Ministerstwo Cyfryzacji przypomina, że w związku z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca dyrektywę NIS2, podmioty prowadzące działalność w sektorach objętych wprowadzanymi przepisami powinny już teraz przeanalizować, czy podlegają nowym regulacjom, tzn. są podmiotami kluczowymi lub ważnymi. Przedsiębiorcy telekomunikacyjni nie będą mieli jednak z tym kłopotu, bo wszyscy niezależnie od ich wielkości podlegają pod ustawę.
Nowelizacja przewiduje bowiem utworzenie ich wykazu oraz nakłada obowiązek samodzielnego dokonania do niego wpisu przez przedsiębiorców i inne podmioty prowadzące działalność w sektorach objętych ustawą.
Proces samoidentyfikacji przeprowadzany jest samodzielnie przez dany podmiot. Oznacza to konieczność dokonania analizy własnej działalności w oparciu o przepisy ustawy, w szczególności o art. 5 oraz załączniki nr 1 i 2 do ustawy, określające sektory, podsektory i rodzaje działalności objęte regulacją.
Nowelizacja nakłada obowiązek wpisu do Wykazu KSC (samorejestracji) przez podmioty kluczowe i podmioty ważne. 7 maja 2026 r. uruchomiona zostanie możliwość wpisu do Wykazu KSC dla podmiotów, które nie są objęte wpisem realizowanym z urzędu.
Jak dokonać samoidentyfikacji?
Należy wziąć pod uwagę w szczególności:
- profil prowadzonej działalności,
- właściwy kod PKD oraz
- wielkość podmiotu.
KROK 1 – Sprawdzić, czy podmiot prowadzi działalność w sektorze objętym ustawą
W pierwszej kolejności należy zweryfikować, czy prowadzona działalność mieści się w sektorach lub podsektorach wskazanych w załącznikach do ustawy
Przy ocenie należy brać pod uwagę rzeczywisty charakter prowadzonej działalności. Pomocniczo można posłużyć się kodami PKD, jednak decydujące znaczenie ma faktyczny zakres świadczonych usług lub wykonywanych zadań.
KROK 2 – Określić wielkość swojego podmiotu
Należy wziąć pod uwagę progi mikro, małych i średnich przedsiębiorstw. Przy obliczaniu wielkości przedsiębiorstwa uwzględnia się również przedsiębiorstwa powiązane oraz przedsiębiorstwa partnerskie.
|
Rodzaj |
Liczba zatrudnionych |
Dane finansowe |
|
Mikroprzedsiębiorstwo |
mniej niż 10 |
roczny obrót lub roczna suma bilansowa nie przekracza 2 mln EUR |
|
Małe przedsiębiorstwo |
mniej niż 50 |
roczny obrót lub roczna suma bilansowa nie przekracza 10 mln EUR |
|
Średnie przedsiębiorstwo |
mniej niż 250 |
roczny obrót nie przekracza 50 mln EUR lub roczna suma bilansowa nie przekracza 43 mln EUR |
|
Duże przedsiębiorstwo |
Przedsiębiorstwo przekraczające progi |
|
WAŻNE: Wszyscy przedsiębiorcy telekomunikacyjni niezależnie od ich wielkości podlegają pod ustawę.
|
Wielkość |
Rodzaj |
|
|
Przedsiębiorca telekomunikacyjny |
Duży przedsiębiorca |
podmiot kluczowy |
|
Średni przedsiębiorca |
podmiot kluczowy |
|
|
Mały przedsiębiorca |
podmiot ważny |
|
|
Mikroprzedsiębiorca |
podmiot ważny |
KROK 3 –Analiza art. 5 ustawy
Ostatnim etapem jest analiza art. 5 ustawy, który określa szczegółowe zasady uznawania podmiotów za podmiot kluczowy albo podmiot ważny.
Przepis ten wskazuje m.in. przypadki, w których podmiot może zostać objęty ustawą niezależnie od swojej wielkości, a także szczególne sytuacje uzasadniające zakwalifikowanie podmiotu do jednej kategorii.
Po dokonaniu analizy art. 5 możliwe jest ostateczne ustalenie, czy podmiot:
- jest podmiotem kluczowym,
- jest podmiotem ważnym,
- nie podlega przepisom ustawy.
Spełnienie przesłanek z art. 5 jednoznacznie oznacza objęcie podmiotu przepisami ustawy.
Co dalej?
Podmiot, który ustalił, że podlega pod krajowy system cyberbezpieczeństwa, powinien podjąć dalsze działania wynikające z przepisów ustawy, w szczególności związane z wpisem do Wykazu KSC oraz przygotowaniem się do realizacji obowiązków w zakresie zakresu cyberbezpieczeństwa.
Dodatkowo:
Przypominamy, że podmioty mogą dokonać samorejestracji w wykazie w terminie 7 maja – 3 października 2026 r.
Niektóre podmioty będą wpisane do wykazu z urzędu przez Ministra Cyfryzacji w terminie do 6 maja 2026 r. – dotyczy to podmiotów publicznych, przedsiębiorców telekomunikacyjnych, dostawców usług cyfrowych oraz podmiotów, które wcześniej miały status operatorów usług kluczowych.
Wykaz KSC jest prowadzony w Systemie S46, ale stanowi osobną aplikację webową dostępną pod adresem https://wykaz-ksc.gov.pl. Wnioski o wpis, zmianę wpisu, wykreślenie podmiotu z wykazu będą wypełniane i składane w aplikacji „Wykaz KSC” w postaci elektronicznej i opatrywane podpisem elektronicznym.
