REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » Wiadomości » Czy musisz wpisać się do wykazu KSC do 3 października? Za brak wpisu kara do 10 mln euro

Czy musisz wpisać się do wykazu KSC do 3 października? Za brak wpisu kara do 10 mln euro

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
18 czerwca 2026, 13:41
Tomasz Piwowarski
Tomasz Piwowarski
Od 2025 roku w redakcji Infor.pl, a od 2017 roku posiada tytuł zawodowy radcy prawnego. Pisze teksty związane głównie z nowościami prawnymi, a także z obszaru prawa cywilnego, gospodarczego, nowych technologii, pracy, ubezpieczeń społecznych, nieruchomości.
Mężczyzna za biurkiem patrzy na monitor; jest w luźnej pozycji, buty ma oparte o biurko; siedzi do późna, bo jest już ciemno, w biurze święcą się przyjemne, ciepłe światła
Sprawdź, czy musisz wpisać się do wykazu KSC do 3 października. Za brak wpisu ogromna kara
Shutterstock

REKLAMA

REKLAMA

Od 7 maja 2026 r. tysiące firm w Polsce muszą wpisać się do wykazu Krajowego Systemu Cyberbezpieczeństwa (KSC). To efekt wdrożenia unijnej dyrektywy NIS2. Zostało już tylko 3,5 miesiąca – termin mija 3 października 2026 r. Nie zrobisz tego? Kara od 15 tys. zł do... 10 mln euro! Sprawdź w 3 krokach, czy to dotyczy Twojej firmy i jak się wpisać.

rozwiń >

Czy to dotyczy Twojej firmy? – sprawdź w 30 sekund

Odpowiedz TAK/NIE:

  1. Działasz w energetyce, transporcie, bankowości, telekomunikacji, ochronie zdrowia, wodociągach/kanalizacji, IT, produkcji chemicznej, żywności?
  2. Masz co najmniej 50 pracowników?
  3. Obrót powyżej 10 mln EUR rocznie?
Ważne

Jeśli padło 2 razy TAK – prawdopodobnie musisz się wpisać. Jeśli 3 razy TAK – na pewno musisz.

Co robić?

  1. Przeprowadź samoidentyfikację (instrukcja poniżej);
  2. Wpisz się do wykazu KSC na wykaz-ksc.gov.pl;
  3. Wdróż procedury cyberbezpieczeństwa.

Ile czasu zostało od dzisiaj?

107 dni do końca terminu (3 października 2026).

REKLAMA

REKLAMA

Dyrektywa NIS2 wchodzi w życie – a Polska ją implementuje

Ministerstwo Cyfryzacji poinformowało 27 kwietnia 2026 roku, o uruchomieniu procedury samoidentyfikacji dla podmiotów objętych nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. To bezpośrednia konsekwencja wdrożenia unijnej dyrektywy NIS2, która radykalnie rozszerza katalog firm i instytucji zobowiązanych do przestrzegania rygorystycznych wymogów w zakresie ochrony przed cyberatakami.

Już teraz, 7 maja 2026 roku, została uruchomiona aplikacja umożliwiająca dokonanie wpisu do Wykazu KSC. Przedsiębiorcy i inne podmioty prowadzące działalność w objętych regulacją sektorach będą musieli samodzielnie przeanalizować, czy podlegają nowym przepisom, a następnie dokonać obowiązkowego wpisu w razie pozytywnej weryfikacji tego nowego obowiązku.

NIS2 W POLSCE - JAK PRZYGOTOWAĆ FIRMĘ NA NOWE WYMOGI CYBERBEZPIECZEŃSTWA

Jakich podmiotów dotyczy nowa regulacja o krajowym systemie cyberbezpieczeństwa?

