Ustawa o Krajowym Systemie Cyberbezpieczeństwa po nowelizacji obowiązuje od 3 kwietnia 2026 r. Terminy biegną już teraz. Jeśli Twoja organizacja podlega pod uKSC, masz 6 miesięcy na złożenie wniosku o wpis do rejestru i 12 miesięcy na wdrożenie pełnego systemu zarządzania bezpieczeństwem. Sprawdź, czy to dotyczy właśnie Ciebie – i co musisz zrobić w pierwszej kolejności.
Czas wdrożenia już biegnie – dlaczego nie warto czekać
Polska należała do ostatnich państw Unii Europejskiej, które wdrożyły dyrektywę NIS2 (Network and Information Security Directive 2) do krajowego porządku prawnego. Po długim procesie legislacyjnym ustawa nowelizująca uKSC weszła w życie 3 kwietnia 2026 roku. To oznacza, że terminy na rejestrację, wdrożenie systemów i realizację obowiązków toczą się już od tygodni.
Wiele firm i instytucji publicznych wciąż zadaje sobie pytanie: „czy nas to dotyczy?”. To pytanie jest nie tylko uzasadnione – jest absolutnie kluczowe. Bo jeśli odpowiedź brzmi „tak”, obowiązek złożenia wniosku o wpis do wykazu podmiotów kluczowych i ważnych mija 6 miesięcy po dniu spełnienia przesłanek. Dla większości podmiotów, które spełniały kryteria już w dniu wejścia ustawy w życie, termin ten upłynie 3 października 2026 roku.
Polska implementacja NIS2 to nie jest proste przepisanie dyrektywy. Ustawodawca dodał szereg wymogów i mechanizmów niemających odpowiednika w prawie unijnym: formalny rejestr prowadzony przez organy właściwe, obowiązkowe szkolenia kierownictwa weryfikowane dokumentem, weryfikację niekaralności kluczowych pracowników czy wyjątkowy instrument uznania dostawcy za „dostawcę wysokiego ryzyka”. Znajomość samej dyrektywy nie wystarczy, aby spełnić polskie wymagania.
Ten artykuł przeprowadzi Cię przez wszystkie kluczowe elementy uKSC: kto podlega, kiedy i co musi zrobić, jakie są konsekwencje braku działania – i co jest specyficznie polskie.
1. Czym jest ustawa KSC i jaki ma związek z NIS2?
Ustawa o Krajowym Systemie Cyberbezpieczeństwa (uKSC) obowiązuje w Polsce od 2018 roku. Jej pierwotnym celem było wdrożenie pierwszej dyrektywy NIS z 2016 roku i stworzenie ram dla krajowej architektury cyberbezpieczeństwa: systemu CSIRT, obowiązków dla tzw. operatorów usług kluczowych i dostawców usług cyfrowych.
Ustawa o krajowym systemie cyberbezpieczeństwa określa organizację krajowego systemu cyberbezpieczeństwa, zadania i obowiązki podmiotów wchodzących w skład tego systemu, a także zasady nadzoru i kontroli.
Dyrektywa NIS2, przyjęta przez Unię Europejską w 2022 roku, znacząco rozszerzyła zakres podmiotowy i przedmiotowy obowiązków cyberbezpieczeństwa w całej UE. Zamiast stosunkowo wąskiej grupy „operatorów usług kluczowych”, nowe przepisy objęły dziesiątki sektorów i tysiące dodatkowych podmiotów w każdym państwie członkowskim. Zmienił się też model odpowiedzialności, wymogi dla łańcucha dostaw, progi sankcji oraz zakres uprawnień nadzorczych organów.
Ustawa pochodzi z 5 lipca 2018 r. i ma kolejne teksty jednolite, a ostatni wskazany w materiale to t.j. z 29 grudnia 2025 r. (Dz.U. z 2026 r. poz. 20), przy czym część przepisów (obszerny pakiet zmian) weszła w życie 3.04.2026 r.
Polska nowelizacja, która weszła w życie 3 kwietnia 2026 roku, nie jest jednak kopią dyrektywy. Ustawodawca skorzystał z marginesu swobody przysługującego państwom członkowskim i dodał wiele rozwiązań krajowych. W efekcie polskie podmioty muszą spełnić nie tylko standard minimalny wynikający z NIS2, ale również wymagania typowo polskie – o których piszemy w dalszej części.
2. Kogo dotyczy ustawa KSC? Dwa statusy: podmiot kluczowy i podmiot ważny
Krajowy system cyberbezpieczeństwa obejmuje m.in. podmioty kluczowe, podmioty ważne oraz CSIRT-y (MON/NASK/GOV i sektorowe).
Pierwszym krokiem dla każdej organizacji jest ustalenie, czy w ogóle podlega pod uKSC, a jeśli tak – czy jest podmiotem kluczowym, czy podmiotem ważnym. Status ten determinuje zakres obowiązków, intensywność nadzoru i wysokość potencjalnych kar.
Podmiot kluczowy
Podmiotem kluczowym jest co do zasady podmiot z załącznika nr 1 (sektory kluczowe), który przekracza progi dla średniego przedsiębiorstwa, a także określone podmioty z uwagi na rodzaj działalności (np. przedsiębiorca komunikacji elektronicznej ≥ średni; dostawca usług zarządzanych w cyberbezpieczeństwie ≥ MŚP; oraz niezależnie od wielkości m.in. dostawca DNS, kwalifikowany dostawca usług zaufania, podmiot krytyczny, wskazane podmioty publiczne, rejestr TLD i rejestrator domen).
Innymi słowy: jeśli Twoja firma działa w sektorze kluczowym (energetyka, transport, bankowość, ochrona zdrowia, infrastruktura cyfrowa i inne) i zatrudnia powyżej 250 pracowników lub osiąga obrót przekraczający 50 mln euro – jesteś podmiotem kluczowym. Ale część podmiotów jest kluczowa niezależnie od wielkości: dostawca DNS, kwalifikowany dostawca usług zaufania, podmiot uznany za infrastrukturę krytyczną, rejestr domeny najwyższego poziomu (TLD) czy rejestrator domen.
Jeżeli podmiot spełnia jednocześnie przesłanki „kluczowego” i „ważnego”, ma status podmiotu kluczowego.
Podmiot ważny
Podmiotem ważnym jest w szczególności: (i) podmiot z załącznika nr 1 spełniający progi średniego przedsiębiorstwa, ale niebędący podmiotem kluczowym; (ii) podmiot z załącznika nr 2 spełniający co najmniej progi średniego (lub je przewyższający), ale niebędący kluczowym; oraz wskazane kategorie szczególne (np. niekwalifikowany dostawca usług zaufania będący MŚP; mikro/mały przedsiębiorca komunikacji elektronicznej; określone podmioty publiczne niebędące kluczowymi).
Podmiot ważny to zatem przede wszystkim firma działająca w sektorze kluczowym lub ważnym, zatrudniająca od 50 do 249 pracowników (lub osiągająca obrót od 10 do 50 mln euro). Ale uwaga – lista sektorów w załączniku nr 2 jest szeroka i obejmuje m.in. usługi pocztowe i kurierskie, gospodarkę odpadami, chemię, żywność, produkcję wyrobów medycznych i pojazdów.
Decyzja uznaniowa – kto może trafić na listę mimo niespełnienia progów?
Ustawa przewiduje, że organ właściwy może uznać podmiot za kluczowy lub ważny decyzją administracyjną, nawet jeśli nie spełnia on standardowych kryteriów wielkościowych. Dzieje się tak, gdy podmiot jest jedynym dostawcą usługi istotnej dla społeczeństwa lub gdy zakłócenie jego działalności rodziłoby poważne ryzyko dla bezpieczeństwa państwa, systemu finansowego lub wielu sektorów.
Kto jest wyłączony?
Służby specjalne i podmioty podległe lub nadzorowane przez Ministra Obrony Narodowej są wyłączone ze standardowego reżimu. Jednostki MON mogą być natomiast wskazane w sposób niejawny odrębną decyzją.
Podmioty zagraniczne działające w Polsce
Obowiązki z ustawy dotyczą podmiotów kluczowych/ważnych, jeżeli mają miejsce zamieszkania w Polsce albo prowadzą działalność w Polsce przez siedziby/oddziały/działalność transgraniczną, a dla szeregu usług cyfrowych obowiązki mogą zależeć od „głównego miejsca prowadzenia działalności”; przy braku jednostki w UE przewidziano wyznaczenie przedstawiciela.
