Właściciel średniej firmy produkcyjnej dostaje e-mail od kontrahenta z Niemiec. Pytanie brzmi: czy spełniacie wymogi NIS2? Zarząd nie wie, co odpowiedzieć. Sprawdza ustawę, gubi się w załącznikach i terminach. Tymczasem termin rejestracji w wykazie podmiotów kluczowych i ważnych mija 3 października 2026 r. Kto się spóźni, zostanie wpisany z urzędu – a wcześniej może spodziewać się kontroli.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa weszła w życie 3 kwietnia 2026 r. Obejmuje znacznie więcej firm niż poprzednia wersja przepisów. W tym artykule odpowiadamy na siedem najczęściej zadawanych pytań o identyfikację podmiotów kluczowych i ważnych.
1. Co musi zrobić przedsiębiorca, który nie wie, czy podlega pod KSC?
Analizę zaczyna się od ustalenia wielkości przedsiębiorstwa. Dane finansowe znajdują się w ostatnim sprawozdaniu finansowym. Liczy się stan na dzień jego sporządzenia, a nie bieżąca sytuacja firmy.
Kolejnym krokiem jest weryfikacja rzeczywistej działalności. Nie wystarczą tu zadeklarowane kody PKD. Pod uwagę bierze się również koncesje, zezwolenia oraz wpisy w rejestrach działalności regulowanej.
Następnie należy przeanalizować art. 5 ustawy o KSC oraz załączniki nr 1 i 2. To właśnie tam ustawodawca wskazał konkretne sektory i rodzaje działalności objęte regulacją.
⚖️ Komentarz prawny Kancelaria IT
W praktyce widzimy, że firmy często analizują wyłącznie swój główny przedmiot działalności. Tymczasem ustawa obejmuje również działalność poboczną – jeśli mieści się ona w załączniku nr 1 lub 2. Pominięcie tego etapu to jeden z najczęstszych błędów przy samodzielnej kwalifikacji.
2. Kto jest podmiotem kluczowym?
Podmiotem kluczowym jest przede wszystkim duże przedsiębiorstwo wskazane w załączniku nr 1 do ustawy. Status ten dotyczy także przedsiębiorcy komunikacji elektronicznej będącego średnim lub dużym przedsiębiorstwem.
„Dostawca usług zarządzanych w zakresie cyberbezpieczeństwa jest podmiotem kluczowym niezależnie od wielkości – może być mikro-, małym, średnim lub dużym przedsiębiorstwem.”
Co więcej, ustawa wskazuje grupę podmiotów kluczowych niezależnie od ich wielkości. Wystarczy, że prowadzą określony rodzaj działalności:
- Dostawca usług DNS – świadczy publicznie dostępne usługi rozpoznawania nazw domen.
- Kwalifikowany dostawca usług zaufania – niezależnie od skali prowadzonej działalności.
- Podmiot krytyczny – w rozumieniu dyrektywy CER.
- Podmiot publiczny – wskazany w załączniku nr 1 w sektorze podmioty publiczne.
- Operator obiektu energetyki jądrowej oraz rejestr nazw domen najwyższego poziomu (TLD).
⚖️ Komentarz prawny Kancelaria IT
Organ właściwy do spraw cyberbezpieczeństwa może uznać dowolny podmiot za kluczowy w drodze decyzji administracyjnej. Dzieje się tak, gdy jego usługa ma istotne znaczenie dla bezpieczeństwa państwa lub gospodarki. Dlatego nawet firma niespełniająca formalnych kryteriów wielkości nie jest w pełni bezpieczna przed objęciem ustawą.
3. Kto jest podmiotem ważnym?
Podmiotem ważnym jest średnie przedsiębiorstwo wskazane w załączniku nr 1 do ustawy. Jest nim również średnie lub duże przedsiębiorstwo prowadzące działalność z załącznika nr 2. W praktyce ta kategoria obejmuje znacznie szersze grono firm niż status podmiotu kluczowego.
