Gdzie znaleźć oficjalne 131 pytań MC do KSC?

Dokument „Pytania i odpowiedzi do ustawy o krajowym systemie cyberbezpieczeństwa” jest publikowany na stronie Ministerstwa Cyfryzacji — gov.pl/web/cyfryzacja, w sekcji „Krajowy System Cyberbezpieczeństwa” lub „Informacje dla podmiotów”. Dokument jest aktualizowany — zawsze pobieraj najnowszą wersję i sprawdzaj datę publikacji.

Czy stanowisko MC w Q&A jest wiążące dla sądu?

Nie jest wiążące dla sądów administracyjnych — to stanowisko wykładnicze organu, nie źródło prawa. Sądy mogą przyjąć inną interpretację. W praktyce jednak działanie zgodne z Q&A stanowi silną przesłankę dobrej wiary podmiotu i w razie sporu zmniejsza ryzyko kary — organ nie ukarze za naruszenie, jeśli podmiot kierował się oficjalnym stanowiskiem MC.

Czy ISO 27001 wystarcza do spełnienia wymogów KSC?

Nie w pełni — wg pkt 4.2 Q&A MC, ISO 27001 + ISO 22301 daje domniemanie zgodności z częścią wymogów technicznych i organizacyjnych SZBI (art. 14 ust. 5a KSC), ale nie zastępuje: (1) obowiązkowego wpisu do wykazu S46, (2) raportowania incydentów do CSIRT w terminach 24/72h, (3) specyficznych wymogów łańcucha dostaw KSC, (4) współpracy z organem właściwym. Certyfikat jest silnym wkładem, ale wymaga uzupełnienia.

Czy można liczyć na okres przejściowy bez kar?

MC zakomunikowało (maj 2026) okres przejściowy do końca 2026 r., w którym za nieumyślne, po raz pierwszy popełnione naruszenia ma być stosowana zasada miarkowania kar (często odstąpienie od kary). To jednak stanowisko administracyjne, nie zapis ustawy — nie gwarantuje immunitetu. Zasady dobrej wiary, szybkiej reakcji i współpracy z organem pozostają kluczowe niezależnie od formalnego „moratorium”.

Wdrożenie12 min czytaniaOpublikowano: 19 kwietnia 2026

131 pytań Ministerstwa Cyfryzacji do KSC — kluczowe interpretacje

Czym jest dokument 131 pytań

Ministerstwo Cyfryzacji opublikowało dokument zawierający 131 pytań i odpowiedzi dotyczących ustawy o krajowym systemie cyberbezpieczeństwa, odpowiadających na wątpliwości podmiotów wdrażających. Dokument nie jest aktem prawnym — stanowi oficjalne stanowisko wykładnicze, wiążące MC w działaniach administracyjnych. Sądy administracyjne nie są nim związane, ale w praktyce jest to podstawowe narzędzie interpretacji w fazie wdrażania.

Status prawny Q&A: to stanowisko administracyjne, nie źródło prawa. Oznacza domniemanie, że podmiot działający zgodnie z Q&A działa w dobrej wierze. Jeśli stanowisko MC się zmieni, dokument jest aktualizowany — zawsze sprawdzaj datę publikacji wersji, którą się kierujesz.

Struktura dokumentu i jak go czytać

Dokument MC jest zorganizowany tematycznie — na osiem działów odpowiadających głównym obszarom wdrożenia. Taka struktura pozwala szybko znaleźć interesującą interpretację bez czytania całości.

Dział	Zakres	Przykłady pytań
1. Zakres podmiotowy	Pytania o samoidentyfikację: kto podlega, progi wielkości, sektory zał. 1 i 2	1.1 Jak ustalić sektor działalności? 1.5 Jak liczyć pracowników? 1.9 Telekomy — kluczowi czy ważni?
2. Samoidentyfikacja i wpis	Procedura samoidentyfikacji, wpis do wykazu S46, dane do zgłoszenia	2.3 Czy urząd zarejestruje za mnie? 2.7 Jak zmienić dane w wykazie?
3. Terminy wdrożenia	Harmonogram obowiązków, terminy dla podmiotów istniejących i nowych	3.1 Różnica między istniejącym a nowym podmiotem. 3.4 Kiedy liczyć 6 miesięcy na SZBI?
4. SZBI	Wymagania SZBI z zał. 3 (podmioty standardowe) i zał. 4 (podmioty publiczne)	4.2 Czy ISO 27001 = SZBI? 4.6 Jak szeroki ma być zakres SZBI?
5. Łańcuch dostaw	Ocena dostawców, klauzule umowne, HRV, zamówienia publiczne	5.3 Kiedy rozpocząć ocenę dostawców? 5.7 Czy CERT wymaga klauzul umownych?
6. Raportowanie incydentów	24/72h/1 miesiąc, CSIRT sektorowy, zakres zgłaszanych danych	6.1 Co to incydent poważny? 6.4 Do którego CSIRT zgłosić?
7. Kary i nadzór	Wysokość kar, przesłanki, odpowiedzialność osobista kierownika	7.2 Kara 100 mln zł — kiedy? 7.5 Kto płaci karę osobistą — ze środków własnych?
8. Sektory szczególne	Interpretacje dla specyficznych branż: zdrowie, energia, JST, odpady, żywność	8.3 Mleczarnia czy podlega? 8.7 Co z DPS?

Samoidentyfikacja — kluczowe pytania

Dział 1 to najbardziej praktyczna część dokumentu — adresuje zamieszanie wokół progów, sektorów i zasady jedynego przedsiębiorstwa. Poniższe interpretacje są kluczowe dla każdej firmy oceniającej swój status.

Pkt 1.1 — sektor ustalamy na podstawie faktycznie prowadzonej działalności, nie tylko PKD. Jeśli firma jest wpisana w PKD jako „produkcja mebli”, a faktycznie świadczy usługi hostingowe — klasyfikowana jest jako ICT z zał. 1.
Pkt 1.5 — pracowników liczymy w pełnych etatach (FTE) na podstawie stanu z ostatniego roku obrotowego. Umowy zlecenia i umowy o dzieło nie liczą się jako pracownicy, jeśli nie są pracownikami w rozumieniu Kodeksu pracy.
Pkt 1.7 — MSSP (Managed Security Service Provider) to każdy dostawca świadczący usługi zarządzania cyberbezpieczeństwem na zlecenie klienta — np. SOC as a Service, pentest na zlecenie, zarządzanie SIEM. Status podmiotu kluczowego już od poziomu małego przedsiębiorcy.
Pkt 1.9 — przedsiębiorcy telekomunikacyjni (łączność elektroniczna) podlegają KSC niezależnie od sektora zał. 1/2. Średni i duzi są kluczowi, mikro i mali — ważni. Podstawa: art. 5 ust. 1 pkt 2 i ust. 2 pkt 4.
Pkt 1.10 — jeśli firma spełnia kryteria obu kategorii jednocześnie (kluczowy i ważny) — klasyfikowana jest jako kluczowy. Priorytet wyższej kategorii.
Pkt 1.15 — zasada jedynego przedsiębiorstwa (zał. I rozp. 651/2014/UE) obowiązuje — przy liczeniu wielkości sumujemy dane podmiotów powiązanych i partnerskich. Samodzielne spółki zależne mogą być oceniane niezależnie tylko przy wykazaniu pełnej niezależności (art. 5 ust. 6-7).

Kontrowersja: MC stoi na stanowisku, że interpretacja „faktycznej działalności” (pkt 1.1) daje organowi prawo klasyfikować podmiot nawet jeśli formalny PKD wskazuje na inną branżę. To podejście funkcjonalne i jest sporne — w razie sporu decyduje analiza konkretnego stanu faktycznego z udziałem podmiotu.

Wykaz S46 — praktyczne stanowiska MC

Dział 2 adresuje najwięcej wątpliwości operacyjnych dotyczących wykazu S46. MC doprecyzowało kilka kwestii, które nie wynikają wprost z ustawy.

Pkt 2.3 — rejestracja z urzędu (13.04-6.05.2026) dotyczy podmiotów jednoznacznie identyfikowalnych z CEIDG/KRS/bazy PKD. MC nie wpisze podmiotu, który wymaga indywidualnej oceny — w takich przypadkach obowiązuje samorejestracja (7.05-3.10.2026).
Pkt 2.7 — zmiana danych w wykazie (zmiana osoby kontaktowej, adresu, sektora) wymaga wniosku o aktualizację w ciągu 30 dni od zmiany. Dokumentowe źródło zmiany (KRS, uchwała zarządu, umowa) dołączamy do wniosku.
Pkt 2.9 — spółki grupy kapitałowej rejestrują się osobno, chyba że są organizacyjnie jednym podmiotem (np. jeden oddział, jeden zarząd, jedno NIP). Spółka z o.o. i SA w jednej grupie — dwa osobne wpisy.
Pkt 2.12 — wykreślenie z wykazu (utrata statusu PK/PW — np. spadek zatrudnienia poniżej progu) następuje na wniosek podmiotu z wykazaniem dowodów. Nie jest automatyczne. Do momentu wykreślenia obowiązki pozostają.
Pkt 2.15 — podmiot zagraniczny świadczący usługi w Polsce rejestruje się przez wyznaczonego reprezentanta w UE (art. 3 ust. 3 KSC). Reprezentant odpowiada wspólnie z podmiotem.