Nie wiesz, czy Twoja organizacja podlega pod uKSC?
To jedna z najważniejszych rzeczy do ustalenia teraz – jeśli podlegasz pod ustawę, masz obowiązek złożyć wniosek o wpis do wykazu podmiotów kluczowych lub ważnych. Termin wynosi tylko 6 miesięcy od dnia spełnienia przesłanek – dla wielu firm to 3 października 2026 r. Przeoczenie tego terminu grozi karą pieniężną.
3. Terminy i daty – kiedy co musi być gotowe?
To serce artykułu. Poniżej znajdziesz pełny kalendarz obowiązków – z datami granicznymi dla podmiotów, które spełniały przesłanki ustawy już od 3 kwietnia 2026 roku.
| Działanie | Termin ustawowy | Data graniczna (dla podmiotów spełniających przesłanki od 3.04.2026 r.) |
| Ustawa wchodzi w życie | — | 3 kwietnia 2026 r. |
| Złożenie wniosku o wpis do wykazu | 6 miesięcy od spełnienia przesłanek | 3 października 2026 r. |
| Aktualizacja danych w wykazie | 14 dni od zmiany | Na bieżąco |
| Wdrożenie obowiązków z rozdziału 3 (SZBI, raportowanie, dokumentacja) | 12 miesięcy od spełnienia przesłanek | 3 kwietnia 2027 r. |
| Pierwszy audyt bezpieczeństwa (tylko podmioty kluczowe) | 24 miesiące od spełnienia przesłanek | 3 kwietnia 2028 r. |
| Kolejne audyty (podmioty kluczowe) | Co 3 lata | Od 2028 r. cyklicznie |
| Wczesne ostrzeżenie o incydencie poważnym | 24 godziny od wykrycia | Na bieżąco |
| Pełne zgłoszenie incydentu poważnego | 72 godziny od wykrycia | Na bieżąco |
| Sprawozdanie końcowe z incydentu | 1 miesiąc od zgłoszenia | Na bieżąco |
Ważna uwaga: jeśli Twoja organizacja spełniła lub spełni przesłanki po 3 kwietnia 2026 r. (np. przekroczyła progi wielkości w trakcie roku obrotowego), powyższe daty graniczne przesuną się odpowiednio od momentu spełnienia tych przesłanek.
4. Co konkretnie musisz wdrożyć? Główne obowiązki krok po kroku
Krok 1 – Zidentyfikuj swój status i właściwy organ
Pierwszym krokiem jest ustalenie, w jakim sektorze i podsektorze działa Twoja organizacja oraz który organ właściwy ds. cyberbezpieczeństwa jest Twoim regulatorem. W Polsce funkcjonuje kilku organów właściwych – są nimi poszczególni ministrowie sektorowi (np. minister ds. energii, zdrowia, transportu), a także Komisja Nadzoru Finansowego czy Prezes Urzędu Komunikacji Elektronicznej. Właściwość zależy od sektora i rodzaju działalności.
Równolegle ustal, który z krajowych CSIRT jest dla Ciebie właściwy: krajowy system cyberbezpieczeństwa obejmuje m.in. CSIRT GOV (przy Szefie ABW), CSIRT MON (przy Ministrze Obrony Narodowej), CSIRT NASK (przy NASK-PIB) oraz CSIRT sektorowe. Przynależność do konkretnego CSIRT wynika z przynależności sektorowej, a nie z wyboru podmiotu.
Krok 2 – Zarejestruj się w wykazie podmiotów kluczowych i ważnych
Ustawa przewiduje wykaz podmiotów kluczowych i ważnych, prowadzony m.in. w celu identyfikacji tych podmiotów, wymiany informacji o cyberbezpieczeństwie (incydenty/podatności/zagrożenia) oraz umożliwienia nadzoru.
Wykaz zawiera rozbudowany zakres danych, m.in. nazwę, sektor i podsektor działalności, adresy, e-mail, NIP/REGON, domeny i zakresy IP, dane osób kontaktowych, deklarację wielkości przedsiębiorcy, wskazanie organu właściwego i właściwych CSIRT-ów, podstawę prawną wpisu oraz daty wpisu i wykreślenia.