Status podmiotu ważnego mają również:
- niekwalifikowany dostawca usług zaufania będący mikro-, małym lub średnim przedsiębiorstwem,
- przedsiębiorca komunikacji elektronicznej będący mikro- lub małym przedsiębiorstwem,
- inwestor obiektu energetyki jądrowej – niezależnie od wielkości,
- samorządowa jednostka budżetowa, zakład budżetowy lub instytucja kultury realizująca zadanie publiczne z wykorzystaniem systemów informacyjnych.
📌 Rekomendacja praktyczna
Jeśli Twoja firma spełnia kryteria zarówno podmiotu kluczowego, jak i ważnego, ustawa nakazuje traktować ją jako podmiot kluczowy. Ma to znaczenie praktyczne – podmioty kluczowe podlegają nadzorowi ex ante oraz cyklicznemu audytowi co 3 lata. Podmioty ważne audytuje się wyłącznie na żądanie organu.
4. Jakie sektory są objęte ustawą?
Ustawa wyróżnia dwie grupy sektorów. Sektory kluczowe ujęto w załączniku nr 1, a sektory ważne w załączniku nr 2. Klasyfikacja ta przekłada się bezpośrednio na status danej firmy.
| Sektory kluczowe (zał. nr 1) | Sektory ważne (zał. nr 2) |
|---|---|
| Energia, w tym energetyka jądrowa i wodór | Usługi pocztowe |
| Transport lotniczy, kolejowy, wodny i drogowy | Gospodarowanie odpadami |
| Bankowość i infrastruktura rynków finansowych | Produkcja i dystrybucja chemikaliów |
| Ochrona zdrowia | Produkcja i dystrybucja żywności |
| Zaopatrzenie w wodę pitną i odprowadzanie ścieków | Produkcja komputerów, elektroniki i pojazdów |
| Infrastruktura cyfrowa i komunikacja elektroniczna | Dostawcy usług cyfrowych |
| Zarządzanie usługami ICT, przestrzeń kosmiczna | Badania naukowe |
| Podmioty publiczne | Podmioty publiczne (poza zał. nr 1) |
⚖️ Komentarz prawny Kancelaria IT
Klasyfikacja sektorowa ma znaczenie nie tylko dla Twojej firmy. Twoi kontrahenci z branży motoryzacyjnej, medycznej czy spożywczej mogą podlegać ustawie nawet wtedy, gdy Ty sam nie jesteś nią objęty. Warto to uwzględnić w umowach z dostawcami i klientami.
5. Jak określić wielkość przedsiębiorstwa?
Wielkość firmy ustala się na podstawie dwóch parametrów jednocześnie. Pierwszym jest liczba zatrudnionych, drugim – roczny obrót lub suma bilansowa.
| Rodzaj przedsiębiorstwa | Liczba zatrudnionych | Dane finansowe |
|---|---|---|
| Mikroprzedsiębiorstwo | mniej niż 10 | obrót lub suma bilansowa do 2 mln EUR |
| Małe przedsiębiorstwo | mniej niż 50 | obrót lub suma bilansowa do 10 mln EUR |
| Średnie przedsiębiorstwo | mniej niż 250 | obrót do 50 mln EUR lub suma bilansowa do 43 mln EUR |
Do personelu wlicza się nie tylko pracowników etatowych. Uwzględnia się również osoby na umowach zlecenia i umowach o dzieło. Dolicza się także właścicieli-kierowników oraz wspólników czerpiących korzyści finansowe z działalności.
📌 Rekomendacja praktyczna
Przydatnym narzędziem jest Kwalifikator MŚP przygotowany przez Polską Agencję Rozwoju Przedsiębiorczości, dostępny pod adresem kwalifikator.parp.gov.pl. Pozwala on wstępnie oszacować status firmy – jednak nie zastępuje pełnej analizy prawnej, zwłaszcza przy strukturach grupowych.
6. Czy trzeba uwzględnić przedsiębiorstwa partnerskie i powiązane?
To pytanie budzi najwięcej wątpliwości wśród przedsiębiorców z grup kapitałowych. Co do zasady przy ustalaniu wielkości firmy uwzględnia się przychody, sumę bilansową i liczbę pracowników podmiotów powiązanych i partnerskich. W rezultacie mała firma może stać się średnim przedsiębiorcą po doliczeniu tych danych.
