REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » Wiadomości » Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) 2026: od 7 maja obowiązkowa samoidentyfikacja i wpis do wykazu KSC, czas tylko do 3 października

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) 2026: od 7 maja obowiązkowa samoidentyfikacja i wpis do wykazu KSC, czas tylko do 3 października

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
07 maja 2026, 14:50
Tomasz Piwowarski
Tomasz Piwowarski
Radca prawny z kilkunastoletnim prawniczym doświadczeniem, specjalizujący się w prawie cywilnym, gospodarczym, nieruchomości, pracy. Fan motoryzacji oraz Włoch, a od nie tak dawna – motocyklista.
KSC, nowelizacja, krajowy system cyberbezpieczeństwa, NIS2, samoidentyfikacja, cyfryzacja, wykaz KSC, podmioty kluczowe, podmioty ważne, rejestracja
Od 7 maja obowiązkowa samoidentyfikacja i wpis do wykazu KSC, czas tylko do 3 października
Shutterstock

REKLAMA

REKLAMA

To zupełnie nowy obowiązek. Od 7 maja 2026 r. tysiące firm w Polsce są objęte nowymi wymogami cyberbezpieczeństwa i muszą szybko wpisać się do wykazu KSC. To efekt wdrożenia unijnej dyrektywy NIS2. Ministerstwo Cyfryzacji podało instrukcję, ale czasu jest mało: najpierw samoidentyfikacja, dopiero potem wpis. I jeszcze procedury do opracowania i wdrożenia. Zlekceważysz? Zapłacisz, i to słono

rozwiń >

Dyrektywa NIS2 wchodzi w życie – a Polska ją implementuje

Ministerstwo Cyfryzacji poinformowało 27 kwietnia 2026 roku, o uruchomieniu procedury samoidentyfikacji dla podmiotów objętych nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. To bezpośrednia konsekwencja wdrożenia unijnej dyrektywy NIS2, która radykalnie rozszerza katalog firm i instytucji zobowiązanych do przestrzegania rygorystycznych wymogów w zakresie ochrony przed cyberatakami.

REKLAMA

REKLAMA

Już teraz, 7 maja 2026 roku, została uruchomiona aplikacja umożliwiająca dokonanie wpisu do Wykazu KSC. Przedsiębiorcy i inne podmioty prowadzące działalność w objętych regulacją sektorach będą musieli samodzielnie przeanalizować, czy podlegają nowym przepisom, a następnie dokonać obowiązkowego wpisu w razie pozytywnej weryfikacji tego nowego obowiązku.

NIS2 W POLSCE - JAK PRZYGOTOWAĆ FIRMĘ NA NOWE WYMOGI CYBERBEZPIECZEŃSTWA

Jakich podmiotów dotyczy nowa regulacja o krajowym systemie cyberbezpieczeństwa?

Nowelizacja ustawy o KSC dzieli objęte nią podmioty na dwie kategorie: podmioty kluczowe oraz podmioty ważne. Rozróżnienie to ma fundamentalne znaczenie, ponieważ od statusu podmiotu zależą konkretne obowiązki w zakresie cyberbezpieczeństwa oraz kontrole ze strony organów państwowych.

Co istotne – ustawa nie przewiduje żadnego powiadomienia ze strony administracji. To przedsiębiorcy sami muszą ustalić, czy prowadzona przez nich działalność gospodarcza mieści się w katalogu objętym regulacją. Proces ten, nazywany samoidentyfikacją, opiera się na analizie przepisów ustawy, w szczególności art. 5 oraz załączników nr 1 i 2, które szczegółowo określają sektory, podsektory i rodzaje działalności. Ministerstwo Cyfryzacji wyraźnie podkreśla: brak świadomości nie zwalnia z obowiązku.

REKLAMA

Trzystopniowy proces samoidentyfikacji – jak sprawdzić, czy podlega się pod przepisy KSC? Instrukcja krok po kroku przygotowana przez Ministerstwo Cyfryzacji

Resort cyfryzacji opublikował szczegółową instrukcję, która dzieli proces samoidentyfikacji na trzy kluczowe etapy. Poniżej omawiamy ten komunikat ministerstwa, przedstawiając poszczególne kroki, jakie należy wykonać celem samoidentyfikacji.