Podmiot kluczowy lub ważny składa wniosek o wpis do wykazu w terminie 6 miesięcy od spełnienia przesłanek, a zmiany danych zgłasza w terminie 14 dni.
Wniosek składa się wyłącznie elektronicznie, z kwalifikowanym podpisem elektronicznym, podpisem zaufanym lub podpisem osobistym. Podmiot składa oświadczenie o zgodności danych z prawdą pod rygorem odpowiedzialności karnej – to jeden z typowo polskich elementów, wykraczający poza wymagania dyrektywy.
Krok 3 – Wyznacz osoby do kontaktu i skorzystaj z systemu teleinformatycznego KSC
Podmiot kluczowy lub ważny wyznacza osoby do kontaktu z krajowym systemem cyberbezpieczeństwa (co najmniej dwie, a mikro i małe podmioty – co najmniej jedną) i po wpisie do wykazu jest zobligowany do korzystania z systemu teleinformatycznego przewidzianego w ustawie.
To ten właśnie system teleinformatyczny jest kanałem do zgłaszania incydentów, przekazywania sprawozdań i wymiany informacji z CSIRT-ami. Dostęp do niego uzyskujesz po uzyskaniu wpisu do wykazu.
Krok 4 – Zbuduj System Zarządzania Bezpieczeństwem Informacji (SZBI)
Podmiot kluczowy lub ważny wdraża SZBI w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi, obejmujący m.in. systematyczne szacowanie ryzyka, środki techniczne i organizacyjne (polityki bezpieczeństwa, bezpieczeństwo w cyklu życia systemu, bezpieczeństwo fizyczne, HR, bezpieczeństwo łańcucha dostaw, plany ciągłości działania i odtwarzania, monitoring ciągły, oceny skuteczności, edukację personelu, kryptografię, bezpieczną komunikację, zarządzanie aktywami i dostępem), zbieranie informacji o zagrożeniach i podatnościach oraz zarządzanie incydentami.
Szczególny nacisk ustawa kładzie na bezpieczeństwo łańcucha dostaw: w tym obszarze podmiot musi uwzględniać podatności i jakość dostawcy oraz wyniki skoordynowanych ocen bezpieczeństwa na poziomie UE, a także wyniki postępowania dotyczącego dostawców wysokiego ryzyka.
Krok 5 – Przygotuj dokumentację bezpieczeństwa
Podmiot opracowuje, stosuje i aktualizuje dokumentację bezpieczeństwa (normatywną i operacyjną) oraz ustanawia nadzór nad dokumentacją: kontrolę dostępu, ochronę przed utratą i nieautoryzowaną zmianą, wersjonowanie i zasady przechowywania.
Dokumentacja bezpieczeństwa to nie jednorazowy projekt – to żywy zbiór polityk, procedur i rejestrów, który wymaga regularnej aktualizacji.
Krok 6 – Zorganizuj obsługę i raportowanie incydentów
Podmiot kluczowy lub ważny zapewnia obsługę incydentu, klasyfikuje incydent jako poważny według progów ustawowych oraz współdziała z właściwymi CSIRT-ami, przekazując niezbędne dane, w tym dane osobowe.
W przypadku incydentu poważnego obowiązują trzy terminy: (i) wczesne ostrzeżenie – niezwłocznie, nie później niż w ciągu 24 godzin od wykrycia; (ii) zgłoszenie incydentu poważnego – niezwłocznie, nie później niż w ciągu 72 godzin od wykrycia; (iii) sprawozdanie końcowe – nie później niż w ciągu miesiąca od zgłoszenia (72h).
Wszystkie zgłoszenia i sprawozdania (wczesne ostrzeżenie, zgłoszenie 72h, sprawozdanie okresowe, końcowe oraz sprawozdanie z postępu) przekazuje się przez dedykowany system teleinformatyczny KSC.
Jeżeli obsługa incydentu nie zakończyła się przed upływem terminu sprawozdania końcowego, podmiot przekazuje sprawozdanie z postępu, a sprawozdanie końcowe składa nie później niż w ciągu miesiąca od zakończenia obsługi.
Krok 7 – Przeprowadź audyt bezpieczeństwa (podmioty kluczowe)
Podmiot kluczowy przeprowadza na własny koszt co najmniej raz na 3 lata audyt bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi.
Podmiot kluczowy przekazuje elektronicznie kopię raportu z audytu organowi właściwemu ds. cyberbezpieczeństwa w terminie 3 dni roboczych od jego otrzymania.
Ustawa określa, kto może przeprowadzić audyt (m.in. jednostka oceniająca zgodność lub co najmniej dwóch audytorów spełniających określone kryteria) oraz wprowadza wymóg niezależności audytora – audytu nie może wykonać osoba realizująca zadania z zakresu cyberbezpieczeństwa u audytowanego podmiotu lub w ciągu roku przed audytem.
Organ właściwy może też nakazać przeprowadzenie zewnętrznego audytu w każdym czasie (wobec podmiotu kluczowego) lub w razie incydentu poważnego i innych naruszeń (wobec podmiotu ważnego). Taka decyzja podlega natychmiastowemu wykonaniu.
5. Polskie „dodatki” do NIS2 – co musisz wiedzieć ponad dyrektywę?
To właśnie tutaj polska implementacja odróżnia się od samej dyrektywy. Poniższe elementy są specyficzne dla Polski i nie wynikają wprost z NIS2.
5.1 Osobista odpowiedzialność kierownictwa i obowiązkowe szkolenia
Kierownik podmiotu kluczowego lub ważnego ponosi odpowiedzialność za wykonywanie obowiązków cyberbezpieczeństwa, nawet gdy powierzył je innej osobie. W przypadku organów wieloosobowych, gdy nie wskazano osoby odpowiedzialnej, odpowiadają wszyscy członkowie.
Ustawa przypisuje kierownikowi konkretne zadania: podejmowanie decyzji dotyczących SZBI (przygotowanie, wdrożenie, przegląd, nadzór), planowanie środków finansowych, delegowanie i nadzorowanie zadań, zapewnienie świadomości personelu w zakresie cyberbezpieczeństwa oraz dbałość o zgodność z prawem i regulacjami wewnętrznymi.
Kierownik (i osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa) musi raz w roku przejść szkolenie obejmujące kluczowe obowiązki z ustawy, a udział musi być udokumentowany.
Polska dodała też wymóg weryfikacji niekaralności dla osób realizujących kluczowe funkcje cyberbezpieczeństwa – na podstawie informacji z Krajowego Rejestru Karnego.
5.2 Dostawca wysokiego ryzyka – unikalna polska regulacja
To jeden z najbardziej oryginalnych polskich instrumentów, niemający odpowiednika w NIS2.
Minister właściwy ds. informatyzacji może wszcząć postępowanie (z urzędu lub na wniosek przewodniczącego Kolegium) w sprawie uznania dostawcy sprzętu lub oprogramowania, wykorzystywanego przez podmioty kluczowe/ważne i wskazane inne kategorie podmiotów, za „dostawcę wysokiego ryzyka”.
Opinia Kolegium ds. Cyberbezpieczeństwa – wymagana w postępowaniu – obejmuje analizę zagrożeń dla bezpieczeństwa narodowego, ryzyka kontroli przez państwa spoza UE i NATO, powiązań z podmiotami objętymi sankcjami UE, historii podatności i incydentów, a także nadzoru nad łańcuchem dostaw. Kolegium uwzględnia też certyfikaty i analizy zlecane CSIRT-om.
Decyzja uznająca dostawcę (i jego grupę kapitałową) za dostawcę wysokiego ryzyka ogłaszana jest w Monitorze Polskim i publikowana w BIP, wchodzi w życie natychmiast i nie przysługuje od niej wniosek o ponowne rozpatrzenie.
Skutki decyzji są daleko idące: objęte podmioty nie mogą wprowadzać do użytkowania wskazanych produktów, usług i procesów ICT tego dostawcy, a już używane muszą wycofać zasadniczo w terminie do 7 lat (a telekomunikacyjni przedsiębiorcy w zakresie funkcji krytycznych – w 4 lata).
Oznacza to, że decyzja ministra może mieć bezpośredni wpływ na Twój łańcuch dostaw IT. Warto monitorować ogłoszenia w Monitorze Polskim i uwzględniać to ryzyko przy zawieraniu nowych umów z dostawcami technologii.
5.3 Formalny wykaz z e-podpisem i ryzykiem karnym
Jak wspomniano wyżej, rejestracja w wykazie podmiotów kluczowych i ważnych odbywa się wyłącznie drogą elektroniczną z kwalifikowanym podpisem i oświadczeniem pod rygorem odpowiedzialności karnej. Nieaktualność danych w wykazie jest osobnym deliktem administracyjnym.
5.4 Połączone Centrum Operacyjne Cyberbezpieczeństwa (PCOC)
Ustawa powołuje PCOC jako nowy, krajowy organ pomocniczy przy Pełnomocniku Rządu ds. Cyberbezpieczeństwa. PCOC skupia przedstawicieli CSIRT-ów, służb i innych organów, a jego zadaniem jest wymiana informacji o incydentach, ryzyku i sytuacji kryzysowej. Jest to twór całkowicie krajowy, niewymagany przez dyrektywę.
5.5 Specjalne reguły dla podmiotów publicznych i JST
Ustawa przewiduje mechanizm wspólnego wykonywania obowiązków cyberbezpieczeństwa przez jednostki samorządu terytorialnego (porozumienia między jednostkami), a minister lub organ centralny może wyznaczyć jednostkę odpowiedzialną za realizację obowiązków w podległych mu podmiotach. Jest to odpowiedź na wyzwania administracji samorządowej, niemająca bezpośredniego odpowiednika w NIS2.
5.6 Wiele kodów PKD – który z nich decyduje o podleganiu pod uKSC?
Polska implementacja NIS2 zawiera szereg rozwiązań specyficznych, niemających bezpośredniego odpowiednika w treści dyrektywy. Jednym z zagadnień praktycznych, które nie wynika wprost z przepisów dyrektywy, ale ma bezpośredni wpływ na samodzielną kwalifikację podmiotów, jest kwestia wielości kodów PKD. Wiele polskich firm i instytucji prowadzi kilka rodzajów działalności i właśnie ta wielość może przesądzić o podleganiu pod uKSC nawet wtedy, gdy podmiot nie uważa się za działający w sektorze regulowanym.
Zasada ogólna: każdy kwalifikujący kod PKD może wpływać na obowiązki
Ustawa KSC nie uzależnia kwalifikacji do statusu podmiotu kluczowego lub ważnego od tego, aby działalność z załącznika nr 1 lub 2 była działalnością przeważającą danego podmiotu. Podmiotem kluczowym jest m.in. osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej wskazana w załączniku nr 1 do ustawy – bez zastrzeżenia, że chodzi wyłącznie o działalność wpisaną jako przeważająca w rejestrze. Analogicznie podmiotem ważnym jest m.in. podmiot wskazany w załączniku nr 1 lub 2 do ustawy, który spełnia wymogi dla średniego przedsiębiorcy i ponownie, przepis nie wymaga, aby ta działalność była działalnością podstawową.
Co więcej, podmiot kluczowy lub podmiot ważny prowadzący kilka rodzajów działalności wykazuje odrębnie te działalności we wniosku o wpis do wykazu. Oznacza to, że ustawodawca wprost zakłada, iż jeden podmiot może prowadzić wiele działalności kwalifikujących go pod uKSC i nakazuje ich osobne ujawnienie – nie zaś wskazanie jednej działalności jako „głównej”.
Praktyczna konsekwencja: Jeżeli którykolwiek z posiadanych przez Ciebie kodów PKD odpowiada działalności wymienionej w załączniku nr 1 lub 2 do uKSC, podmiot co do zasady podlega obowiązkom ustawy, nawet jeśli ten kod nie jest kodem przeważającym. Przy samodzielnej kwalifikacji nie wystarczy sprawdzić jednego, głównego kodu PKD: analiza powinna objąć wszystkie zarejestrowane rodzaje działalności.
Wyjątek: sektory, które wymagają działalności „podstawowej”
Ustawa KSC przewiduje jednak istotny wyjątek, dotyczący wybranych sektorów. W załączniku nr 2 (sektory ważne), w kategorii Gospodarowanie odpadami, każdy z podsektorów (zbieranie, transport, przetwarzanie odpadów, a także działania sprzedawcy lub pośrednika w obrocie odpadami) obejmuje wyłącznie te przedsiębiorstwa, dla których usługi te stanowią podstawową działalność gospodarczą określoną zgodnie z przepisami wydanymi na podstawie art. 40 ust. 2 ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej.
Podobne wyłączenie znajdziemy w załączniku nr 1 (sektory kluczowe) w sektorze zaopatrzenia w wodę i zbiorowego odprowadzania ścieków: z zakresu sektora wyłączone są podmioty, dla których dostarczanie wody przeznaczonej do spożycia przez ludzi jest inną niż istotną częścią ich ogólnej działalności, a analogicznie wyłączone są podmioty, dla których odprowadzanie lub oczyszczanie ścieków jest inną niż istotna częścią ich ogólnej działalności.
Odwołanie do art. 40 ust. 2 ustawy o statystyce publicznej odsyła do rozporządzenia określającego metodologię PKD. Oznacza to, że dla tych sektorów kluczowym kryterium jest kod PKD oznaczony jako przeważający (tj. podstawowa działalność gospodarcza zarejestrowana w CEIDG lub KRS). Jeśli np. zbieranie odpadów figuruje w rejestrze wyłącznie jako działalność uboczna (nieprzeważająca), podmiot może nie wchodzić w zakres uKSC w tym sektorze.
Podsumowanie dla podmiotów z wieloma kodami PKD
| Sytuacja | Co sprawdzić? |
| Działalność z załącznika nr 1 lub 2 (większość sektorów) | Wszystkie posiadane kody PKD – podleganie może wynikać z każdego z nich |
| Sektor Gospodarowanie odpadami (załącznik nr 2) | Wyłącznie przeważający kod PKD – działalność uboczna nie oznacza obowiązków |
| Sektor Zaopatrzenie w wodę / Zbiorowe odprowadzanie ścieków (załącznik nr 1) | Czy dana działalność jest istotną częścią ogólnej działalności podmiotu |
Jeśli Twoja firma prowadzi kilka rodzajów działalności i choćby jeden z nich pokrywa się z katalogiem z załącznika nr 1 lub 2 do uKSC, nie odkładaj weryfikacji. Masz obowiązek złożyć wniosek o wpis do wykazu podmiotów kluczowych lub ważnych w terminie 6 miesięcy od dnia spełnienia przesłanek – dla większości podmiotów to 3 października 2026 r. Wielość PKD nie jest przy tym podstawą do wyłączenia się z obowiązków – może być wręcz powodem, dla którego obowiązki te dotyczą Cię w kilku sektorach jednocześnie.
6. Konsekwencje braku wdrożenia – kary dla podmiotu i dla kierownika osobiście
Ustawa nie pozostawia złudzeń: brak wdrożenia grozi realnymi i dotkliwymi konsekwencjami finansowymi.
Ustawa przewiduje katalog naruszeń, za które podmiot kluczowy lub ważny podlega karze pieniężnej. Obejmuje on m.in. brak lub nieaktualność danych w wykazie, brak szacowania ryzyka, brak lub wadliwy SZBI, brak dokumentacji bezpieczeństwa, niewykonywanie obowiązków raportowania incydentów, brak audytu, brak usunięcia podatności, utrudnianie kontroli, niewykonywanie żądań informacyjnych i zaleceń pokontrolnych, a także naruszenia obowiązków dotyczących dostawcy wysokiego ryzyka.
Maksymalna kara dla podmiotu kluczowego wynosi do 10 mln euro albo 2% całkowitego rocznego przychodu (stosuje się wyższą z kwot), przy minimalnym progu 20 000 zł. Dla podmiotu ważnego kara sięga do 7 mln euro albo 1,4% przychodów, przy minimalnym progu 15 000 zł.
W szczególnych przypadkach – gdy istnieje bezpośrednie i poważne cyberzagrożenie lub ryzyko poważnych szkód – organ może nałożyć karę do 100 000 000 zł.
Kary mogą dotknąć również kierownika podmiotu osobiście – za niewykonywanie obowiązków z zakresu rejestracji w wykazie, wdrożenia SZBI, zadań kierownictwa, szkoleń, wyznaczenia osób kontaktowych, dokumentacji, raportowania incydentów i audytów.
Kara dla kierownika może sięgać do 300% jego miesięcznego wynagrodzenia, a w podmiotach publicznych – do 100% wynagrodzenia.
Warto podkreślić różnicę w modelu nadzoru: podmioty kluczowe podlegają nadzorowi o charakterze zarówno prewencyjnym, jak i następczym. Podmioty ważne podlegają co do zasady nadzorowi następczemu, uruchamianemu zwłaszcza w razie uzasadnionego podejrzenia naruszeń.
Organ może też stosować środki dalej idące niż kary pieniężne: przy niewykonaniu nakazów lub decyzji organ może wstrzymać lub ograniczyć koncesje/zezwolenia, wstrzymać działalność podmiotu, a nawet wydać zakaz pełnienia funkcji zarządczych przez kierownika. Środki te nie mają jednak zastosowania do podmiotów publicznych.
7. Mini-harmonogram: co zrobić w ciągu 30 / 90 / 180 dni?
Poniższy harmonogram zakłada, że Twoja organizacja spełniała przesłanki już od 3 kwietnia 2026 roku (daty graniczne są liczone od tej daty). Jeśli przesłanki spełniłeś później, terminy przesuną się odpowiednio.
| Horyzont czasowy | Okno dat | Działanie priorytetowe |
| Teraz (0–30 dni) | 7 maja – 6 czerwca 2026 r. | Ustal status (kluczowy / ważny / poza zakresem); zidentyfikuj właściwy organ i właściwy CSIRT |
| Wkrótce (30–90 dni) | 7 czerwca – 5 sierpnia 2026 r. | Przygotuj wniosek do wykazu; wyznacz osoby do kontaktu; przeprowadź wstępną analizę luk (gap analysis) |
| Pilne (90–180 dni) | 6 sierpnia – 3 października 2026 r. | Złóż wniosek o wpis – ostateczny termin to 3 października 2026 r.; zaplanuj architekturę SZBI i budżet |
| Do 12 miesięcy | do 3 kwietnia 2027 r. | Wdróż w pełni obowiązki rozdziału 3 ustawy: SZBI, dokumentacja, zarządzanie incydentami, raportowanie |
| Do 24 miesięcy (kluczowe) | do 3 kwietnia 2028 r. | Przeprowadź pierwszy audyt bezpieczeństwa i przekaż raport organowi właściwemu w ciągu 3 dni roboczych |
Pamiętaj: termin 12 miesięcy na wdrożenie SZBI biegnie niezależnie od tego, kiedy złożysz wniosek o wpis do wykazu – liczy się moment spełnienia przesłanek, nie moment rejestracji.
Sprawdź teraz, czy podlegasz pod uKSC
Ustawa KSC po nowelizacji obowiązuje już od 3 kwietnia 2026 roku. Terminy biegną – dla wielu podmiotów kluczowe deadline’y są oddalone o mniej niż pięć miesięcy. Kary są realne i obciążają nie tylko organizację, ale też jej kierownictwo osobiście.
Polska wersja NIS2 to nie jest czysta kopia dyrektywy. Formalny rejestr z oświadczeniami pod rygorem karnym, mechanizm dostawcy wysokiego ryzyka, coroczne szkolenia kierownictwa z dokumentacją, weryfikacja niekaralności kluczowych pracowników – to wymogi specyficznie polskie, których nie znajdziesz wprost w tekście dyrektywy.
Teraz, gdy terminy już biegną, pierwszą i najważniejszą rzeczą jest ustalenie, czy Twoja organizacja podlega pod uKSC. Jeśli tak – masz obowiązek złożyć wniosek o wpis do wykazu podmiotów kluczowych lub ważnych w ciągu 6 miesięcy od spełnienia przesłanek. Niewiedzą nie można się zasłonić, a kary sięgają milionów złotych i obciążają kierownictwo osobiście.
Artykuł opracowany na podstawie ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2026 r. poz. 20), ze zmianami, które weszły w życie 3 kwietnia 2026 r.