Nowelizacja ustawy o KSC dzieli objęte nią podmioty na dwie kategorie: podmioty kluczowe oraz podmioty ważne. Rozróżnienie to ma fundamentalne znaczenie, ponieważ od statusu podmiotu zależą konkretne obowiązki w zakresie cyberbezpieczeństwa oraz kontrole ze strony organów państwowych.

REKLAMA

Co istotne – ustawa nie przewiduje żadnego powiadomienia ze strony administracji. To przedsiębiorcy sami muszą ustalić, czy prowadzona przez nich działalność gospodarcza mieści się w katalogu objętym regulacją. Proces ten, nazywany samoidentyfikacją, opiera się na analizie przepisów ustawy, w szczególności art. 5 oraz załączników nr 1 i 2, które szczegółowo określają sektory, podsektory i rodzaje działalności. Ministerstwo Cyfryzacji wyraźnie podkreśla: brak świadomości nie zwalnia z obowiązku.

Dalszy ciąg materiału pod wideo

Co to jest KSC i dlaczego musisz się wpisać?

KSC (Krajowy System Cyberbezpieczeństwa) to rejestr firm i instytucji, które muszą spełniać wysokie wymogi ochrony przed cyberatakami. Wpisują się tam podmioty kluczowe (np. elektrownie, szpitale, banki) i podmioty ważne (mniejsze firmy w tych sektorach).

Dlaczego powstał?

Ataki hakerskie na infrastrukturę krytyczną (energetyka, wodociągi, szpitale) mogą sparaliżować kraj. UE wymusiła na państwach członkowskich (dyrektywa NIS2), żeby objąć ochroną więcej firm.

Co Cię obowiązuje po wpisie? Sama rejestracja to nie koniec

  • Wdrożenie procedur cyberbezpieczeństwa,
  • Zgłaszanie incydentów w ciągu 24h,
  • Okresowe audyty,
  • Szkolenia pracowników.

Trzystopniowy proces samoidentyfikacji – jak sprawdzić, czy podlega się pod przepisy KSC? Instrukcja krok po kroku przygotowana przez Ministerstwo Cyfryzacji

Resort cyfryzacji opublikował szczegółową instrukcję, która dzieli proces samoidentyfikacji na trzy kluczowe etapy. Poniżej omawiamy ten komunikat ministerstwa, przedstawiając poszczególne kroki, jakie należy wykonać celem samoidentyfikacji.

KROK 1: W jakim sektorze działa podmiot?

Pierwszym krokiem jest sprawdzenie, czy prowadzona działalność mieści się w sektorach lub podsektorach wskazanych w załączniku nr 1 do ustawy (podmioty kluczowe) albo w załączniku nr 2 (podmioty ważne).

Ważne

Kluczowe zastrzeżenie: przy ocenie należy brać pod uwagę rzeczywisty charakter prowadzonej działalności, a nie tylko formalnie zarejestrowane kody PKD. Ministerstwo wyjaśnia, że pomocniczo można posłużyć się kodami Polskiej Klasyfikacji Działalności, jednak decydujące znaczenie ma faktyczny zakres świadczonych usług.

KROK 2: Jakiej wielkości jest podmiot?

Drugi etap wymaga ustalenia wielkości przedsiębiorstwa według unijnych kryteriów. Ustawa rozróżnia mikroprzedsiębiorstwa (poniżej 10 pracowników i obrót do 2 mln EUR), małe przedsiębiorstwa (poniżej 50 pracowników i obrót do 10 mln EUR), średnie przedsiębiorstwa (poniżej 250 pracowników i obrót do 50 mln EUR) oraz duże przedsiębiorstwa przekraczające te progi.

Ważne

Istotne zastrzeżenie: przy obliczaniu wielkości przedsiębiorstwa uwzględnia się również przedsiębiorstwa powiązane oraz przedsiębiorstwa partnerskie. Oznacza to, że sama firma może być mikroprzedsiębiorstwem, ale jeśli jest częścią większej grupy kapitałowej, może zostać zakwalifikowana jako podmiot większy.

Szczególny przypadek stanowią przedsiębiorcy telekomunikacyjni – niezależnie od wielkości, wszyscy bez wyjątku podlegają pod ustawę. Duzi i średni stają się automatycznie podmiotami kluczowymi, natomiast mali i mikroprzedsiębiorcy otrzymują status podmiotów ważnych.

KROK 3: Czy podmiot jest kluczowy czy ważny?

Ostatni, najważniejszy etap to szczegółowa analiza artykułu 5 ustawy o KSC. Ten przepis określa precyzyjne zasady uznawania podmiotów za kluczowe lub ważne i wskazuje przypadki, w których podmiot może zostać objęty regulacją niezależnie od swojej wielkości.

Po dokładnej analizie tego przepisu możliwe jest ostateczne ustalenie, czy dany podmiot jest podmiotem kluczowym, podmiotem ważnym, czy też w ogóle nie podlega przepisom ustawy. Ministerstwo nie pozostawia wątpliwości: spełnienie przesłanek z art. 5 jednoznacznie oznacza objęcie podmiotu przepisami ustawy.

NIS2, KSC, cyberbezpieczeństwo, UE, Unia Europejska, obowiązki

Nowe obowiązki i nowelizacja ustawy KSC to skutek implementacji unijnej dyrektywy NIS2

Shutterstock

Tych terminów nie możesz przegapić - to obowiązek z ustawy o krajowym systemie cyberbezpieczeństwa

Kalendarz wdrażania nowej regulacji jest niezwykle napięty. 6 maja 2026 roku minął termin, w którym Minister Cyfryzacji dokonał z urzędu wpisów do Wykazu KSC wybranych kategorii podmiotów. Dotyczyło to podmiotów publicznych, przedsiębiorców telekomunikacyjnych, dostawców usług cyfrowych oraz podmiotów, które wcześniej miały status operatorów usług kluczowych.

Dzień później, 7 maja 2026 roku, została uruchomiona aplikacja webowa umożliwiająca samorejestrację pozostałym podmiotom. Okno czasowe na dokonanie samorejestracji zamyka się 3 października 2026 roku. To już niceałe pięć miesięcy, a biorąc pod uwagę konieczność wcześniejszego przeprowadzenia trzystopniowej samoidentyfikacji, przygotowania dokumentacji oraz wdrożenia odpowiednich procedur cyberbezpieczeństwa, czas ten może okazać się wbrew pozorom bardzo krótki.

Gdzie i w jaki sposób można dokonać wpisu do Wykazu KSC?

Wykaz KSC jest prowadzony w ramach Systemu S46, ale stanowi osobną aplikację webową dostępną pod adresem https://wykaz-ksc.gov.pl. Wnioski o wpis, zmianę wpisu oraz wykreślenie podmiotu z wykazu będą wypełniane i składane wyłącznie w formie elektronicznej za pośrednictwem tej aplikacji.

Każdy wniosek musi być opatrzony kwalifikowanym podpisem elektronicznym. Ministerstwo podkreśla, że proces będzie w pełni zdigitalizowany – nie ma możliwości składania dokumentów w formie papierowej.

Jakie kary za zignorowanie obowiązku wpisu do Wykazu KSC?

Ministerstwo Cyfryzacji w swoim komunikacie skupiło się na procedurze samoidentyfikacji i rejestracji, nie precyzując wprost sankcji za niedopełnienie obowiązku. Jednak brak wpisu do wykazu pomimo spełnienia ustawowych przesłanek będzie traktowany jako naruszenie przepisów ustawy o krajowym systemie cyberbezpieczeństwa. A za takie naruszenia grożą naprawdę wysokie kary:

  • dla podmiotów kluczowych - od 20 tys. zł do 10 mln euro,
  • dla podmiotów ważnych - od 15 tys. zł do 7 mln euro,
  • za najpoważniejsze naruszenia – do 100 mln zł,
  • za niezastosowanie się do nakazu organu cyberbezpieczeństwa - od 500 zł do 100 tys. zł za każdy dzień opóźnienia,
  • dla kierownika jednostki - do 300 proc. miesięcznego wynagrodzenia.

