KSC 2.0 już obowiązuje. Firmy muszą sprawdzić, czy mają nowy obowiązek

25 maja 2026
Sławomir Biliński
prawnik, dziennikarz, prowadzący szkolenia
rozwiń więcej
NIS 2 i ustawa o KSC / NIS 2 i ustawa o KSC / genAI / Forsal.pl

Od 7 maja 2026 r. działa samorejestracja w nowym Wykazie podmiotów kluczowych i podmiotów ważnych. Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (tzw. ustawa o KSC 2.0.), wdrażająca unijną dyrektywę NIS2, objęła tysiące firm, które wcześniej nie podlegały tak szerokim obowiązkom – od producentów żywności i firm kurierskich, po zakłady chemiczne i producentów maszyn. Dla wielu z nich termin na zgłoszenie upływa 3 października 2026 r.

rozwiń >

Cyberbezpieczeństwo trafia na poziom zarządu

Nowelizacja KSC kończy z traktowaniem cyberbezpieczeństwa jako sprawy wyłącznie technicznej. Za wykonanie obowiązków odpowiadają zarządy spółek i inne osoby kierujące podmiotami objętymi ustawą. Powód jest prosty. Skuteczny atak ransomware często oznacza przestój, utratę danych, odbudowę systemów, zakłócenia w łańcuchu dostaw i roszczenia kontrahentów. W firmach opartych na systemach ERP, platformach sprzedażowych i elektronicznym obiegu dokumentów cyberatak może zatrzymać całą działalność.

Zobacz również:

Wiele firm nadal zakłada, że KSC dotyczy głównie banków, telekomów i energetyki. Tymczasem nowe przepisy obejmują także część producentów żywności, operatorów odpadów, firm logistycznych, zakładów chemicznych oraz producentów sprzętu elektronicznego, pojazdów i maszyn.

Ważne

Wpis do wykazu podmiotów kluczowych i podmiotów ważnych nie jest dobrowolny. Firma, która ustali, że spełnia kryteria podmiotu kluczowego lub ważnego, powinna sama złożyć wniosek. Brak wezwania z urzędu nie oznacza, że obowiązek jej nie dotyczy.

Podmiot kluczowy czy podmiot ważny

Nowelizacja odchodzi od dawnego podziału na operatorów usług kluczowych i dostawców usług cyfrowych. W ich miejsce pojawiają się dwie kategorie: podmioty kluczowe i podmioty ważne. Różnica dotyczy przede wszystkim nadzoru państwa i wysokości kar.

Firma powinna odpowiedzieć na dwa pytania: czy działa w sektorze wskazanym w ustawie oraz czy przekracza progi wielkościowe. Przy liczeniu wielkości przedsiębiorstwa nie wystarczy spojrzeć na samą polską spółkę. Trzeba uwzględnić także podmioty partnerskie i powiązane, również z grupy międzynarodowej. Dlatego mała lokalnie spółka może zostać objęta ustawą, jeśli należy do większej grupy kapitałowej.

W uproszczeniu:

  • Załącznik nr 1 obejmuje sektory wysokiej krytyczności, m.in. energetykę, transport, ochronę zdrowia, bankowość, wodociągi, infrastrukturę cyfrową, administrację publiczną i sektor kosmiczny.
  • Załącznik nr 2 obejmuje m.in. usługi pocztowe i kurierskie, gospodarkę odpadami, produkcję i dystrybucję chemikaliów, produkcję żywności, sprzętu elektronicznego, pojazdów i maszyn oraz badania naukowe.

Co do zasady duże przedsiębiorstwa z Załącznika nr 1 są podmiotami kluczowymi. Średnie firmy z Załącznika nr 1 oraz średnie i duże firmy z Załącznika nr 2 są podmiotami ważnymi. Ustawa przewiduje też wyjątki, w których o statusie decyduje rodzaj działalności, a nie tylko wielkość firmy.

Tabela: Podmioty kluczowe i ważne w ustawie o KSC

Parametr

Podmiot kluczowy

Podmiot ważny

Model nadzoru

Kontrola możliwa także bez wcześniejszego incydentu

Co do zasady kontrola po incydencie lub naruszeniu

Cykliczny audyt

Obowiązkowy niezależny audyt co 3 lata

Brak cyklicznego audytu; może być nakazany po incydencie lub naruszeniu

Maksymalna kara dla podmiotu

Do 10 mln euro lub 2 proc. globalnego obrotu

Do 7 mln euro lub 1,4 proc. globalnego obrotu

Najbardziej dotkliwe środki

Możliwe dalej idące środki, w tym czasowe ograniczenia działalności

Mniej inwazyjny model nadzoru - kontrola głównie po incydencie lub naruszeniu

Samorejestracja w wykazie KSC

Wykaz KSC działa w ramach Systemu S46, prowadzonego przez NASK. Wpisy odbywają się dwiema ścieżkami: z urzędu albo na wniosek. Wpis z urzędu dotyczy m.in. części podmiotów publicznych, telekomów, dotychczasowych operatorów usług kluczowych i dostawców usług zaufania. Dla dużej części rynku właściwa będzie samodzielna rejestracja.

Wniosek składa się elektronicznie przez wykaz-ksc.gov.pl. Można użyć podpisu kwalifikowanego, profilu zaufanego, podpisu osobistego z e-dowodu albo kwalifikowanej pieczęci elektronicznej. Termin wynosi 6 miesięcy od dnia, w którym podmiot spełnił przesłanki klasyfikacyjne. Dla firm, które spełniały je już w dniu wejścia w życie nowych przepisów, kończy się on 3 października 2026 r.

We wniosku trzeba podać m.in.:

  • dane identyfikacyjne i sektorowe, w tym właściwy sektor i podsektor z ustawy;
  • domeny internetowe oraz pule i zakresy adresów IP;
  • informację o zewnętrznych dostawcach usług cyberbezpieczeństwa;
  • co najmniej dwie osoby kontaktowe ds. cyberbezpieczeństwa.

Dane trzeba aktualizować w ciągu 14 dni od każdej zmiany. Dotyczy to m.in. osoby kontaktowej, domeny wykorzystywanej w działalności czy zakresu adresów IP.

Na końcu wniosku kierownik jednostki składa oświadczenie pod rygorem odpowiedzialności karnej za fałszywe oświadczenie. Zgłoszenie nie powinno więc być traktowane jak zwykła formalność administracyjna.

Test: czy firma musi się zarejestrować

Weryfikację warto przeprowadzić w trzech krokach.

Krok 1. Sprawdź szczególne usługi technologiczne

Najpierw trzeba ustalić, czy firma prowadzi działalność, która może powodować objęcie ustawą na szczególnych zasadach. Chodzi m.in. o niektóre usługi cyfrowe, usługi zaufania, DNS, rejestry TLD, usługi zarządzane w zakresie cyberbezpieczeństwa, centra danych, usługi chmurowe i działalność telekomunikacyjną.

Jeżeli firma świadczy usługi technologiczne dla innych podmiotów albo odpowiada za infrastrukturę cyfrową, powinna dokładnie sprawdzić art. 5 ustawy i definicje ustawowe.

Krok 2. Sprawdź skalę działalności

Jeżeli firma nie mieści się w szczególnych kategoriach technologicznych, trzeba sprawdzić jej wielkość. Ustawa obejmuje co do zasady średnie i duże przedsiębiorstwa, czyli podmioty zatrudniające co najmniej 50 pracowników albo przekraczające odpowiednie progi finansowe. Przy tej ocenie trzeba uwzględnić przedsiębiorstwa partnerskie i powiązane.

Szczególną ostrożność powinny zachować polskie spółki należące do międzynarodowych grup. Sama lokalna skala działalności może nie wystarczyć do wyłączenia z nowych obowiązków.

Krok 3. Sprawdź sektor

Jeżeli firma przekracza próg wielkościowy, trzeba ustalić, czy działa w sektorze wymienionym w Załączniku nr 1 albo Załączniku nr 2 do ustawy.

  • Załącznik nr 1: duża firma może być podmiotem kluczowym, a średnia firma – podmiotem ważnym.
  • Załącznik nr 2: średnia lub duża firma może być podmiotem ważnym.

