Najważniejsze wnioski
- Każda organizacja powinna samodzielnie ustalić, czy spełnia przesłanki z art. 5 KSC – wpis do wykazu ma charakter deklaratoryjny, a nie konstytutywny, więc obowiązek powstaje niezależnie od formalnego uznania przez organ.
- Kwalifikacja opiera się na czterech elementach: rzeczywistym profilu działalności, dopasowaniu do załącznika nr 1 lub nr 2, wielkości podmiotu oraz wyjątkach działających niezależnie od wielkości (art. 5 ust. 1 pkt 4 i ust. 2 pkt 4–8 KSC).
- Kierownik podmiotu ponosi odpowiedzialność za decyzje dotyczące wdrożenia i nadzoru nad systemem zarządzania bezpieczeństwem informacji nawet wtedy, gdy obowiązki operacyjne powierzono IOD, dyrektorowi IT lub podmiotowi zewnętrznemu.
- Błędna samoidentyfikacja – w obie strony – rodzi konsekwencje: od zaległości w obowiązkach rejestrowych i wdrożeniowych po zbędne koszty wdrożenia procedur, których ustawa nie wymaga.
- Ocena powinna być udokumentowana pisemnie także wtedy, gdy wynik jest negatywny, ponieważ organ właściwy do spraw cyberbezpieczeństwa prowadzi bieżącą analizę sektora i może zakwestionować błędne założenia.
- Terminy biegną od dnia spełnienia przesłanek, nie od dnia wpisu: 6 miesięcy na rejestrację w wykazie, 12 miesięcy na wdrożenie obowiązków, 24 miesiące na pierwszy audyt dla podmiotów kluczowych.
Mechanizm kwalifikacji na gruncie art. 5 KSC
Ustawodawca odszedł od modelu list zamkniętych na rzecz kwalifikacji sektorowo-wielkościowej. Zgodnie z art. 5 KSC podmiot staje się kluczowy lub ważny, jeżeli jego działalność odpowiada rodzajowi wskazanemu w załączniku nr 1 (sektory kluczowe) lub nr 2 (sektory ważne), a jednocześnie spełnia właściwy próg wielkości określony przepisami o MŚP. Zasadą ogólną jest, że duży podmiot z załącznika nr 1 jest podmiotem kluczowym, średni podmiot z załącznika nr 1 – podmiotem ważnym, a średni lub duży podmiot z załącznika nr 2 – co do zasady podmiotem ważnym. Od tej reguły ustawa przewiduje liczne wyjątki, o których niżej.
NIS2 rozkładamy na czynniki pierwsze od kilku lat. Mamy narzędzia do wstępnej oceny, zaawansowane narzędzie oparte na AI oraz zespół prawników do finalnej, pisemnej opinii.
Ustalanie profilu działalności i dopasowanie do załączników
Analizę należy rozpocząć od ustalenia działalności faktycznie wykonywanej, a nie deklarowanej w rejestrach. Kod PKD ma znaczenie wyłącznie pomocnicze – Ministerstwo Cyfryzacji wprost wskazuje, że o kwalifikacji decyduje rzeczywisty model świadczenia usług, w tym architektura systemów informacyjnych, umowy, regulaminy i zakres aktywnej administracji infrastrukturą. Dopiero na tej podstawie można dopasować działalność do konkretnego rodzaju podmiotu wskazanego w załączniku nr 1 lub nr 2 – np. dostawcy chmury obliczeniowej, dostawcy usług centrum przetwarzania danych czy dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa.
Szczególnie zdradliwa kwalifikacyjnie jest branża software house'owa. Argumenty za objęciem ustawą pojawiają się wtedy, gdy podmiot w rzeczywistości świadczy usługi chmurowe, prowadzi centrum przetwarzania danych lub aktywnie administruje infrastrukturą klienta – zwłaszcza w modelu usług zarządzanych w zakresie cyberbezpieczeństwa. Argumenty przeciw są silne, gdy działalność ogranicza się do jednorazowego tworzenia lub wdrażania oprogramowania, sprzedaży licencji albo utrzymania aplikacji bez aktywnej administracji środowiskiem klienta. Ministerstwo Cyfryzacji wprost wskazuje, że dostawcy oprogramowania co do zasady nie mieszczą się w definicji dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa – sam fakt dostarczania software'u nie przesądza podlegania ustawie.
Osobnego omówienia wymaga outsourcing. Podmiot objęty ustawą ma obowiązek uwzględniać bezpieczeństwo i ciągłość łańcucha dostaw produktów, usług i procesów ICT – to obowiązek klienta, nie dostawcy. Sam dostawca nie staje się z tego powodu automatycznie podmiotem kluczowym lub ważnym; zostanie objęty ustawą wyłącznie wtedy, gdy sam spełnia przesłanki z art. 5 KSC i mieści się w załącznikach. Rozszerzanie zakresu ustawy na cały ekosystem kontraktowy podmiotu objętego nie znajduje podstawy w przepisach.
Ocena wielkości podmiotu oraz podmiotów powiązanych
Wielkość ustala się według unijnych progów dla MŚP: mikroprzedsiębiorca – poniżej 10 pracowników i do 2 mln EUR obrotu lub sumy bilansowej; mały – poniżej 50 i do 10 mln EUR; średni – poniżej 250 i do 50 mln EUR obrotu lub 43 mln EUR sumy bilansowej; duży – powyżej tych progów. Zgodnie z aktualnym Q&A Ministerstwa Cyfryzacji do wielkości podmiotu co do zasady dolicza się dane przedsiębiorstw partnerskich i powiązanych, chyba że systemy informacyjne ocenianego podmiotu są od nich faktycznie niezależne, a podmioty nie świadczą wspólnie tej samej usługi podlegającej ustawie. To zniuansowanie ma istotne znaczenie praktyczne przy ocenie grup kapitałowych i wymaga odrębnej dokumentacji dowodowej.
Wyjątki niezależne od progu wielkości
Niektóre kategorie podmiotów podlegają ustawie jako podmioty kluczowe niezależnie od wielkości – dotyczy to m.in. dostawców usług DNS, kwalifikowanych dostawców usług zaufania, podmiotów krytycznych, rejestrów TLD, rejestratorów nazw domen oraz dostawców usług zarządzanych w zakresie cyberbezpieczeństwa już od statusu małego przedsiębiorcy. Organ właściwy może również, w drodze decyzji na podstawie art. 7l KSC, uznać podmiot z załącznika nr 1 lub nr 2 za kluczowy lub ważny niezależnie od standardowych progów, jeżeli świadczona usługa ma szczególne znaczenie społeczne, gospodarcze lub bezpieczeństwowe.
Czy Twoja firma podlega ustawie o KSC? Błędna ocena kosztuje niezależnie od tego, w którą stronę pójdzie. Sprawdzimy to za Ciebie i przygotujemy pisemną opinię.
Terminy i skutki kwalifikacji
Ustalenie, że podmiot jest kluczowy lub ważny, uruchamia konkretny harmonogram. Wniosek o wpis do wykazu podmiotów kluczowych i ważnych składa się w terminie 6 miesięcy od dnia spełnienia przesłanek ustawowych, obowiązki z rozdziału 3 KSC – w tym wdrożenie systemu zarządzania bezpieczeństwem informacji – realizuje się w terminie 12 miesięcy, a podmiot kluczowy zapewnia pierwszy audyt w terminie 24 miesięcy.
Zapytaj o wycenę opinii prawnej lub skorzystaj z bezpłatnej analizy naszym autorskim narzędziem
Dla podmiotów, które spełniały kryteria już w dniu wejścia w życie nowelizacji, zastosowano przepisy przejściowe: 12 miesięcy na wdrożenie i 24 miesiące na pierwszy audyt, przy czym Ministerstwo Cyfryzacji uruchomiło operacyjny harmonogram samorejestracji od 7 maja do 3 października 2026 r., z terminem dostosowania do 3 kwietnia 2027 r. i pierwszym audytem do 3 kwietnia 2028 r. Kary pieniężne z nowych przepisów mogą być nakładane dopiero po upływie 2 lat od wejścia w życie ustawy – co nie zwalnia z obowiązków wdrożeniowych przed tym terminem.
Wpis do wykazu ma charakter deklaratoryjny, nie konstytutywny – terminy liczy się od dnia spełnienia przesłanek, nie od dnia rejestracji. Odkładanie wpisu do końca harmonogramu samorejestracji nie wydłuża więc czasu na realizację pozostałych obowiązków.
Rola kierownika podmiotu i inspektora ochrony danych w procesie samoidentyfikacji
Ustawa posługuje się pojęciem „kierownika podmiotu kluczowego lub podmiotu ważnego", nie ogólnym „kierownikiem jednostki". To on ponosi odpowiedzialność za decyzje dotyczące przygotowania, wdrażania, przeglądu i nadzoru nad systemem zarządzania bezpieczeństwem informacji oraz za zapewnienie zgodności z przepisami – niezależnie od tego, czy operacyjne wykonanie tych zadań powierzono IOD, dyrektorowi IT czy zewnętrznemu doradcy. Outsourcing lub delegacja obowiązków nie znoszą odpowiedzialności kierownictwa. W praktyce oznacza to, że proces samoidentyfikacji – choć często prowadzony przez IOD lub dział compliance – powinien kończyć się formalną decyzją zarządu, opartą na udokumentowanej analizie.
FAQ – najczęściej zadawane pytania
Czy mała firma może podlegać ustawie o KSC?
Tak. Ustawa przewiduje kategorie podmiotów kluczowych niezależnych od wielkości – m.in. dostawców DNS, kwalifikowanych dostawców usług zaufania oraz dostawców usług zarządzanych w zakresie cyberbezpieczeństwa, którzy podlegają ustawie już od statusu małego przedsiębiorcy.
Czy PKD decyduje o podleganiu ustawie?
Nie. Zgodnie ze stanowiskiem Ministerstwa Cyfryzacji kod PKD ma wyłącznie znaczenie pomocnicze i dowodowe – rozstrzyga rzeczywisty model działalności analizowany w świetle art. 5 KSC i załączników do ustawy.
Czy jeśli spółka dominująca podlega ustawie, to spółka zależna podlega automatycznie?
Nie. Każda spółka w grupie kapitałowej przeprowadza samoidentyfikację odrębnie. Spółka zależna nie „dziedziczy" statusu spółki dominującej i rejestruje się w wykazie wyłącznie wtedy, gdy sama spełnia przesłanki z art. 5 KSC.
Jaką rolę odgrywa kierownik podmiotu w procesie samoidentyfikacji?
Kierownik podmiotu ponosi odpowiedzialność za ostateczną decyzję kwalifikacyjną oraz za nadzór nad systemem zarządzania bezpieczeństwem informacji, nawet jeśli analizę operacyjną prowadzi IOD lub zewnętrzny doradca. Delegacja obowiązków nie zwalnia z odpowiedzialności.
Co grozi za błędną samoidentyfikację?
Błędne ustalenie, że podmiot nie podlega ustawie, skutkuje koniecznością retroaktywnego wykonania obowiązków rejestrowych i wdrożeniowych, a organ właściwy może zażądać wyjaśnień dotyczących podstaw przyjętej kwalifikacji.
Czy wpis do wykazu podmiotów kluczowych i ważnych ma charakter fakultatywny?
Nie. Wpis ma charakter materialno-techniczny i deklaratoryjny – obowiązek powstaje z chwilą spełnienia ustawowych przesłanek, a nie z chwilą złożenia wniosku o wpis.
W jakim terminie trzeba wpisać firmę do wykazu KSC?
W terminie 6 miesięcy od dnia spełnienia przesłanek ustawowych. Obowiązki wdrożeniowe realizuje się w terminie 12 miesięcy, a podmiot kluczowy zapewnia pierwszy audyt w terminie 24 miesięcy.
Czy software house tworzący oprogramowanie dla banków podlega ustawie o KSC?
Nie automatycznie. Sama obsługa klientów z sektora bankowego nic nie przesądza – decyduje, czy podmiot aktywnie administruje infrastrukturą klienta lub świadczy usługi zarządzane w zakresie cyberbezpieczeństwa, czy ogranicza się do tworzenia i wdrażania oprogramowania.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Co decyduje o zakwalifikowaniu podmiotu jako kluczowego lub ważnego na gruncie art. 5 KSC?
Artykuł ma charakter informacyjny i nie zastępuje indywidualnej analizy prawnej konkretnej organizacji.