SZBI i wdrożenie — interpretacje

Dział 3-4 przynosi najwięcej praktycznych wskazówek dla działów bezpieczeństwa. MC wypowiedziało się w kilku kwestiach, które decydują o zakresie wdrożenia.

Pkt 3.1 — „istniejący podmiot” vs „nowy podmiot”: istniejący to każdy działający przed 7.05.2026 r. Dla niego biegną terminy od wpisu do wykazu (6 miesięcy na SZBI, 12 na pełne wdrożenie, 24 na audyt). Nowy podmiot to zawiązany/rozpoczynający działalność po 7.05.2026 — terminy biegną od dnia powstania.
Pkt 4.2 — ISO 27001 + ISO 22301 daje domniemanie zgodności z częścią wymogów SZBI (art. 14 ust. 5a KSC), ale nie pokrywa wszystkich: nie obejmuje wpisu do wykazu, raportowania incydentów do CSIRT ani szczegółów łańcucha dostaw zdefiniowanych w KSC. Certyfikat ISO jest silnym wkładem, ale wymaga uzupełnienia.
Pkt 4.6 — zakres SZBI obejmuje systemy wykorzystywane do świadczenia usługi kluczowej/ważnej — nie całą infrastrukturę firmy. System kadrowy czy marketing mogą być poza SZBI, jeśli nie są powiązane z usługą objętą KSC. Dokumentuj decyzję zakresową w analizie.
Pkt 4.9 — analiza ryzyka musi być aktualizowana co najmniej raz w roku oraz przy istotnych zmianach (wprowadzenie nowej usługi, wymiana kluczowego dostawcy, po incydencie poważnym). Metodyka dowolna — ISO 27005, NIST CSF, CIS, MAGERIT są akceptowane.
Pkt 4.12 — szkolenia personelu: dla ogólnych pracowników — przy zatrudnieniu i co 12 miesięcy; dla zarządu — co 12 miesięcy obowiązkowo (art. 14a KSC); dla ról krytycznych — dodatkowo rolowe szkolenia specjalistyczne.

Kontrowersje i ograniczenia dokumentu

Dokument 131 pytań ma też ograniczenia — nie adresuje wszystkich wątpliwości, niektóre interpretacje budzą spory, a część będzie wymagała doprecyzowania w rozporządzeniach wykonawczych lub orzecznictwie sądów administracyjnych.

Moratorium kar — stanowisko MC (komunikat z maja 2026) mówi o okresie przejściowym bez kar za nieumyślne naruszenia do końca 2026 r. To stanowisko administracyjne, nie prawo — sądy mogą go nie uznać.
Pokrycie DORA vs KSC — dokument nie precyzuje wszystkich punktów styku, w szczególności dla fintechów i dostawców ICT do instytucji finansowych.
Relacja KSC — DORA — RODO — dokument częściowo adresuje, ale nie w pełni — brakuje dokładnych map procesów dla incydentów wielokategorialnych.
Interpretacje dot. niezależności systemów (art. 5 ust. 6-7) są ogólne — konkretne przypadki grup kapitałowych wymagają indywidualnej analizy i konsultacji z MC.
Brak szczegółowych wskazówek dla sektorów niszowych — np. biotechnologia, instytucje naukowe, NGO świadczące usługi publiczne.
Dokument nie zawiera wzorów dokumentów (polityka, analiza ryzyka, procedury) — odsyła do norm ISO lub rozporządzeń wykonawczych (w wielu przypadkach jeszcze niewydanych).

Zanim oprzesz wdrożenie na Q&A, sprawdź: (1) datę publikacji wersji, (2) czy rozporządzenie wykonawcze w danym obszarze zostało już wydane (ono ma pierwszeństwo), (3) czy istnieje orzeczenie sądowe lub decyzja KIO/WSA w podobnej sprawie. W razie wątpliwości skonsultuj z prawnikiem.

Spis treści

Czym jest dokument 131 pytań Struktura dokumentu i jak go czytać Samoidentyfikacja — kluczowe pytania Wykaz S46 — praktyczne stanowiska MC SZBI i wdrożenie — interpretacje Kontrowersje i ograniczenia dokumentu

Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły

WdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JST KlasyfikacjaPodmiot kluczowy vs. ważny — sprawdź swój status KaryKary finansowe w ustawie o KSC — ile wynoszą?IncydentyRaportowanie incydentów KSC — 24h, 72h, miesiąc AudytAudyt bezpieczeństwa KSC — kto i kiedy?