Dalszy ciąg materiału pod wideo

KROK 1: W jakim sektorze działa podmiot?

Pierwszym krokiem jest sprawdzenie, czy prowadzona działalność mieści się w sektorach lub podsektorach wskazanych w załączniku nr 1 do ustawy (podmioty kluczowe) albo w załączniku nr 2 (podmioty ważne).

Ważne

Kluczowe zastrzeżenie: przy ocenie należy brać pod uwagę rzeczywisty charakter prowadzonej działalności, a nie tylko formalnie zarejestrowane kody PKD. Ministerstwo wyjaśnia, że pomocniczo można posłużyć się kodami Polskiej Klasyfikacji Działalności, jednak decydujące znaczenie ma faktyczny zakres świadczonych usług.

KROK 2: Jakiej wielkości jest podmiot?

Drugi etap wymaga ustalenia wielkości przedsiębiorstwa według unijnych kryteriów. Ustawa rozróżnia mikroprzedsiębiorstwa (poniżej 10 pracowników i obrót do 2 mln EUR), małe przedsiębiorstwa (poniżej 50 pracowników i obrót do 10 mln EUR), średnie przedsiębiorstwa (poniżej 250 pracowników i obrót do 50 mln EUR) oraz duże przedsiębiorstwa przekraczające te progi.

Ważne

Istotne zastrzeżenie: przy obliczaniu wielkości przedsiębiorstwa uwzględnia się również przedsiębiorstwa powiązane oraz przedsiębiorstwa partnerskie. Oznacza to, że sama firma może być mikroprzedsiębiorstwem, ale jeśli jest częścią większej grupy kapitałowej, może zostać zakwalifikowana jako podmiot większy.

Szczególny przypadek stanowią przedsiębiorcy telekomunikacyjni – niezależnie od wielkości, wszyscy bez wyjątku podlegają pod ustawę. Duzi i średni stają się automatycznie podmiotami kluczowymi, natomiast mali i mikroprzedsiębiorcy otrzymują status podmiotów ważnych.

KROK 3: Czy podmiot jest kluczowy czy ważny?

Ostatni, najważniejszy etap to szczegółowa analiza artykułu 5 ustawy o KSC. Ten przepis określa precyzyjne zasady uznawania podmiotów za kluczowe lub ważne i wskazuje przypadki, w których podmiot może zostać objęty regulacją niezależnie od swojej wielkości.

Po dokładnej analizie tego przepisu możliwe jest ostateczne ustalenie, czy dany podmiot jest podmiotem kluczowym, podmiotem ważnym, czy też w ogóle nie podlega przepisom ustawy. Ministerstwo nie pozostawia wątpliwości: spełnienie przesłanek z art. 5 jednoznacznie oznacza objęcie podmiotu przepisami ustawy.

NIS2, KSC, cyberbezpieczeństwo, UE, Unia Europejska, obowiązki

Nowe obowiązki i nowelizacja ustawy KSC to skutek implementacji unijnej dyrektywy NIS2

Shutterstock

Tych terminów nie możesz przegapić - to obowiązek z ustawy o krajowym systemie cyberbezpieczeństwa

Kalendarz wdrażania nowej regulacji jest niezwykle napięty. 6 maja 2026 roku minął termin, w którym Minister Cyfryzacji dokonał z urzędu wpisów do Wykazu KSC wybranych kategorii podmiotów. Dotyczyło to podmiotów publicznych, przedsiębiorców telekomunikacyjnych, dostawców usług cyfrowych oraz podmiotów, które wcześniej miały status operatorów usług kluczowych.

