Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) – jak dokonać samoidentyfikacji?

poniedziałek, 4 maja 2026 roku
Informacja - Ministerstwo Cyfryzacji

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca dyrektywę NIS2, obejmuje regulacjami cyberbezpieczeństwa podmioty kluczowe i podmioty ważne. Nowelizacja przewiduje utworzenie ich wykazu oraz nakłada obowiązek samodzielnego dokonania do niego wpisu przez przedsiębiorców i inne podmioty prowadzące działalność w sektorach objętych ustawą.

Co to oznacza w praktyce? 

Podmioty prowadzące działalność w sektorach objętych nowelizacją ustawy o KSC powinny już teraz przeanalizować, czy podlegają nowym regulacjom. Proces samoidentyfikacji przeprowadzany jest samodzielnie przez dany podmiot. Oznacza to konieczność dokonania analizy własnej działalności w oparciu o przepisy ustawy, w szczególności o art. 5 oraz załączniki nr 1 i 2 do ustawy, określające sektory, podsektory i rodzaje działalności objęte regulacją. 

Nowelizacja KSC nakłada obowiązek wpisu do Wykazu KSC (samorejestracji) przez podmioty kluczowe i podmioty ważne. 7 maja 2026 r. uruchomiona zostanie możliwość wpisu do Wykazu KSC dla podmiotów, które nie są objęte wpisem realizowanym z urzędu. 

Jak dokonać samoidentyfikacji? 

Należy wziąć pod uwagę w szczególności: 

• profil prowadzonej działalności,  
• właściwy kod PKD oraz  
• wielkość podmiotu. 

KROK 1 – Sprawdź, czy prowadzisz działalność w sektorze objętym ustawą 

W pierwszej kolejności należy zweryfikować, czy prowadzona działalność mieści się w sektorach lub podsektorach wskazanych w załączniku nr 1 (podmioty kluczowe) albo załączniku nr 2 (podmioty ważne). 

Przy ocenie należy brać pod uwagę rzeczywisty charakter prowadzonej działalności. Pomocniczo można posłużyć się kodami PKD, jednak decydujące znaczenie ma faktyczny zakres świadczonych usług lub wykonywanych zadań. 

KROK 2 – Określ wielkość swojego podmiotu 

Należy wziąć pod uwagę progi mikro, małych i średnich przedsiębiorstw. Przy obliczaniu wielkości przedsiębiorstwa uwzględnia się również przedsiębiorstwa powiązane oraz przedsiębiorstwa partnerskie.
 

WAŻNE: Wszyscy przedsiębiorcy telekomunikacyjni niezależnie od ich wielkości podlegają pod ustawę. 
 

KROK 3 – Przeanalizuj art. 5 ustawy 

Ostatnim etapem jest analiza art. 5 ustawy, który określa szczegółowe zasady uznawania podmiotów za podmiot kluczowy albo podmiot ważny. 

Przepis ten wskazuje m.in. przypadki, w których podmiot może zostać objęty ustawą niezależnie od swojej wielkości, a także szczególne sytuacje uzasadniające zakwalifikowanie podmiotu do jednej kategorii. 

Po dokonaniu analizy art. 5 możliwe jest ostateczne ustalenie, czy podmiot: 

• jest podmiotem kluczowym, 
• jest podmiotem ważnym, 
• nie podlega przepisom ustawy. 

Spełnienie przesłanek z art. 5 jednoznacznie oznacza objęcie podmiotu przepisami ustawy. 

Co dalej? 

Podmiot, który ustalił, że podlega pod krajowy system cyberbezpieczeństwa, powinien podjąć dalsze działania wynikające z przepisów ustawy, w szczególności związane z wpisem do Wykazu KSC oraz przygotowaniem się do realizacji obowiązków w zakresie zakresu cyberbezpieczeństwa.  

Dodatkowo:  

Przypominamy, że podmioty mogą dokonać samorejestracji w wykazie w terminie 7 maja – 3 października 2026 r.  

Niektóre podmioty będą wpisane do wykazu z urzędu przez Ministra Cyfryzacji w terminie do 6 maja 2026 r. – dotyczy to podmiotów publicznych, przedsiębiorców telekomunikacyjnych, dostawców usług cyfrowych oraz podmiotów, które wcześniej miały status operatorów usług kluczowych. 

Wykaz KSC jest prowadzony w Systemie S46, ale stanowi osobną aplikację webową dostępną pod adresem https://wykaz-ksc.gov.pl. Wnioski o wpis, zmianę wpisu, wykreślenie podmiotu z wykazu będą wypełniane i składane w aplikacji „Wykaz KSC” w postaci elektronicznej i opatrywane podpisem elektronicznym.