Jeżeli firma nie działa w żadnym z tych sektorów i nie mieści się w szczególnych kategoriach technologicznych, nowe obowiązki KSC mogą jej nie dotyczyć. Gdy odpowiedź jest niepewna, bezpieczniej przeprowadzić formalną samoidentyfikację niż czekać na reakcję organu.

Zarząd odpowiada osobiście

Najgłośniejszą zmianą jest odpowiedzialność kierownictwa. Cyberbezpieczeństwa nie da się już po prostu „oddać do IT”. Za wykonanie obowiązków odpowiadają osoby kierujące podmiotem – w zależności od formy prawnej m.in. członkowie zarządu, komplementariusze, właściciele jednoosobowych działalności objętych ustawą, likwidatorzy, syndycy albo zarządcy sukcesyjni.

Zlecenie obsługi cyberbezpieczeństwa firmie zewnętrznej nie zwalnia kierownictwa z odpowiedzialności wobec państwa. Outsourcing może pomóc w wykonaniu obowiązków, ale nie przenosi odpowiedzialności za nadzór.

Do obowiązków kierownictwa należą m.in.:

  • * zarządzanie ryzykiem w cyberbezpieczeństwie;
  • * nadzór nad politykami, procedurami i planami ciągłości działania;
  • * zapewnienie kompetencji osób odpowiedzialnych za cyberbezpieczeństwo;
  • * udział w wymaganych szkoleniach i dokumentowanie ich odbycia;
  • * prawidłowe raportowanie incydentów.

Kary mogą dotyczyć nie tylko firmy. Ustawa przewiduje także sankcje personalne wobec osób kierujących jednostką. W sektorze prywatnym mogą one sięgać do 300 proc. miesięcznego wynagrodzenia, a w sektorze publicznym do 100 proc. W skrajnych sytuacjach możliwe są również czasowe ograniczenia w pełnieniu funkcji kierowniczych.

Co zarząd powinien zrobić teraz

Pierwszym krokiem nie powinien być zakup kolejnego narzędzia IT, lecz analiza statusu firmy. Zarząd powinien:

  • ustalić, czy firma działa w sektorze z Załącznika nr 1 albo Załącznika nr 2;
  • * sprawdzić wielkość przedsiębiorstwa z uwzględnieniem podmiotów partnerskich i powiązanych;
  • ocenić, czy firma świadczy usługi technologiczne objęte szczególnymi zasadami;
  • wskazać osobę odpowiedzialną za projekt KSC/NIS2;
  • zebrać dane do wniosku: sektory, domeny, adresy IP, dostawców usług cyberbezpieczeństwa i osoby kontaktowe;
  • zaplanować szkolenia kierownictwa i osób odpowiedzialnych za cyberbezpieczeństwo;
  • rozpocząć prace nad Systemem Zarządzania Bezpieczeństwem Informacji.

Cyberbezpieczeństwo przestało być sprawą działu IT. Stało się obowiązkiem zarządu – z osobistą odpowiedzialnością prawną i finansową w tle. Ignorowanie tej zmiany może być jednym z najkosztowniejszych zaniedbań, jakie kierownictwo firmy popełni w najbliższych miesiącach.

Moja firma
KSC 2.0 już obowiązuje. Firmy muszą sprawdzić, czy mają nowy obowiązek
25 maja 2026

Od 7 maja 2026 r. działa samorejestracja w nowym Wykazie podmiotów kluczowych i podmiotów ważnych. Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (tzw. ustawa o KSC 2.0.), wdrażająca unijną dyrektywę NIS2, objęła tysiące firm, które wcześniej nie podlegały tak szerokim obowiązkom – od producentów żywności i firm kurierskich, po zakłady chemiczne i producentów maszyn. Dla wielu z nich termin na zgłoszenie upływa 3 października 2026 r.

Boom w półprzewodnikach szansą dla Polski. Kluczowe będzie kształcenie inżynierów
22 maja 2026

Światowa branża półprzewodników do 2030 r. będzie potrzebować ok. milion dodatkowych specjalistów, w tym ponad 100 tys. inżynierów w Europie - wynika z opublikowanego w piątek raportu ManpowerGroup. Polska powinna mocniej postawić na kształcenie takich pracowników - uważają eksperci firmy.