Dzień później, 7 maja 2026 roku, została uruchomiona aplikacja webowa umożliwiająca samorejestrację pozostałym podmiotom. Okno czasowe na dokonanie samorejestracji zamyka się 3 października 2026 roku. To już niceałe pięć miesięcy, a biorąc pod uwagę konieczność wcześniejszego przeprowadzenia trzystopniowej samoidentyfikacji, przygotowania dokumentacji oraz wdrożenia odpowiednich procedur cyberbezpieczeństwa, czas ten może okazać się wbrew pozorom bardzo krótki.

Gdzie i w jaki sposób można dokonać wpisu do Wykazu KSC?

Wykaz KSC jest prowadzony w ramach Systemu S46, ale stanowi osobną aplikację webową dostępną pod adresem https://wykaz-ksc.gov.pl. Wnioski o wpis, zmianę wpisu oraz wykreślenie podmiotu z wykazu będą wypełniane i składane wyłącznie w formie elektronicznej za pośrednictwem tej aplikacji.

Każdy wniosek musi być opatrzony kwalifikowanym podpisem elektronicznym. Ministerstwo podkreśla, że proces będzie w pełni zdigitalizowany – nie ma możliwości składania dokumentów w formie papierowej.

Jakie kary za zignorowanie obowiązku wpisu do Wykazu KSC?

Ministerstwo Cyfryzacji w swoim komunikacie skupiło się na procedurze samoidentyfikacji i rejestracji, nie precyzując wprost sankcji za niedopełnienie obowiązku. Jednak brak wpisu do wykazu pomimo spełnienia ustawowych przesłanek będzie traktowany jako naruszenie przepisów ustawy o krajowym systemie cyberbezpieczeństwa. A za takie naruszenia grożą naprawdę wysokie kary:

  • dla podmiotów kluczowych - od 20 tys. zł do 10 mln euro,
  • dla podmiotów ważnych - od 15 tys. zł do 7 mln euro,
  • za najpoważniejsze naruszenia – do 100 mln zł,
  • za niezastosowanie się do nakazu organu cyberbezpieczeństwa - od 500 zł do 100 tys. zł za każdy dzień opóźnienia,
  • dla kierownika jednostki - do 300 proc. miesięcznego wynagrodzenia.

Cyberbezpieczeństwo to nie formalność - faktycznie należy zadbać o procedury i ich wdrożenie

Nowelizacja ustawy o KSC to nie jest jedynie kolejny papierowy obowiązek. To odpowiedź na realnie rosnące zagrożenia w cyberprzestrzeni. Ataki ransomware, wycieki danych osobowych, sabotaż infrastruktury krytycznej – to już nie abstrakcyjne scenariusze, ale codzienność firm działających w kluczowych sektorach gospodarki.

Dyrektywa NIS2, którą Polska wdraża poprzez nowelizację KSC, powstała na bazie gorzkich doświadczeń państw członkowskich UE. Wcześniejsze regulacje okazały się niewystarczające – obejmowały zbyt wąski katalog podmiotów, a wymogi były zbyt ogólne. Nowa regulacja stawia na kompleksowość, precyzję i rzeczywiste podniesienie poziomu bezpieczeństwa.

Ważne

Dla firm objętych regulacją oznacza to konieczność inwestycji w technologie, procedury i szkolenia. Oznacza też odpowiedzialność osobistą kadry zarządzającej za zapewnienie odpowiedniego poziomu ochrony.

Co robić teraz w związku z nowelizacją ustawy o KSC implementującą dyrektywę NIS2?

Ministerstwo Cyfryzacji apeluje, aby podmioty potencjalnie objęte regulacją nie zwlekały z analizą swojej sytuacji. Zalecane działania to:

  • natychmiastowa weryfikacja, czy działalność mieści się w sektorach objętych ustawą,
  • ustalenie wielkości przedsiębiorstwa z uwzględnieniem podmiotów powiązanych,
  • dokładna analiza art. 5 ustawy,
  • wpis w aplikacji od 7 maja.

W przypadku stwierdzenia objęcia regulacją konieczne jest rozpoczęcie przygotowań do wdrożenia wymaganych procedur cyberbezpieczeństwa. Kluczowe jest podejście proaktywne. Czekanie na wyjaśnienia, wytyczne czy – co gorsza – na kontrolę organów nadzoru może oznaczać poważne konsekwencje prawne i finansowe.

Artykuł w pytaniach i odpowiedziach (FAQ) - podsumowanie

Kiedy rusza i gdzie dostępna jest rejestracja do Wykazu KSC?

Aplikacja webowa do wpisu rusza 7 maja 2026 r. Wykaz KSC działa w ramach Systemu S46 pod adresem https://wykaz-ksc.gov.pl. Wnioski o wpis składa się wyłącznie elektronicznie i opatruje kwalifikowanym podpisem elektronicznym.

Od kiedy można dokonać samorejestracji w Wykazie KSC, a do kiedy upływa termin?

Okres samorejestracji kończy się 3 października 2026 r. 7 maja 2026 r. startuje aplikacja do wpisu, a do 6 maja 2026 r. Minister Cyfryzacji z urzędu wpisywał wybrane kategorie podmiotów.

Jak wygląda trzystopniowa samoidentyfikacja podmiotów na potrzeby ustawy o KSC?

Etap 1: sprawdzenie sektora wg załącznika nr 1 (kluczowe) lub nr 2 (ważne) z uwzględnieniem faktycznej działalności, nie tylko PKD. Etap 2: ustalenie wielkości z uwzględnieniem podmiotów powiązanych i partnerskich. Etap 3: analiza art. 5 ustawy o KSC i ostateczne ustalenie statusu lub braku podlegania.

Jakie kary grożą za brak wpisu do Wykazu KSC lub naruszenia ustawy o krajowym systemie cyberbezpieczeństwa?

Dla podmiotów kluczowych: 20 tys. zł – 10 mln euro, dla podmiotów ważnych: 15 tys. zł – 7 mln euro; za najpoważniejsze naruszenia do 100 mln zł. Za niewykonanie nakazu organu cyberbezpieczeństwa 500 – 100 tys. zł za dzień; dla kierownika jednostki do 300% miesięcznego wynagrodzenia.

Czy przedsiębiorcy telekomunikacyjni zawsze podlegają ustawie o KSC?

Tak. Niezależnie od wielkości wszyscy podlegają ustawie o KSC: duzi i średni stają się automatycznie podmiotami kluczowymi, a mali i mikroprzedsiębiorcy podmiotami ważnymi.

Źródło: Ministerstwo Cyfryzacji

Powiązane
Polska zagra przeciwko Brukseli - będzie skarga do TSUE, minister rzucił rękawicę
Polska zagra przeciwko Brukseli - będzie skarga do TSUE, minister rzucił rękawicę
[WYWIAD] Czy są szanse na
[WYWIAD] Czy są szanse na "Pakiet dla Klasy Średniej"? Przedstawiamy kompleksowy pakiet reform przygotowany przez posła Rafała Komarewicza (Klub Centrum)
Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Moja firma
Nastawienie ma znaczenie. O zmianie z adaptacją w tle
13 maja 2026

Zmiana stała się codziennym elementem rzeczywistości — nie epizodem, lecz warunkiem funkcjonowania. W świecie, który przyspieszył, utracił dawną przewidywalność i podważył znane struktury, umiejętność adaptacji przestaje być atutem. Staje się kompetencją fundamentalną. I od tej kompetencji z książka Andrei Clarke w tle 20 maja będziemy dyskutować w naszym studio wideo. Szczegóły już niebawem.
Nowe firmy szturmują rynek, ale w tych branżach liczba upadłości rośnie. Nowe dane GUS
13 maja 2026

W I kwartale 2026 r. odnotowano 108 upadłości podmiotów gospodarczych, tj. o 8 więcej niż w analogicznym okresie ubiegłego roku - podał Główny Urząd Statystyczny.
KSeF od 2026 roku a firmy zagraniczne. Czy polski przedsiębiorca ze spółką za granicą też musi się przygotować?
12 maja 2026

Krajowy System e-Faktur przestaje być tematem wyłącznie dla klasycznych polskich firm. Od 2026 roku KSeF staje się realnym obowiązkiem, który może dotknąć również przedsiębiorców prowadzących działalność przez spółki zagraniczne, oddziały, struktury holdingowe albo podmioty zarejestrowane do VAT w Polsce. Kluczowe pytanie brzmi więc nie: „czy moja spółka jest zarejestrowana za granicą?”, ale: „czy w praktyce wykonuję czynności, które tworzą obowiązki fakturowe w Polsce?”.
Firma za granicą nie wystarczy. Kiedy polski fiskus nadal uzna, że podatki trzeba płacić w Polsce?
12 maja 2026

Założenie spółki za granicą może być elementem legalnej strategii podatkowej, ekspansji międzynarodowej albo uporządkowania struktury biznesowej. Nie jest jednak automatycznym „wyłączeniem” polskiego opodatkowania. Wielu przedsiębiorców wychodzi z błędnego założenia, że skoro firma została zarejestrowana w Wielkiej Brytanii, USA, Dubaju, Estonii, na Cyprze czy w innym państwie, to polski urząd skarbowy traci zainteresowanie ich dochodami. W praktyce jest dokładnie odwrotnie: im bardziej zagraniczna struktura wygląda na formalną, sztuczną albo zarządzaną z Polski, tym większe ryzyko, że fiskus zbada jej rzeczywiste funkcjonowanie.

REKLAMA

Cyberbezpieczeństwo 2027. Dlaczego przedsiębiorcy muszą zająć się bezpieczeństwem danych już w 2026 r.
11 maja 2026

Od 2027 roku tysiące polskich firm będzie musiało udowodnić, że ich zarządy faktycznie panują nad cyberbezpieczeństwem. To skutek wdrożenia dyrektywy NIS2 do ustawy o krajowym systemie cyberbezpieczeństwa. W razie zaniedbań sankcje mogą uderzyć nie tylko w spółkę, lecz także bezpośrednio w członków zarządu – nawet do trzykrotności ich miesięcznego wynagrodzenia.
Małe firmy toną w długach
11 maja 2026

Z raportu Krajowego Rejestru Długów wynika, że przedsiębiorstwa działające w miejscowościach liczących do 20 tys. mieszkańców są zadłużone na łączną kwotę 2,53 mld zł. Dominują wśród nich jednoosobowe działalności gospodarcze, a największe zaległości mają firmy z branży handlowej, transportowej, magazynowej oraz budowlanej.
Sztuczna inteligencja wkracza do polskich firm na szeroką skalę. Zaskakujące dane
09 maja 2026

Pierwsze rozwiązania oparte o sztuczną inteligencję zaimplementowało już lub wciąż wdraża 71 proc. polskich firm usługowych - wynika z badania EY. W publikacji dodano, że przedsiębiorstwa z tego sektora przerywały wprowadzanie rozwiązań AI częściej niż biznesy z innych branż.
Cicha epidemia przeciążenia
08 maja 2026

Rozmowa z Weroniką Ławniczak, założycielką Instytutu Holispace w Warszawie, o tym, jak podejście do zdrowia liderów zmienia perspektywę zarządzania

REKLAMA

Długi leasingowe rosną: 1,32 mld zł do odzyskania. Kto jest liderem dłużników?
08 maja 2026

Firmy leasingowe muszą odzyskać od nierzetelnych klientów 1,32 mld zł; 13,3 tys. przedsiębiorstw korzystających z leasingu nie reguluje rat w terminie – wynika z danych Krajowego Rejestru Długów. Największym dłużnikiem leasingodawców są przedsiębiorstwa transportowe.
Ruszył Wykaz KSC. Sprawdź, czy musisz złożyć wniosek
07 maja 2026

Od 7 maja do 3 października firmy podlegające Krajowemu Systemu Cyberbezpieczeństwa muszą zapisać do Wykazu KSC. Obowiązek dotyczy m.in. sektorów zarządzania usługami ICT (teleinformatycznymi), odprowadzania ścieków, produkcji i dystrybucji żywności. Firmy muszą same ustalić, czy podlegają KSC.
Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA