Nowe regulacje w zakresie cyberbezpieczeństwa. Jak dokonać samoidentyfikacji
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), będąca implementacją dyrektywy NIS2, wprowadza obowiązek samoidentyfikacji podmiotów objętych nowymi regulacjami. Przedsiębiorcy i inne podmioty prowadzące działalność w sektorach wskazanych w ustawie muszą samodzielnie ocenić, czy podlegają przepisom KSC jako podmioty kluczowe lub podmioty ważne, a następnie dokonać rejestracji w Wykazie KSC prowadzonym przez Ministra Cyfryzacji.
Nowelizacja ustawy o KSC nakłada obowiązek wpisu do Wykazu KSC (samorejestracji) przez podmioty kluczowe i podmioty ważne. 7 maja 2026 r. uruchomiona zostanie możliwość wpisu do Wykazu KSC dla podmiotów, które nie są objęte wpisem realizowanym z urzędu.
Niektóre podmioty będą wpisane do wykazu z urzędu przez Ministra Cyfryzacji w terminie do 6 maja 2026 r. – dotyczy to podmiotów publicznych, przedsiębiorców telekomunikacyjnych, dostawców usług cyfrowych oraz podmiotów, które wcześniej miały status operatorów usług kluczowych.
Wykaz KSC jest prowadzony w Systemie S46, ale stanowi osobną aplikację webową dostępną pod adresem https://wykaz-ksc.gov.pl. Wnioski o wpis, zmianę wpisu, wykreślenie podmiotu z wykazu będą wypełniane i składane w aplikacji i opatrywane podpisem elektronicznym.
Samoidentyfikacja w praktyce - jak dokonać oceny
Kluczowym elementem nowych regulacji jest samoidentyfikacja, czyli obowiązek samodzielnej oceny przez podmiot, czy podlega przepisom krajowego systemu cyberbezpieczeństwa oraz czy spełnia kryteria uznania go za podmiot kluczowy lub podmiot ważny.
Każdy przedsiębiorca musi przeprowadzić analizę, biorąc pod uwagę w szczególności:
- profil prowadzonej działalności,
- właściwy kod PKD oraz
- wielkość podmiotu.
KROK 1 – Sprawdź, czy prowadzisz działalność w sektorze objętym ustawą
W pierwszej kolejności należy zweryfikować, czy prowadzona działalność mieści się w sektorach lub podsektorach wskazanych w załączniku nr 1 (podmioty kluczowe) albo załączniku nr 2 (podmioty ważne).
Przy ocenie należy brać pod uwagę rzeczywisty charakter prowadzonej działalności. Pomocniczo można posłużyć się kodami PKD, jednak decydujące znaczenie ma faktyczny zakres świadczonych usług lub wykonywanych zadań.
KROK 2 – Określ wielkość swojego podmiotu
Należy wziąć pod uwagę progi mikro, małych i średnich przedsiębiorstw. Przy obliczaniu wielkości przedsiębiorstwa uwzględnia się również przedsiębiorstwa powiązane oraz przedsiębiorstwa partnerskie.
Rodzaj | Liczba zatrudnionych | Dane finansowe |
Mikroprzedsiębiorstwo | mniej niż 10 | roczny obrót lub roczna suma bilansowa nie przekracza 2 mln EUR |
Małe przedsiębiorstwo | mniej niż 50 | roczny obrót lub roczna suma bilansowa nie przekracza 10 mln EUR |
Średnie przedsiębiorstwo | mniej niż 250 | roczny obrót nie przekracza 50 mln EUR lub roczna suma bilansowa nie przekracza 43 mln EUR |
Duże przedsiębiorstwo | Przedsiębiorstwo przekraczające progi | |
Wszyscy przedsiębiorcy telekomunikacyjni niezależnie od ich wielkości podlegają pod ustawę.
Wielkość | Rodzaj | |
Przedsiębiorca telekomunikacyjny | Duży przedsiębiorca | podmiot kluczowy |
Średni przedsiębiorca | podmiot kluczowy | |
Mały przedsiębiorca | podmiot ważny | |
Mikroprzedsiębiorca | podmiot ważny |
KROK 3 – Przeanalizuj art. 5 ustawy o KSC
Ostatnim etapem jest analiza art. 5 ustawy, który określa szczegółowe zasady uznawania podmiotów za podmiot kluczowy albo podmiot ważny. Przepis ten wskazuje m.in. przypadki, w których podmiot może zostać objęty ustawą niezależnie od swojej wielkości, a także szczególne sytuacje uzasadniające zakwalifikowanie podmiotu do jednej kategorii.
Po dokonaniu analizy art. 5 możliwe jest ostateczne ustalenie, czy podmiot:
- jest podmiotem kluczowym,
- jest podmiotem ważnym,
- nie podlega przepisom ustawy.
Podmiot, który ustalił, że podlega pod KSC powinien podjąć dalsze działania wynikające z przepisów ustawy, w szczególności związane z wpisem do Wykazu KSC oraz przygotowaniem się do realizacji obowiązków w zakresie cyberbezpieczeństwa.
ŹRÓDŁO: Ministerstwo Cyfryzacji
Oprac. Katarzyna Bogucka
REDAKCJA INFORLEX
Więcej na ten temat przeczytasz w Poradniku: NIS2 w Polsce. Jak przygotować firmę na nowe wymogi cyberbezpieczeństwa »
NIS2 w Polsce. Jak przygotować firmę na nowe wymogi cyberbezpieczeństwa_mała
POTRZEBUJESZ POMOCY?