Klasyfikacja6 min czytania

Czy podlegam pod KSC? Sprawdź w 5 minut

Co to jest KSC i kogo dotyczy

Krajowy System Cyberbezpieczeństwa (KSC) to polski system ochrony cyberprzestrzeni, oparty na ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 20), która wdraża dyrektywę NIS 2 do polskiego porządku prawnego. Ustawa nakłada obowiązki na dwie kategorie podmiotów: podmioty kluczowe i podmioty ważne. Każda organizacja ma obowiązek samodzielnie ocenić, czy spełnia kryteria klasyfikacji — to tzw. samoidentyfikacja (Q&A Ministerstwa Cyfryzacji, pkt 1.1).

Ustawa nie przewiduje, że podmiot otrzyma decyzję administracyjną informującą o podleganiu pod KSC. Obowiązek samoidentyfikacji spoczywa na organizacji — brak działania nie zwalnia z odpowiedzialności (Q&A pkt 1.12).

3 kroki samoidentyfikacji

Samoidentyfikacja sprowadza się do trzech kroków: określenia sektora działalności, zbadania wielkości przedsiębiorstwa i ustalenia statusu (podmiot kluczowy lub ważny). Każdy z tych kroków wymaga analizy konkretnych danych organizacji w odniesieniu do przepisów ustawy.

  1. Krok 1 — Sektor: Sprawdź, czy Twoja działalność jest wymieniona w załączniku nr 1 (sektory kluczowe: energetyka, transport, zdrowie, woda, infrastruktura cyfrowa, bankowość, rynek finansowy, przestrzeń kosmiczna, zarządzanie usługami ICT) lub załączniku nr 2 (sektory ważne: usługi cyfrowe, administracja, badania, odpady, produkcja, poczta, chemia, żywność). Działalność określ na podstawie kodów PKD, koncesji i wpisów rejestrowych (Q&A pkt 1.1).
  2. Krok 2 — Wielkość: Zweryfikuj dane ze sprawozdania finansowego. Duży przedsiębiorca (≥ 250 pracowników lub obrót > 50 mln EUR lub suma bilansowa > 43 mln EUR) z załącznika nr 1 to podmiot kluczowy. Średni przedsiębiorca (50–249 pracowników, obrót 10–50 mln EUR) z załącznika nr 1 lub średni/duży z załącznika nr 2 to podmiot ważny (art. 5 ust. 1–2, Q&A pkt 1.5).
  3. Krok 3 — Status: Na podstawie sektora i wielkości ustal, czy jesteś podmiotem kluczowym czy ważnym. Jeśli spełniasz kryteria obu kategorii jednocześnie — jesteś podmiotem kluczowym (Q&A pkt 1.10).

Wyjątki i przypadki szczególne

Ustawa przewiduje kilka kategorii podmiotów, które podlegają KSC niezależnie od wielkości przedsiębiorstwa (art. 5 ust. 1 pkt 4). Są to m.in. dostawcy usług DNS, kwalifikowani dostawcy usług zaufania, podmioty krytyczne (CER) oraz podmioty publiczne wskazane w załączniku nr 1. Dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa (MSSP) są podmiotami kluczowymi już od poziomu małego przedsiębiorcy (art. 5 ust. 1 pkt 3, Q&A pkt 1.7).

Przedsiębiorcy komunikacji elektronicznej podlegają KSC niezależnie od załączników sektorowych. Średni i duzi są podmiotami kluczowymi, a mikro i mali — podmiotami ważnymi (art. 5 ust. 1 pkt 2, ust. 2 pkt 4, Q&A pkt 1.9). Niekwalifikowani dostawcy usług zaufania będący mikro, małymi lub średnimi przedsiębiorcami są podmiotami ważnymi (art. 5 ust. 2 pkt 3).
Przypadek szczególnyStatus w KSCPodstawa prawna
Dostawca usług DNSPodmiot kluczowy (niezależnie od wielkości)art. 5 ust. 1 pkt 4 lit. a
Kwalifikowany dostawca usług zaufaniaPodmiot kluczowy (niezależnie od wielkości)art. 5 ust. 1 pkt 4 lit. b
MSSP (mały, średni lub duży)Podmiot kluczowyart. 5 ust. 1 pkt 3
Przedsiębiorca telekom (średni/duży)Podmiot kluczowyart. 5 ust. 1 pkt 2
Przedsiębiorca telekom (mikro/mały)Podmiot ważnyart. 5 ust. 2 pkt 4
Spółka zależna z niezależnym ITMożliwe wyłączenie z KSCart. 5 ust. 6–7

Co dalej — rejestracja i obowiązki

Jeśli Twoja organizacja spełnia kryteria podmiotu kluczowego lub ważnego, musisz złożyć wniosek o wpis do wykazu w terminie 6 miesięcy od dnia spełnienia przesłanek (art. 7c ust. 1). Podmioty istniejące w dniu wejścia w życie ustawy (3 kwietnia 2026 r.) mają czas do 3 października 2026 r. Wniosek składa się elektronicznie w systemie S46.

Niezłożenie wniosku o wpis do wykazu w terminie podlega karze pieniężnej nakładanej przez organ właściwy (art. 73 ust. 1a pkt 1). Karze podlega również kierownik podmiotu osobiście (art. 73a ust. 1 pkt 1). Nie czekaj na powiadomienie — obowiązek leży po Twojej stronie.
Spis treści
Co to jest KSC i kogo dotyczy
3 kroki samoidentyfikacji
Wyjątki i przypadki szczególne
Co dalej — rejestracja i obowiązki
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. ważny — sprawdź swój statusWdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JSTKaryKary finansowe w ustawie o KSC — ile wynoszą?IncydentyRaportowanie incydentów KSC — 24h, 72h, miesiącAudytAudyt bezpieczeństwa KSC — kto i kiedy?ZarządzanieKierownik a cyberbezpieczeństwo — obowiązki KSCWykazRejestracja w wykazie KSC — system S46Łańcuch dostawBezpieczeństwo łańcucha dostaw wg KSCDostawcyDostawca wysokiego ryzyka — procedura KSCNadzórNadzór nad podmiotami KSC — ex ante i ex postTerminyTerminy wdrożenia KSC 2026–2028Sektor finansowyKSC a DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — art. 8f KSCWspółpracaWymiana informacji o cyberzagrożeniach w KSCKlasyfikacjaNiezależność systemów — wyłączenie z KSCŻywnośćProducent żywności a KSC — obowiązki 2026ICTDostawca chmury a KSC — kto podlega?PrawoKSC a RODO — czym się różnią?ZdrowieSzpital a KSC/NIS2 — lista obowiązkówJSTGmina a KSC — plan wdrożenia krok po krokuOdpadyFirma odpadowa a KSC — czy podlegam?WykazRejestracja KSC krok po kroku — system S46KaryKary za brak rejestracji w KSC — ile grozi?ZarządzanieZarząd a KSC — odpowiedzialność osobista
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.