Istnieje jednak istotny wyjątek od tej reguły. Jeśli systemy informacyjne podmiotu są niezależne od systemów partnerów, nie ma podstaw do podwyższania jego statusu. Niezależność oznacza, że świadczenie usługi nie wymaga działania podmiotu powiązanego.
⚖️ Komentarz prawny Kancelaria IT
Dodatkowo, jeśli podmiot wraz z partnerem nie świadczy tej samej usługi podlegającej ustawie, danych partnera nie uwzględnia się przy ustalaniu wielkości. Świadczenie tej samej usługi może oznaczać podział obowiązków między podmiotami – pod warunkiem należytego udokumentowania tego podziału. W naszej praktyce to właśnie ten etap analizy najczęściej decyduje o tym, czy firma trafia do kategorii kluczowej, czy ważnej.
7. Jakie podmioty są kluczowe niezależnie od ich wielkości?
Niektóre firmy stają się podmiotami kluczowymi bez względu na liczbę pracowników czy wysokość obrotu. Ta kategoria obejmuje podmioty o szczególnym znaczeniu dla bezpieczeństwa kraju.
Należą do niej:
- dostawca usług DNS,
- kwalifikowany dostawca usług zaufania,
- podmiot krytyczny w rozumieniu dyrektywy CER,
- podmiot publiczny wskazany w załączniku nr 1 w sektorze podmioty publiczne,
- podmiot zidentyfikowany jako kluczowy w drodze decyzji administracyjnej,
- podmiot wskazany w załączniku nr 1 z nazwy, niebędący przedsiębiorcą,
- operator obiektu energetyki jądrowej,
- rejestr nazw domen najwyższego poziomu (TLD) oraz podmiot świadczący usługi rejestracji nazw domen.
📌 Rekomendacja praktyczna
Nawet niewielka firma technologiczna nie powinna automatycznie zakładać, że ustawa jej nie dotyczy. Rodzaj prowadzonej działalności bywa ważniejszy niż jej skala. Jeśli świadczysz usługi DNS, zaufania lub rejestracji domen, sprawdź swój status w pierwszej kolejności – niezależnie od liczby pracowników.
Co zabrać z tej analizy
Podsumowując, prawidłowa kwalifikacja prawna to pierwszy i najważniejszy krok wdrożenia ustawy o KSC. Błędna samoidentyfikacja niesie realne ryzyko – od wpisu z urzędu po późniejsze czynności nadzorcze.
Trzy zasady, które warto zapamiętać:
- Status podmiotu zależy od dwóch czynników jednocześnie – wielkości przedsiębiorstwa i rodzaju prowadzonej działalności.
- Podmioty powiązane i partnerskie liczą się do wielkości firmy – chyba że ich systemy informacyjne są od siebie niezależne.
- Niektóre podmioty są kluczowe niezależnie od wielkości. Dlatego warto sprawdzić ten katalog przed jakąkolwiek inną analizą.
Podstawy prawne: art. 5, 7 oraz załączniki nr 1 i 2 do ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, w brzmieniu nadanym nowelizacją z 2025 r.; dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. (NIS2); zalecenie Komisji 2003/361/WE w sprawie definicji mikro-, małych i średnich przedsiębiorstw.
Nie wiesz, czy Twoja firma podlega pod ustawę o KSC?
Kancelaria IT przeprowadza audyty zgodności z ustawą o krajowym systemie cyberbezpieczeństwa oraz dyrektywą NIS2. Ustalamy status prawny firmy, przygotowujemy dokumentację SZBI i wdrażamy obowiązki ustawowe krok po kroku.
Artykuł ma charakter informacyjny. Nie stanowi porady prawnej w rozumieniu przepisów o świadczeniu pomocy prawnej. W celu uzyskania porady prawnej w konkretnej sprawie zapraszamy do kontaktu: kancelaria-it.pl