Cyberbezpieczeństwo to nie formalność - faktycznie należy zadbać o procedury i ich wdrożenie

Nowelizacja ustawy o KSC to nie jest jedynie kolejny papierowy obowiązek. To odpowiedź na realnie rosnące zagrożenia w cyberprzestrzeni. Ataki ransomware, wycieki danych osobowych, sabotaż infrastruktury krytycznej – to już nie abstrakcyjne scenariusze, ale codzienność firm działających w kluczowych sektorach gospodarki.

Dyrektywa NIS2, którą Polska wdraża poprzez nowelizację KSC, powstała na bazie gorzkich doświadczeń państw członkowskich UE. Wcześniejsze regulacje okazały się niewystarczające – obejmowały zbyt wąski katalog podmiotów, a wymogi były zbyt ogólne. Nowa regulacja stawia na kompleksowość, precyzję i rzeczywiste podniesienie poziomu bezpieczeństwa.

Ważne

Dla firm objętych regulacją oznacza to konieczność inwestycji w technologie, procedury i szkolenia. Oznacza też odpowiedzialność osobistą kadry zarządzającej za zapewnienie odpowiedniego poziomu ochrony.

Co robić teraz w związku z nowelizacją ustawy o KSC implementującą dyrektywę NIS2?

Ministerstwo Cyfryzacji apeluje, aby podmioty potencjalnie objęte regulacją nie zwlekały z analizą swojej sytuacji. Zalecane działania to:

  • natychmiastowa weryfikacja, czy działalność mieści się w sektorach objętych ustawą,
  • ustalenie wielkości przedsiębiorstwa z uwzględnieniem podmiotów powiązanych,
  • dokładna analiza art. 5 ustawy,
  • wpis w aplikacji od 7 maja.

W przypadku stwierdzenia objęcia regulacją konieczne jest rozpoczęcie przygotowań do wdrożenia wymaganych procedur cyberbezpieczeństwa. Kluczowe jest podejście proaktywne. Czekanie na wyjaśnienia, wytyczne czy – co gorsza – na kontrolę organów nadzoru może oznaczać poważne konsekwencje prawne i finansowe.

Artykuł w pytaniach i odpowiedziach (FAQ) - podsumowanie

Kiedy rusza i gdzie dostępna jest rejestracja do Wykazu KSC?

Aplikacja webowa do wpisu ruszyła 7 maja 2026 r. Wykaz KSC działa w ramach Systemu S46 pod adresem https://wykaz-ksc.gov.pl. Wnioski o wpis składa się wyłącznie elektronicznie i opatruje kwalifikowanym podpisem elektronicznym.

Od kiedy można dokonać samorejestracji w Wykazie KSC, a do kiedy upływa termin?

Okres samorejestracji kończy się 3 października 2026 r. 7 maja 2026 r. wystartowała aplikacja do wpisu, a do 6 maja 2026 r. Minister Cyfryzacji z urzędu wpisywał wybrane kategorie podmiotów.

Jak wygląda trzystopniowa samoidentyfikacja podmiotów na potrzeby ustawy o KSC?

Etap 1: sprawdzenie sektora wg załącznika nr 1 (kluczowe) lub nr 2 (ważne) z uwzględnieniem faktycznej działalności, nie tylko PKD. Etap 2: ustalenie wielkości z uwzględnieniem podmiotów powiązanych i partnerskich. Etap 3: analiza art. 5 ustawy o KSC i ostateczne ustalenie statusu lub braku podlegania.

Jakie kary grożą za brak wpisu do Wykazu KSC lub naruszenia ustawy o krajowym systemie cyberbezpieczeństwa?

Dla podmiotów kluczowych: 20 tys. zł – 10 mln euro, dla podmiotów ważnych: 15 tys. zł – 7 mln euro; za najpoważniejsze naruszenia do 100 mln zł. Za niewykonanie nakazu organu cyberbezpieczeństwa 500 – 100 tys. zł za dzień; dla kierownika jednostki do 300% miesięcznego wynagrodzenia.

Czy przedsiębiorcy telekomunikacyjni zawsze podlegają ustawie o KSC?

Tak. Niezależnie od wielkości wszyscy podlegają ustawie o KSC: duzi i średni stają się automatycznie podmiotami kluczowymi, a mali i mikroprzedsiębiorcy podmiotami ważnymi.

Zostało mi tylko 3 miesiące – zdążę?

Tak, jeśli zaczniesz dziś. Sama rejestracja zajmuje ok. 30 min (jeśli masz podpis kwalifikowany). Problemem mogą być procedury – te trzeba opracować i wdrożyć.

Czy małe firmy (poniżej 50 osób) też muszą?

Zależy od sektora. Wszyscy przedsiębiorcy telekomunikacyjni – tak (nawet mikrofirmy). W innych sektorach – zazwyczaj nie, chyba że spełniają dodatkowe kryteria z art. 5 ustawy.

Źródło: Ministerstwo Cyfryzacji

Powiązane
64% Polaków chce porzucić auto, jeśli będzie alternatywa. Lekkie EV mogą zmienić polskie miasta, wakacje okazją
64% Polaków chce porzucić auto, jeśli będzie alternatywa. Lekkie EV mogą zmienić polskie miasta, wakacje okazją
Urlop całkowicie bez pracy? Polacy widzą to inaczej - są statystyki z najnowszego badania
Urlop całkowicie bez pracy? Polacy widzą to inaczej - są statystyki z najnowszego badania
Koniec fake newsów, deepfake-ów, oraz fałszywych reklam z celebrytami - DSA także w przepisach krajowych: jak naprawdę zadziała?
Koniec fake newsów, deepfake-ów, oraz fałszywych reklam z celebrytami - DSA także w przepisach krajowych: jak naprawdę zadziała?
Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Moja firma
Targowisko to każde miejsce, w którym jest prowadzona sprzedaż. Wystawisz towar przed sklep, zapłacisz opłatę targową
17 cze 2026

Choć każdy sprzedawca prowadzi działania mające na celu zainteresowanie potencjalnych klientów oferowanym przez nich towarem, to jednak działania te mogą przynieść niespodziewane skutki. Niestety o wymiarze finansowym.
Paczki z ubraniami niedługo bez zgłoszenia w SENT - MF zmieni przepisy po fali skarg
15 cze 2026

MF wycofuje się z obowiązku zgłaszania w systemie SENT krajowych przewozów odzieży i obuwia. Projekt nowego rozporządzenia trafił 15 czerwca 2026 r. do konsultacji publicznych. To efekt dwóch miesięcy protestów branży modowej, logistycznej i e-commerce. Dla importu i WNT progi zostają podwyższone trzykrotnie. Firmy handlujące ubraniami i butami mogą odetchnąć.
E-commerce w Polsce przyspiesza. Sprzedaż rośnie szybciej niż inflacja
15 cze 2026

Maj przyniósł wyraźne ożywienie w polskim sektorze e-commerce. Sprzedaż rosła znacznie szybciej niż inflacja. Najbardziej dynamicznie rósł popyt z zagranicy. To w dużej mierze zasługa AI - czytamy w „Pb".
Będzie więcej kobiet w organach spółek publicznych - minimum 33%. Nawet 500 tys. zł kary za nierespektowanie nowych przepisów
11 cze 2026

Będzie więcej kobiet w organach spółek publicznych - minimum 33%. To wynik opóźnionej implementacji przez Polskę unijnej dyrektywy Women on Boards. Nawet 500 tys. zł kary za nierespektowanie nowych przepisów. Na jakim etapie są prace legislacyjne?

REKLAMA

UE wprowadza standardy równości płac. Pracodawców czekają zmiany
11 cze 2026

Po wejściu w życie przepisów unijnej dyrektywy pracodawcy będą musieli przyjrzeć się wzorom umów i zrezygnować z rozwiązań, które zabraniają pracownikom mówić o swoim wynagrodzeniu - powiedziała w środę ekspertka prawa pracy dr Monika Wieczorek.
Polskie firmy chcą inwestować w AI. Problemem są rosnące koszty oprogramowania
11 cze 2026

Firmy chcą przeznaczać środki na sztuczną inteligencję, ale znaczną część budżetów pochłania utrzymanie istniejących systemów. Rosnące koszty subskrypcji oprogramowania niepokoją już ponad połowę przedsiębiorstw, podczas gdy 52% planuje inwestycje w AI i rozwój własnych aplikacji.
33 procent kobiet w zarządach spółek – nowy obowiązek. Których firm dotyczy? Kary do pół mln zł
10 cze 2026

Rada Ministrów przyjęła 09.06.2026 r. projekt ustawy, który wprowadza obowiązek zapewnienia minimum 33% udziału kobiet w zarządach i radach nadzorczych spółek giełdowych. Nowe przepisy wdrażają unijną dyrektywę i oznaczają konkretne obowiązki dla firm: politykę równowagi płci, raporty oraz przejrzyste kryteria wyboru kandydatów. Za brak dostosowania grozi kara do 500 000 zł.
Sprzedawcy elektroniki i AGD tylko do 31 lipca 2026 mają czas na wdrożenie systemu napraw - nowe obowiązki
10 cze 2026

Do końca lipca 2026 roku firmy z branży elektroniki i AGD muszą wdrożyć dyrektywę Right to Repair. Nowe przepisy oznaczają obowiązek naprawy sprzętu nawet po gwarancji, dostęp do części zamiennych i dokumentacji technicznej. Brak dostosowania to ryzyko sporów z klientami i sankcji prawnych. Sprawdź szczegóły, obowiązki sprzedawców i uprawnienia kupujących.

REKLAMA

Brak kobiet na najwyższych stanowiskach to nie naturalny efekt procesów rynkowych, a konsekwencja barier. Rada Ministrów pracuje nad Women on Boards
09 cze 2026

Brak kobiet na najwyższych stanowiskach to nie naturalny efekt procesów rynkowych, a konsekwencja barier. Rada Ministrów pracuje nad rozwiązaniami z dyrektywy Women on Boards. Parytety - czy płeć zacznie liczyć się bardziej niż kompetencje? To błędne założenie, że dziś o awansach i nominacjach decydują wyłącznie kwalifikacje. Gdyby tak było, trudno byłoby wyjaśnić, dlaczego kobiety – stanowiące połowę społeczeństwa, coraz częściej lepiej wykształcone od mężczyzn i osiągają porównywalne wyniki biznesowe – pozostają tak słabo reprezentowane na najwyższych szczeblach zarządzania.
Inteligencja emocjonalna, pomnażanie majątku, kobiety liderki i AI w firmach rodzinnych - III edycja Family Business Future Summit tym inspirowała liderów firm rodzinnych
08 cze 2026

Ponad 160 uczestników, reprezentujących firmy rodzinne, spotkało się podczas III edycji Family Business Future Summit 2026, aby rozmawiać o sukcesji, odpowiedzialności, relacjach międzypokoleniowych i przyszłości polskiego biznesu rodzinnego. Tegoroczna edycja wydarzenia pokazała, że firmy rodzinne potrzebują dziś nie tylko eksperckiej wiedzy, ale także przestrzeni do szczerej rozmowy o wartościach, zmianie i ciągłości.
Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA