Dlaczego nie jest to zadanie proste?
Prawidłowa samoidentyfikacja pod kątem obowiązków wynikających z KSC wymaga przeprowadzenia wnikliwej analizy nie tylko przepisów KSC, lecz także regulacji krajowych i unijnych dotyczących poszczególnych sektorów działalności.
Jeżeli nie masz pewności, jak przygotować organizację do nowych obowiązków po zakończeniu samoidentyfikacji, przeczytaj również nasz poradnik Jak wdrożyć KSC / NIS2 – poradnik dla firm, w którym opisujemy cały proces krok po kroku.
Niejednokrotnie konieczne jest odwołanie się do wykładni językowej, systemowej i celowościowej, a także uwzględnienie dorobku doktryny oraz dostępnych wytycznych interpretacyjnych. Dodatkowym wyzwaniem jest fakt, że przepisy wdrażające dyrektywę NIS2 są nowe, a praktyka organów, orzecznictwo i utrwalone stanowiska interpretacyjne dopiero się kształtują.
NASZA OFERTA
NIS2 analizujemy od kilku lat. Oferujemy trzy ścieżki wsparcia – od szybkiej diagnozy po kompleksową opinię prawną.
- Wstępna ocena – szybka analiza pozwalająca określić, czy i w jakim zakresie organizacja podlega wymaganiom NIS2 – rozpocznij krótki test.
- Bezpłatna pogłębiona analiza – szczegółowa ocena oparta na autorskim narzędziu wspieranym sztuczną inteligencją, która pozwala przeanalizować znacznie więcej zmiennych i scenariuszy - – umów się na konsultację z naszym doradcą.
- Finalna opinia prawna – końcowa, pisemna opinia przygotowana przez zespół naszych prawników, zawierająca jednoznaczny wniosek wraz z uzasadnieniem - zapytaj o wycenę opinii prawnej.
Najważniejsze wnioski
- Każda organizacja powinna samodzielnie ustalić, czy spełnia przesłanki z art. 5 KSC, a jeśli tak – dokonać zgłoszenia – wpis do wykazu ma charakter deklaratoryjny, a nie konstytutywny, więc obowiązki wynikające z ustawy powstają niezależnie od formalnego uznania przez organ.
- Wpis jest obowiązkowy, a jego brak może wiązać się z negatywnymi konsekwencjami dla organizacji.
- Kwalifikacja opiera się na czterech elementach: rzeczywistym profilu działalności, dopasowaniu do załącznika nr 1 lub nr 2, wielkości podmiotu oraz wyjątkach działających niezależnie od wielkości (art. 5 ust. 1 pkt 4 i ust. 2 pkt 4–8 KSC).
- Kierownik podmiotu ponosi odpowiedzialność za decyzje dotyczące wdrożenia i nadzoru nad systemem zarządzania bezpieczeństwem informacji nawet wtedy, gdy obowiązki operacyjne powierzono dyrektorowi IT, innemu pracownikowi lub podmiotowi zewnętrznemu.
- Błędna samoidentyfikacja – w obie strony – rodzi konsekwencje: od zaległości w obowiązkach rejestrowych i wdrożeniowych, co może wiązać się z wysokimi karami, po zbędne koszty wdrożenia procedur, których ustawa nie wymaga.
- Ocena powinna być udokumentowana pisemnie także wtedy, gdy wynik jest negatywny, ponieważ organ właściwy do spraw cyberbezpieczeństwa może zwrócić się o uzasadnienie przyjętych założeń.
- Termin na zgłoszenie upływa 3 października 2026 r. dla podmiotów, które spełniały przesłanki w dniu wejścia w życie przepisów. Dla pozostałych podmiotów terminy biegną od dnia spełnienia przesłanek, nie od dnia wpisu – jest to 6 miesięcy na rejestrację w wykazie. Każdy podmiot ma 12 miesięcy na wdrożenie obowiązków, a 24 miesiące na pierwszy audyt dla podmiotów kluczowych.
Mechanizm kwalifikacji na gruncie art. 5 KSC
Ustawodawca odszedł od modelu list zamkniętych na rzecz kwalifikacji sektorowo-wielkościowej. Zgodnie z art. 5 KSC podmiot staje się kluczowy lub ważny, jeżeli jego działalność odpowiada rodzajowi wskazanemu w załączniku nr 1 (sektory kluczowe) lub nr 2 (sektory ważne), a jednocześnie spełnia właściwy próg wielkości określony przepisami o MŚP. Zasadą ogólną jest, że duży podmiot z załącznika nr 1 jest podmiotem kluczowym, średni podmiot z załącznika nr 1 – podmiotem ważnym, a średni lub duży podmiot z załącznika nr 2 – co do zasady podmiotem ważnym. Od tej reguły ustawa przewiduje liczne wyjątki, o których niżej.
Ustalanie profilu działalności i dopasowanie do załączników
Analizę należy rozpocząć od ustalenia działalności faktycznie wykonywanej, a nie deklarowanej w rejestrach. Kod PKD ma znaczenie wyłącznie pomocnicze – Ministerstwo Cyfryzacji wprost wskazuje, że o kwalifikacji decyduje rzeczywisty model świadczenia usług, w tym architektura systemów informacyjnych, umowy, regulaminy i zakres aktywnej administracji infrastrukturą. Dopiero na tej podstawie można dopasować działalność do konkretnego rodzaju podmiotu wskazanego w załączniku nr 1 lub nr 2 – np. dostawcy chmury obliczeniowej, dostawcy usług centrum przetwarzania danych czy dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa.
Szczególnie zdradliwa kwalifikacyjnie jest branża software house'owa. Argumenty za objęciem ustawą pojawiają się wtedy, gdy podmiot w rzeczywistości świadczy usługi chmurowe, prowadzi centrum przetwarzania danych lub aktywnie administruje infrastrukturą klienta – zwłaszcza w modelu usług zarządzanych w zakresie cyberbezpieczeństwa. Argumenty przeciw są silne, gdy działalność ogranicza się do jednorazowego tworzenia lub wdrażania oprogramowania, sprzedaży licencji albo utrzymania aplikacji bez aktywnej administracji środowiskiem klienta. Ministerstwo Cyfryzacji wprost wskazuje, że dostawcy oprogramowania co do zasady nie mieszczą się w definicji dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa – sam fakt dostarczania software'u nie przesądza podlegania ustawie.
Osobnego omówienia wymaga outsourcing. Podmiot objęty ustawą ma obowiązek uwzględniać bezpieczeństwo i ciągłość łańcucha dostaw produktów, usług i procesów ICT – to obowiązek klienta, nie dostawcy. Sam dostawca nie staje się z tego powodu automatycznie podmiotem kluczowym lub ważnym; zostanie objęty ustawą wyłącznie wtedy, gdy sam spełnia przesłanki z art. 5 KSC i mieści się w załącznikach. Rozszerzanie zakresu ustawy na cały ekosystem kontraktowy podmiotu objętego nie znajduje podstawy w przepisach.
Ocena wielkości podmiotu oraz podmiotów powiązanych
Wielkość ustala się według unijnych progów dla MŚP: mikroprzedsiębiorca – poniżej 10 pracowników i do 2 mln EUR obrotu lub sumy bilansowej; mały – poniżej 50 i do 10 mln EUR; średni – poniżej 250 i do 50 mln EUR obrotu lub 43 mln EUR sumy bilansowej; duży – powyżej tych progów. Zgodnie z aktualnym Q&A Ministerstwa Cyfryzacji do wielkości podmiotu co do zasady dolicza się dane przedsiębiorstw partnerskich i powiązanych, chyba że systemy informacyjne ocenianego podmiotu są od nich faktycznie niezależne, a podmioty nie świadczą wspólnie tej samej usługi podlegającej ustawie. To zniuansowanie ma istotne znaczenie praktyczne przy ocenie grup kapitałowych i wymaga odrębnej dokumentacji dowodowej.
Po ustaleniu, czy organizacja podlega ustawie o KSC, warto sprawdzić, na jakim etapie przygotowań do nowych obowiązków się znajduje. Pomocna będzie nasza lista kontrolna gotowości do NIS2.
Wyjątki niezależne od progu wielkości
Niektóre kategorie podmiotów podlegają ustawie jako podmioty kluczowe niezależnie od wielkości – dotyczy to m.in. dostawców usług DNS, kwalifikowanych dostawców usług zaufania, podmiotów krytycznych, rejestrów TLD, rejestratorów nazw domen oraz dostawców usług zarządzanych w zakresie cyberbezpieczeństwa już od statusu małego przedsiębiorcy. Organ właściwy może również, w drodze decyzji na podstawie art. 7l KSC, uznać podmiot z załącznika nr 1 lub nr 2 za kluczowy lub ważny niezależnie od standardowych progów, jeżeli świadczona usługa ma szczególne znaczenie społeczne, gospodarcze lub w zakresie bezpieczeństwa.
Terminy i skutki kwalifikacji
Ustalenie, że podmiot jest kluczowy lub ważny, uruchamia konkretny harmonogram. Wniosek o wpis do wykazu podmiotów kluczowych i ważnych należy złożyć do 3 października 2026 r., jeśli organizacja spełniała przesłanki w dniu wejścia nowych regulacji w życie. Obowiązki z rozdziału 3 KSC – w tym wdrożenie systemu zarządzania bezpieczeństwem informacji – realizuje się w terminie 12 miesięcy, a podmiot kluczowy zapewnia pierwszy audyt w terminie 24 miesięcy.
Dla podmiotów, które spełniały kryteria już w dniu wejścia w życie nowelizacji, zastosowano przepisy przejściowe: 12 miesięcy na wdrożenie i 24 miesiące na pierwszy audyt, przy czym Ministerstwo Cyfryzacji uruchomiło operacyjny harmonogram samorejestracji od 7 maja do 3 października 2026 r., z terminem dostosowania do 3 kwietnia 2027 r. i pierwszym audytem do 3 kwietnia 2028 r. Kary pieniężne z nowych przepisów mogą być nakładane dopiero po upływie 2 lat od wejścia w życie ustawy – co nie zwalnia z obowiązków wdrożeniowych przed tym terminem.
Wpis do wykazu ma charakter deklaratoryjny, nie konstytutywny – terminy liczy się od dnia spełnienia przesłanek, nie od dnia rejestracji. Odkładanie wpisu do końca harmonogramu samorejestracji nie wydłuża więc czasu na realizację pozostałych obowiązków.
Rola kierownika podmiotu w procesie samoidentyfikacji
Ustawa posługuje się pojęciem „kierownika podmiotu kluczowego lub podmiotu ważnego", nie ogólnym „kierownikiem jednostki". To on ponosi odpowiedzialność za decyzje dotyczące przygotowania, wdrażania, przeglądu i nadzoru nad systemem zarządzania bezpieczeństwem informacji oraz za zapewnienie zgodności z przepisami – niezależnie od tego, czy operacyjne wykonanie tych zadań powierzono dyrektorowi IT, innemu pracownikowi czy zewnętrznemu doradcy. Outsourcing lub delegacja obowiązków nie znoszą odpowiedzialności kierownictwa. W praktyce oznacza to, że proces samoidentyfikacji powinien kończyć się formalną decyzją zarządu, opartą na udokumentowanej analizie.
NASZA OFERTA
Oferujemy trzy ścieżki wsparcia – od szybkiej diagnozy po kompleksową opinię prawną.
- Wstępna ocena – szybka analiza pozwalająca określić, czy i w jakim zakresie organizacja podlega wymaganiom NIS2 - rozpocznij krótki test.
- Bezpłatna pogłębiona analiza – szczegółowa ocena oparta na autorskim narzędziu wspieranym sztuczną inteligencją, która pozwala przeanalizować znacznie więcej zmiennych i scenariuszy - umów się na konsultację z naszym doradcą.
- Finalna opinia prawna – końcowa, pisemna opinia przygotowana przez zespół naszych prawników, zawierająca jednoznaczny wniosek wraz z uzasadnieniem - zapytaj o wycenę opinii prawnej.
FAQ – najczęściej zadawane pytania
Czy mała firma może podlegać ustawie o KSC?
Tak. Ustawa przewiduje kategorie podmiotów kluczowych niezależnych od wielkości – m.in. dostawców DNS, kwalifikowanych dostawców usług zaufania oraz dostawców usług zarządzanych w zakresie cyberbezpieczeństwa, którzy podlegają ustawie już od statusu małego przedsiębiorcy.
Czy PKD decyduje o podleganiu ustawie?
Nie. Zgodnie ze stanowiskiem Ministerstwa Cyfryzacji kod PKD ma wyłącznie znaczenie pomocnicze i dowodowe – rozstrzyga rzeczywisty model działalności analizowany w świetle art. 5 KSC i załączników do ustawy.
Czy jeśli spółka dominująca podlega ustawie, to spółka zależna podlega automatycznie?
Nie. Każda spółka w grupie kapitałowej przeprowadza samoidentyfikację odrębnie. Spółka zależna nie „dziedziczy" statusu spółki dominującej i rejestruje się w wykazie wyłącznie wtedy, gdy sama spełnia przesłanki z art. 5 KSC.
Jaką rolę odgrywa kierownik podmiotu w procesie samoidentyfikacji?
Kierownik podmiotu ponosi odpowiedzialność za ostateczną decyzję kwalifikacyjną oraz za nadzór nad systemem zarządzania bezpieczeństwem informacji, nawet jeśli analizę operacyjną prowadzi IOD lub zewnętrzny doradca. Delegacja obowiązków nie zwalnia z odpowiedzialności.
Co grozi za błędną samoidentyfikację?
Błędne ustalenie, że podmiot nie podlega ustawie, skutkuje koniecznością retroaktywnego wykonania obowiązków rejestrowych i wdrożeniowych, a organ właściwy może zażądać wyjaśnień dotyczących podstaw przyjętej kwalifikacji.
Czy wpis do wykazu podmiotów kluczowych i ważnych ma charakter fakultatywny?
Nie. Wpis ma charakter materialno-techniczny i deklaratoryjny – obowiązek powstaje z chwilą spełnienia ustawowych przesłanek, a nie z chwilą złożenia wniosku o wpis.
W jakim terminie trzeba wpisać firmę do wykazu KSC?
W terminie 6 miesięcy od dnia spełnienia przesłanek ustawowych. Obowiązki wdrożeniowe realizuje się w terminie 12 miesięcy, a podmiot kluczowy zapewnia pierwszy audyt w terminie 24 miesięcy.
Czy software house tworzący oprogramowanie dla banków podlega ustawie o KSC?
Nie automatycznie. Sama obsługa klientów z sektora bankowego nic nie przesądza – decyduje, czy podmiot aktywnie administruje infrastrukturą klienta lub świadczy usługi zarządzane w zakresie cyberbezpieczeństwa, czy ogranicza się do tworzenia i wdrażania oprogramowania.
Artykuł ma charakter informacyjny i nie zastępuje indywidualnej analizy prawnej konkretnej organizacji.



