Klasyfikacja6 min czytania

Czy podlegam pod KSC? Sprawdź w 5 minut

Co to jest KSC i kogo dotyczy

Krajowy System Cyberbezpieczeństwa (KSC) to polski system ochrony cyberprzestrzeni, oparty na ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2026 r. poz. 20 i 252), która wdraża dyrektywę NIS 2 do polskiego porządku prawnego. Ustawa nakłada obowiązki na dwie kategorie podmiotów: podmioty kluczowe i podmioty ważne. Każda organizacja ma obowiązek samodzielnie ocenić, czy spełnia kryteria klasyfikacji — to tzw. samoidentyfikacja (Q&A Ministerstwa Cyfryzacji, pkt 1.1).

Ustawa nie przewiduje, że podmiot otrzyma decyzję administracyjną informującą o podleganiu pod KSC. Obowiązek samoidentyfikacji spoczywa na organizacji — brak działania nie zwalnia z odpowiedzialności (Q&A pkt 1.12).

3 kroki samoidentyfikacji

Samoidentyfikacja sprowadza się do trzech kroków: określenia sektora działalności, zbadania wielkości przedsiębiorstwa i ustalenia statusu (podmiot kluczowy lub ważny). Każdy z tych kroków wymaga analizy konkretnych danych organizacji w odniesieniu do przepisów ustawy.

  1. Krok 1 — Sektor: Sprawdź, czy Twoja działalność jest wymieniona w załączniku nr 1 (sektory kluczowe: energetyka, transport, zdrowie, woda, infrastruktura cyfrowa, bankowość, rynek finansowy, przestrzeń kosmiczna, zarządzanie usługami ICT) lub załączniku nr 2 (sektory ważne: usługi cyfrowe, administracja, badania, odpady, produkcja, poczta, chemia, żywność). Działalność określ na podstawie kodów PKD, koncesji i wpisów rejestrowych (Q&A pkt 1.1).
  2. Krok 2 — Wielkość: Zweryfikuj dane ze sprawozdania finansowego. Duży przedsiębiorca (≥ 250 pracowników lub (obrót > 50 mln EUR oraz suma bilansowa > 43 mln EUR)) z załącznika nr 1 to podmiot kluczowy. Średni przedsiębiorca (50–249 pracowników, obrót 10–50 mln EUR) z załącznika nr 1 lub średni/duży z załącznika nr 2 to podmiot ważny (art. 5 ust. 1–2, Q&A pkt 1.5).
  3. Krok 3 — Status: Na podstawie sektora i wielkości ustal, czy jesteś podmiotem kluczowym czy ważnym. Jeśli spełniasz kryteria obu kategorii jednocześnie — jesteś podmiotem kluczowym (Q&A pkt 1.10).

Wyjątki i przypadki szczególne

Ustawa przewiduje kilka kategorii podmiotów, które podlegają KSC niezależnie od wielkości przedsiębiorstwa (art. 5 ust. 1 pkt 4). Są to m.in. dostawcy usług DNS, kwalifikowani dostawcy usług zaufania, podmioty krytyczne (CER) oraz podmioty publiczne wskazane w załączniku nr 1. Dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa (MSSP) są podmiotami kluczowymi już od poziomu małego przedsiębiorcy (art. 5 ust. 1 pkt 3, Q&A pkt 1.7).

Przedsiębiorcy komunikacji elektronicznej podlegają KSC niezależnie od załączników sektorowych. Średni i duzi są podmiotami kluczowymi, a mikro i mali — podmiotami ważnymi (art. 5 ust. 1 pkt 2, ust. 2 pkt 4, Q&A pkt 1.9). Niekwalifikowani dostawcy usług zaufania będący mikro, małymi lub średnimi przedsiębiorcami są podmiotami ważnymi (art. 5 ust. 2 pkt 3).
Przypadek szczególnyStatus w KSCPodstawa prawna
Dostawca usług DNSPodmiot kluczowy (niezależnie od wielkości)art. 5 ust. 1 pkt 4 lit. a
Kwalifikowany dostawca usług zaufaniaPodmiot kluczowy (niezależnie od wielkości)art. 5 ust. 1 pkt 4 lit. b
MSSP (mały, średni lub duży)Podmiot kluczowyart. 5 ust. 1 pkt 3
Przedsiębiorca telekom (średni/duży)Podmiot kluczowyart. 5 ust. 1 pkt 2
Przedsiębiorca telekom (mikro/mały)Podmiot ważnyart. 5 ust. 2 pkt 4
Spółka zależna z niezależnym ITMożliwe wyłączenie z KSCart. 5 ust. 6–7