Jakie są modele zarządzania AI w firmie? Jak sprawdzić czy AI przynosi korzyści organizacji?
23 maja 2026

AI wdraża cała organizacja, a nie tylko działy IT. Jakie są modele zarządzania AI w firmie? Zmienia się charakter pracy wykonywanej przez ludzi. Dziś chodzi o rozszerzanie możliwości człowieka dzięki współpracy ze sztuczną inteligencją. Jak sprawdzić czy AI przynosi korzyści organizacji?

Blokada wiz paraliżuje biznes? Firmy nie mogą realizować zagranicznych zleceń
22 maja 2026

W odcinaniu się od afery wizowej PiS rząd posuwa się do granic absurdu. Urzędnicy nie wydają pozwoleń na pracę i wiz osobom spoza UE, których polskie firmy potrzebują, żeby realizować zagraniczne kontrakty - informuje „PB"

Ceny skupu żywca wieprzowego w 2026 r. Minister rolnictwa podejrzewa zmowę cenową
21 maja 2026

Minister rolnictwa i rozwoju wsi Stefan Krajewski skierował oficjalne pismo do prezesa Urzędu Ochrony Konkurencji i Konsumentów (UOKiK) Tomasza Chróstnego, aby zbadać czy na rynku wieprzowiny nie dochodzi do zmowy cenowej. Powodem tej interwencji są niepokojące sygnały dotyczące cen skupu żywca wieprzowego, które mogą wskazywać na stosowanie nieuczciwych praktyk rynkowych i zmowę cenową.

Po urodzeniu dziecka mają mniejsza szanse na nową pracę i awans. Kobiety zauważają też spadek zarobków
21 maja 2026

Rodzicielstwo okazuje się jednym z największych wyzwań wpływających na rozwój kariery zawodowej. Po urodzeniu dziecka mają mniejsza szanse na nową pracę i awans. Kobiety zauważają nawet spadek zarobków po narodzinach.

ePłatnik - bezpłatne szkolenie ZUS online 3 czerwca 2026 r.
20 maja 2026

ZUS zaprasza na bezpłatne szkolenie online - ePłatnik. Odbędzie się w dniu 3 czerwca 2026 r. o godz. 10:00. Sprawdź, jak się zapisać.

Zawarłeś umowę z takim kontrahentem, a on nie zapłacił za fakturę? Możesz ubiegać się o rekompensatę ze specjalnego funduszu. Ale nie wszystkich to dotyczy
22 maja 2026

Sprzedałeś pszenicę, mleko lub warzywa firmie skupującej, a ona zbankrutowała i nie zapłaciła? Ministerstwo Rolnictwa i Rozwoju Wsi ogłosiło ważne zmiany od 13 maja 2026 roku. Teraz możesz składać wnioski o rekompensatę z Funduszu Ochrony Rolnictwa dwa razy w roku – w lutym i marcu oraz lipcu i sierpniu. To daje szansę na szybsze odzyskanie pieniędzy. Sprawdź, kto może dostać rekompensatę w 2026.

Należyta staranność w łańcuchu dostaw w relacji z niemieckimi kontrahentami
19 maja 2026

Firmy niemieckie wywierają wpływ nie tylko na swoje spółki-córki, ale również na swoich zagranicznych dostawców, wymagając od nich określonych działań. Jakich? Co to oznacza w praktyce dla polskich kontrahentów?

Ustawa KSC 2026 – kary do 10 mln euro za brak kontroli nad służbowymi telefonami. Czy Twoja firma jest gotowa?
16 maja 2026

Od kwietnia 2026 roku obowiązuje ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca unijną dyrektywę NIS2. Firmy muszą mieć pełną kontrolę nad służbowymi urządzeniami – telefonami, laptopami, tabletami. Problem? Tylko 19% polskich firm jest na to przygotowanych, a kary mogą sięgać 10 milionów euro. Sprawdź, czy ustawa dotyczy Twojej firmy i co musisz zrobić, by uniknąć sankcji.

pokaż więcej
Proszę czekać...