegu dokumentów.
Wiele firm wciąż zakłada, że przepisy KSC dotyczą przede wszystkim sektora finansowego, telekomunikacyjnego czy energetycznego. W rzeczywistości nowe regulacje obejmują również znaczną część producentów żywności, operatorów gospodarki odpadami, firmy logistyczne, zakłady chemiczne, a także producentów sprzętu elektronicznego, pojazdów i maszyn.
Ważne: Wpis do wykazu podmiotów kluczowych i ważnych nie jest dobrowolny. Przedsiębiorstwo, które stwierdzi, że spełnia kryteria podmiotu kluczowego lub ważnego, musi samodzielnie złożyć wniosek. Brak wezwania ze strony organów nadzorczych nie zwalnia z obowiązku rejestracji.
Podmiot kluczowy czy podmiot ważny
Nowelizacja zastępuje dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych dwoma nowymi kategoriami: podmiotów kluczowych i podmiotów ważnych. Kluczowe różnice między nimi dotyczą przede wszystkim zakresu nadzoru państwa oraz wysokości potencjalnych kar.
Aby określić status firmy, należy odpowiedzieć na dwa pytania: czy działa w sektorze wskazanym w ustawie oraz czy przekracza określone progi wielkościowe. Przy ocenie wielkości przedsiębiorstwa należy uwzględnić nie tylko polską spółkę, ale również podmioty partnerskie i powiązane, w tym te należące do międzynarodowych grup kapitałowych. Oznacza to, że nawet lokalnie niewielka spółka może podlegać przepisom ustawy, jeśli jest częścią większej grupy.
W uproszczeniu:
- Załącznik nr 1 obejmuje sektory o wysokim znaczeniu krytycznym, takie jak energetyka, transport, ochrona zdrowia, bankowość, gospodarka wodna, infrastruktura cyfrowa, administracja publiczna i sektor kosmiczny.
- Załącznik nr 2 obejmuje między innymi usługi pocztowe i kurierskie, gospodarkę odpadami, produkcję i dystrybucję chemikaliów, produkcję żywności, sprzętu elektronicznego, pojazdów i maszyn, a także badania naukowe.
Zazwyczaj duże przedsiębiorstwa działające w sektorach z Załącznika nr 1 są klasyfikowane jako podmioty kluczowe. Średnie przedsiębiorstwa z Załącznika nr 1 oraz średnie i duże przedsiębiorstwa z Załącznika nr 2 są kwalifikowane jako podmioty ważne. Ustawa przewiduje również wyjątki, gdzie o statusie decyduje specyfika działalności, a nie tylko wielkość firmy.
|
Parametr |
Podmiot kluczowy |
Podmiot ważny |
|---|---|---|
|
Model nadzoru |
Kontrola możliwa także bez wcześniejszego incydentu |
Co do zasady kontrola po incydencie lub naruszeniu |
|
Cykliczny audyt |
Obowiązkowy niezależny audyt co 3 lata |
Brak cyklicznego audytu; może być nakazany po incydencie lub naruszeniu |
|
Maksymalna kara dla podmiotu |
Do 10 mln euro lub 2% globalnego obrotu |
Do 7 mln euro lub 1,4% globalnego obrotu |
|
Najbardziej dotkliwe środki |
Możliwe dalej idące środki, w tym czasowe ograniczenia działalności |
Mniej inwazyjny model nadzoru – kontrola głównie po incydencie lub naruszeniu |
Samorejestracja w wykazie KSC
Wykaz KSC jest prowadzony przez NASK w ramach Systemu S46. Wpisy do wykazu realizowane są dwutorowo: z urzędu lub na wniosek. Wpis z urzędu dotyczy wybranych podmiotów publicznych, firm telekomunikacyjnych, dotychczasowych operatorów usług kluczowych oraz dostawców usług zaufania. Dla większości przedsiębiorstw właściwą ścieżką będzie samodzielna rejestracja.
Wniosek o wpis składa się elektronicznie za pośrednictwem platformy wykaz-ksc.gov.pl. Można go podpisać za pomocą kwalifikowanego podpisu elektronicznego, profilu zaufanego, podpisu osobistego (z e-dowodu) lub kwalifikowanej pieczęci elektronicznej. Termin na złożenie wniosku wynosi 6 miesięcy od dnia, w którym podmiot zaczął spełniać kryteria klasyfikacyjne. Dla firm, które spełniały te kryteria już w momencie wejścia w życie nowych przepisów, ostateczny termin upływa 3 października 2026 roku.
Wniosek rejestracyjny powinien zawierać między innymi:
- Dane identyfikacyjne i sektorowe, w tym właściwy sektor i podsektor zgodny z ustawą.
- Informacje o wykorzystywanych domenach internetowych oraz pulach i zakresach adresów IP.
- Dane dotyczące zewnętrznych dostawców usług cyberbezpieczeństwa.
- Dane co najmniej dwóch osób kontaktowych ds. cyberbezpieczeństwa.
Wszelkie zmiany dotyczące tych danych, np. zmiana osoby kontaktowej, domeny czy zakresu adresów IP, muszą zostać zgłoszone w ciągu 14 dni od ich wystąpienia.
Na końcu wniosku kierownik jednostki składa oświadczenie pod rygorem odpowiedzialności karnej za podanie fałszywych informacji. Dlatego zgłoszenie do wykazu KSC nie powinno być traktowane jako zwykła formalność administracyjna.
Test: czy firma musi się zarejestrować
Weryfikację obowiązku rejestracji najlepiej przeprowadzić w trzech krokach:
Krok 1. Sprawdź szczególne usługi technologiczne
Najpierw należy ustalić, czy firma prowadzi działalność, która może podlegać pod ustawę na szczególnych zasadach. Dotyczy to między innymi niektórych usług cyfrowych, usług zaufania, systemów DNS, rejestrów TLD, usług zarządzanych w zakresie cyberbezpieczeństwa, centrów danych, usług chmurowych oraz działalności telekomunikacyjnej. Jeśli firma świadczy usługi technologiczne dla innych podmiotów lub odpowiada za infrastrukturę cyfrową, powinna szczegółowo zapoznać się z artykułem 5 ustawy oraz definicjami ustawowymi.
Krok 2. Sprawdź skalę działalności
Jeśli firma nie mieści się w szczególnych kategoriach technologicznych, należy ocenić jej wielkość. Ustawa obejmuje zasadniczo średnie i duże przedsiębiorstwa, czyli podmioty zatrudniające co najmniej 50 pracowników lub przekraczające określone progi finansowe. Przy tej ocenie kluczowe jest uwzględnienie przedsiębiorstw partnerskich i powiązanych. Szczególną ostrożność powinny zachować polskie spółki będące częścią międzynarodowych grup kapitałowych, ponieważ sama lokalna skala działalności może nie wystarczyć do wyłączenia ich z nowych obowiązków.
Krok 3. Sprawdź sektor
Jeżeli firma przekracza wymagany próg wielkościowy, należy sprawdzić, czy działa w sektorze wymienionym w Załączniku nr 1 lub Załączniku nr 2 do ustawy:
- Załącznik nr 1: Duże przedsiębiorstwo może zostać uznane za podmiot kluczowy, a średnie przedsiębiorstwo za podmiot ważny.
- Załącznik nr 2: Średnie lub duże przedsiębiorstwo może zostać zaklasyfikowane jako podmiot ważny.
Jeśli firma nie działa w żadnym z wymienionych sektorów i nie oferuje szczególnych usług technologicznych, nowe obowiązki wynikające z ustawy o KSC mogą jej nie dotyczyć. W przypadku niepewności, bardziej bezpiecznym rozwiązaniem jest przeprowadzenie formalnej samoidentyfikacji niż oczekiwanie na reakcję organów nadzorczych.
Zarząd odpowiada osobiście
Jedną z najbardziej znaczących zmian jest wprowadzenie osobistej odpowiedzialności kierownictwa. Zadania związane z cyberbezpieczeństwem nie mogą być już delegowane wyłącznie do działu IT. Za prawidłowe wykonanie obowiązków odpowiadają osoby kierujące podmiotem – w zależności od formy prawnej mogą to być członkowie zarządu, komplementariusze, właściciele jednoosobowych działalności gospodarczych objętych ustawą, likwidatorzy, syndycy lub zarządcy sukcesyjni.
Zlecenie usług cyberbezpieczeństwa zewnętrznej firmie nie zwalnia kierownictwa z odpowiedzialności wobec państwa. Outsourcing może wspierać realizację obowiązków, ale nie przenosi odpowiedzialności za nadzór i kontrolę.
Do kluczowych obowiązków kierownictwa należą między innymi:
- Zarządzanie ryzykiem w obszarze cyberbezpieczeństwa.
- Nadzór nad politykami, procedurami i planami ciągłości działania.
- Zapewnienie odpowiednich kompetencji osób odpowiedzialnych za cyberbezpieczeństwo.
- Uczestnictwo w wymaganych szkoleniach i dokumentowanie ich odbycia.
- Prawidłowe raportowanie incydentów.
Kary przewidziane w ustawie mogą dotyczyć nie tylko firmy, ale również osób kierujących jednostką. W sektorze prywatnym kary personalne mogą sięgać nawet 300% miesięcznego wynagrodzenia, a w sektorze publicznym – 100%. W skrajnych przypadkach możliwe jest również nałożenie czasowych ograniczeń w pełnieniu funkcji kierowniczych.
Co zarząd powinien zrobić teraz
Pierwszym i kluczowym krokiem nie powinno być zakupienie nowego oprogramowania czy narzędzia IT, lecz gruntowna analiza statusu prawnego i operacyjnego firmy. Zarząd powinien:
- Ustalenie, czy firma działa w sektorze wymienionym w Załączniku nr 1 lub Załączniku nr 2 do ustawy.
- Sprawdzenie wielkości przedsiębiorstwa, uwzględniając przy tym podmioty partnerskie i powiązane.
- Ocena, czy firma świadczy usługi technologiczne objęte szczególnymi regulacjami.
- Wyznaczenie osoby odpowiedzialnej za realizację projektu związanego z KSC/NIS2.
- Zebranie niezbędnych danych do wniosku: informacje o sektorach, domenach, adresach IP, dostawcach usług cyberbezpieczeństwa oraz dane osób kontaktowych.
- Zaplanowanie szkoleń dla członków zarządu i osób odpowiedzialnych za cyberbezpieczeństwo.
- Rozpoczęcie prac nad wdrożeniem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
Cyberbezpieczeństwo przestało być wyłączną domeną działu IT. Stało się strategicznym obowiązkiem zarządu, wiążącym się z osobistą odpowiedzialnością prawną i finansową. Zbagatelizowanie tej zmiany może okazać się jednym z najkosztowniejszych zaniedbań, jakie kierownictwo firmy popełni w najbliższych miesiącach.
Wyniki Biznes Fakty:
- Określ swój status: Przeprowadź szczegółową analizę, czy Twoja firma podlega pod nowe przepisy ustawy o KSC 2.0., uwzględniając jej działalność, wielkość (wraz z podmiotami powiązanymi) oraz branżę.
- Zgłoś się samodzielnie: Jeśli Twoja firma spełnia kryteria, nie czekaj na wezwanie. Skorzystaj z mechanizmu samorejestracji i złóż wniosek w wyznaczonym terminie (do 3 października 2026 r.).
- Zadbaj o odpowiedzialność zarządu: Pamiętaj, że odpowiedzialność za cyberbezpieczeństwo spoczywa na kierownictwie. Zaplanuj odpowiednie szkolenia i deleguj zadania, ale zachowaj nadzór.
Według danych portalu: mojafirma.infor.pl