Co dalej — rejestracja i obowiązki

Jeśli Twoja organizacja spełnia kryteria podmiotu kluczowego lub ważnego, musisz złożyć wniosek o wpis do wykazu w terminie 6 miesięcy od dnia spełnienia przesłanek (art. 7c ust. 1). Podmioty istniejące w dniu wejścia w życie ustawy (3 kwietnia 2026 r.) mają czas do 3 października 2026 r. Wniosek składa się elektronicznie w systemie S46 — cały proces opisujemy w przewodniku rejestracji krok po kroku. Sprawdź też, jakie grożą kary za brak rejestracji.

Niezłożenie wniosku o wpis do wykazu w terminie podlega karze pieniężnej nakładanej przez organ właściwy (art. 73 ust. 1a pkt 1). Karze podlega również kierownik podmiotu osobiście (art. 73a ust. 1 pkt 1). Nie czekaj na powiadomienie — obowiązek leży po Twojej stronie.

Pogłębienie tematu — kolejne kroki

Po przejściu samoidentyfikacji warto zgłębić wybrany aspekt klasyfikacji. Każdy z poniższych artykułów rozwija jeden z tematów dotkniętych powyżej — niezależnie od tego, czy chcesz dokładnie zrozumieć różnicę między kategoriami, sprawdzić obowiązki dla swojej kategorii, czy poznać sytuację MŚP.

Już wiesz, że Twoja organizacja podlega KSC? Sprawdź rejestrację krok po kroku w systemie S46 oraz pełen harmonogram wdrożenia (3 kwietnia 2026 → 3 kwietnia 2028).
FAQ3 pytania

Najczęstsze pytania

Jak sprawdzić czy moja firma podlega pod KSC?
Należy zweryfikować czy organizacja działa w jednym z sektorów kluczowych (zał. 1) lub ważnych (zał. 2) wymienionych w ustawie o KSC, oraz czy przekracza progi MŚP z załącznika I do rozp. 651/2014/UE (zatrudnienie ≥ 50 ORAZ (obrót > 10 mln EUR LUB suma bilansowa > 10 mln EUR)). Próg wielkościowy nie obowiązuje wyjątków podmiotowych z art. 5 ust. 1 pkt 4 KSC (m.in. dostawcy usług DNS, kwalifikowani dostawcy usług zaufania, podmioty krytyczne, podmioty publiczne z zał. 1 oraz rejestratorzy nazw domen).
Czy małe firmy podlegają pod KSC?
Co do zasady KSC dotyczy średnich i dużych przedsiębiorstw. Mikro i mali przedsiębiorcy (definicja MŚP) podlegają wyłącznie w sytuacjach wyłączonych spod progu wielkościowego — wyliczonych w art. 5 ust. 1 pkt 4 KSC (m.in. dostawcy usług DNS, kwalifikowani dostawcy usług zaufania, podmioty krytyczne, podmioty publiczne z zał. 1) — albo gdy zostaną indywidualnie uznani za podmiot kluczowy lub ważny w drodze decyzji organu właściwego w trybie art. 7l ust. 1 KSC.
Czy JST podlegają pod KSC?
Tak — jednostki samorządu terytorialnego są wymienione w sektorze podmiotów publicznych w załączniku nr 1 do ustawy. Próg wielkościowy nie ma do nich zastosowania, ponieważ podmioty publiczne wskazane w zał. 1 należą do kategorii „niezależnie od wielkości podmiotu” z art. 5 ust. 1 pkt 4 lit. d KSC. Co do zasady JST objęte zał. 1 są podmiotami kluczowymi i muszą wdrożyć pełen zakres obowiązków (rejestracja w wykazie, SZBI z art. 8, audyt z art. 15). Spółki komunalne i samorządowe instytucje są oceniane indywidualnie pod kątem sektora i statusu (art. 5 ust. 2 pkt 8 KSC).
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.