Czy muszę się rejestrować w wykazie podmiotów KSC?

Tak, jeśli Twoja firma spełnia kryteria sektorowe i wielkościowe określone w ustawie. Rejestracja w wykazie S46 jest obowiązkiem ustawowym wynikającym z art. 7c. Dla firm istniejących w dniu wejścia ustawy w życie (3.04.2026) termin rejestracji upływa 3 października 2026 r. Nowe podmioty spełniające kryteria mają 6 miesięcy od momentu spełnienia przesłanek.

Co grozi za brak rejestracji lub przekroczenie terminu?

Brak rejestracji stanowi naruszenie obowiązku ustawowego i może być podstawą do wszczęcia postępowania administracyjnego. Kary dla podmiotów kluczowych sięgają do 10 mln EUR lub 2% rocznego obrotu, a dla podmiotów ważnych — do 7 mln EUR lub 1,4% obrotu. Dodatkowo kierownik jednostki może zostać ukarany osobiście — do 300% (PK) lub 100% (PW) swojego rocznego wynagrodzenia. Organ nadzoru nie jest zobowiązany do uprzedniego wezwania do rejestracji przed nałożeniem kary.

Czy outsourcing CISO lub vCISO wystarczy do spełnienia wymagań KSC?

Outsourcing funkcji CISO (model vCISO) jest dopuszczalny i może znacząco ułatwić wdrożenie KSC w małych i średnich firmach. Zewnętrzny ekspert może prowadzić projekt, budować dokumentację i wdrażać środki techniczne. Jednak kluczowe zastrzeżenie wynika z art. 8c ustawy: odpowiedzialność za wdrożenie i nadzór nad SZBI spoczywa nieodwołalnie na kierowniku jednostki (zarządzie). Zarząd musi aktywnie uczestniczyć w procesie, zatwierdzać polityki i znać stan bezpieczeństwa firmy.

Jak długo trwa wdrożenie KSC i od czego zacząć?

Czas wdrożenia zależy od dojrzałości bezpieczeństwa firmy i jej zasobów. Dla organizacji bez wcześniejszego systemu zarządzania bezpieczeństwem realny harmonogram to 9–18 miesięcy na pełne wdrożenie SZBI z 14 obszarami. Firmy posiadające ISO 27001 mogą skrócić ten czas do 3–6 miesięcy. Zacząć należy od analizy luk (gap analysis), a następnie — równolegle — od rejestracji w wykazie S46, bo jej termin (3.10.2026) jest wcześniejszy niż termin pełnego wdrożenia SZBI (3.04.2027).

Jakie są priorytety wdrożenia — co zrobić najpierw?

W pierwszej kolejności: (1) zarejestruj się w wykazie S46 przed 3.10.2026 — to najpilniejszy termin ustawowy; (2) wyznacz osoby kontaktowe z CSIRT sektorowym; (3) wdróż procedurę reagowania na incydenty i raportowania (art. 11). W drugiej kolejności: (4) przeprowadź analizę ryzyka jako fundament całego SZBI; (5) zadbaj o bezpieczeństwo dostępów uprzywilejowanych i kopie zapasowe; (6) uruchom szkolenia pracowników. Audyt zewnętrzny (tylko PK) jest wymagany dopiero do 3.04.2028.

Czy małe firmy (mikroprzedsiębiorcy, mali przedsiębiorcy) podlegają KSC?

Co do zasady — nie. Ustawa o KSC obejmuje wyłącznie dużych i średnich przedsiębiorców działających w sektorach z załączników. Mikroprzedsiębiorcy (poniżej 10 pracowników) i mali przedsiębiorcy (10–49 pracowników) są wyłączeni, chyba że działają w sektorze ICT (chmura, CDN, DNS, marketplace, wyszukiwarki, media społecznościowe, zarządzane usługi IT) — dla tych sektorów próg wielkości nie obowiązuje. Uwaga: przy ocenie wielkości stosuje się zasadę jedynego przedsiębiorstwa — firmy powiązane kapitałowo sumują pracowników i obroty.

Sektor prywatny10 min czytaniaOpublikowano: 23 kwietnia 2026

KSC a firma prywatna — pełny przewodnik przedsiębiorcy

Czy moja prywatna firma podlega KSC?

Ustawa o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 20), obowiązująca od 3 kwietnia 2026 r., implementuje unijną dyrektywę NIS2 i obejmuje zarówno podmioty publiczne, jak i prywatne. Kluczowe pytanie dla każdego przedsiębiorcy brzmi: czy moja firma spełnia oba warunki objęcia ustawą jednocześnie? Pierwszym warunkiem jest działanie w sektorze wymienionym w Załączniku 1 (podmioty kluczowe) lub Załączniku 2 (podmioty ważne) do ustawy. Drugim warunkiem jest zaliczenie się do kategorii dużego lub średniego przedsiębiorcy. Wyjątkiem są dostawcy usług ICT (DNS, TLD, chmury obliczeniowej, CDN, centrów danych, marketplace, wyszukiwarek, mediów społecznościowych) — dla nich próg wielkości firmy nie obowiązuje.

Pytanie kontrolne	Odpowiedź TAK	Odpowiedź NIE
Czy Twoja firma działa w sektorze z Załącznika 1 lub 2 do ustawy o KSC?	Przejdź do pytania 2	Ustawa nie dotyczy Twojej firmy — na razie monitoruj zmiany
Czy Twoja firma jest dużym przedsiębiorcą (min. 250 pracowników LUB obrót min. 50 mln EUR I suma bilansowa min. 43 mln EUR)?	Firma podlega KSC jako podmiot kluczowy (PK) lub ważny (PW)	Przejdź do pytania 3
Czy Twoja firma jest średnim przedsiębiorcą (50–249 pracowników ORAZ obrót poniżej 50 mln EUR)?	Firma podlega KSC jako podmiot ważny (PW)	Firma nie spełnia progu — sprawdź powiązania kapitałowe
Czy Twoja firma należy do grupy kapitałowej? (zasada jedynego przedsiębiorstwa — rozp. 651/2014/UE)	Progi liczy się łącznie dla całej grupy — może dojść do objęcia ustawą	Oceń firmę samodzielnie według poprzednich pytań
Czy Twoja firma świadczy usługi ICT (chmura, CDN, DNS, TLD, marketplace, wyszukiwarka, media społecznościowe)?	Firma podlega KSC bez progu wielkości	Stosuj standardowe kryteria z pytań 1–3

Wynik oceny determinuje nie tylko fakt podlegania ustawie, ale i kategorię podmiotu. Podmioty kluczowe (PK) działają w sektorach z Załącznika 1 i podlegają surowszym wymaganiom i wyższym karom. Podmioty ważne (PW) z Załącznika 2 mają nieco łagodniejszy reżim, choć zakres obowiązków technicznych jest zbliżony. Jeśli nie masz pewności co do klasyfikacji swojej firmy, skonsultuj się z prawnikiem specjalizującym się w prawie cyberbezpieczeństwa.

Sektory z firmami prywatnymi w KSC

Ustawa obejmuje szerokie spektrum sektorów, w których dominują lub aktywnie działają podmioty prywatne. Wbrew powszechnemu przekonaniu, KSC to nie tylko regulacja dla spółek Skarbu Państwa czy administracji publicznej — prywatne przedsiębiorstwa stanowią znaczącą część podmiotów objętych obowiązkami.

Sektor	Załącznik	Przykłady firm prywatnych	Status
Energia elektryczna i gaz	Załącznik 1 (PK)	Prywatni producenci energii, operatorzy sieci dystrybucyjnych, dostawcy gazu	Podmiot kluczowy
Telekomunikacja	Załącznik 1 (PK)	Operatorzy sieci komórkowych i stacjonarnych, dostawcy Internetu (ISP)	Podmiot kluczowy
Bankowość i infrastruktura finansowa	Załącznik 1 (PK)	Prywatne banki komercyjne, domy maklerskie, izby rozliczeniowe	Podmiot kluczowy
Ochrona zdrowia	Załącznik 1 (PK)	Prywatne szpitale, sieci klinik, laboratoria diagnostyczne, producenci wyrobów medycznych	Podmiot kluczowy
Przestrzeń kosmiczna	Załącznik 1 (PK)	Prywatni operatorzy satelitarni, dostawcy usług nawigacyjnych	Podmiot kluczowy
Ubezpieczenia	Załącznik 1 (PK)	Prywatne towarzystwa ubezpieczeniowe, brokerzy ubezpieczeniowi	Podmiot kluczowy
Dostawcy usług ICT (chmura, CDN, DNS, marketplace)	Załącznik 2 (PW)	Firmy SaaS, hostingodawcy, platformy e-commerce, wyszukiwarki, media społecznościowe	Podmiot ważny (bez progu MŚP)
Produkcja (wyroby metalowe, elektryczne, chemiczne, spożywcze)	Załącznik 2 (PW)	Fabryki, zakłady przemysłowe, producenci żywności i napojów	Podmiot ważny
Usługi pocztowe i kurierskie	Załącznik 2 (PW)	Prywatne firmy kurierskie, operatorzy pocztowi	Podmiot ważny
Gospodarka odpadami	Załącznik 2 (PW)	Zakłady utylizacji i recyklingu odpadów, firmy gospodarcze komunalne	Podmiot ważny

Nie znalazłeś swojego sektora na liście? Sprawdź pełną treść Załączników 1 i 2 do ustawy o KSC (Dz.U. 2026 poz. 20). Lista sektorów jest wyczerpująca — jeśli Twój sektor nie figuruje w żadnym załączniku, firma nie podlega ustawie na mocy obecnych przepisów. Pamiętaj jednak, że Komisja Europejska może rozszerzać zakres NIS2 w drodze aktów delegowanych.

Obowiązki — krok po kroku

Objęcie ustawą o KSC nakłada na prywatne firmy szereg konkretnych obowiązków rozłożonych w czasie. Ustawa przewiduje etapowe wdrożenie: najpierw rejestracja, potem wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI), a dla podmiotów kluczowych — audyt zewnętrzny. Kluczowe jest dotrzymanie terminów, ponieważ ich przekroczenie może skutkować sankcjami finansowymi.

Krok	Podstawa prawna	Termin	Co zrobić
1. Samoocena i klasyfikacja	Art. 4–6 ustawy o KSC	Niezwłocznie po 3.04.2026	Ustal, czy firma spełnia kryteria wielkości i sektora; określ kategorię (PK lub PW); udokumentuj analizę
2. Rejestracja w wykazie S46	Art. 7c ustawy o KSC	Do 3.10.2026	Złóż zgłoszenie do właściwego organu nadzoru lub CSIRT sektorowego; podaj dane kontaktowe i zakres działalności
3. Wyznaczenie osób kontaktowych	Art. 9 ustawy o KSC	Do 3.10.2026	Wyznacz min. 2 osoby kontaktowe z CSIRT sektorowym; zapewnij ich dostępność w przypadku incydentu
4. Wdrożenie SZBI (14 obszarów)	Art. 8 ustawy o KSC	Do 3.04.2027	Zbuduj system zarządzania bezpieczeństwem obejmujący: analizę ryzyka, bezpieczeństwo fizyczne, zarządzanie incydentami, ciągłość działania, bezpieczeństwo sieci, kryptografię, zarządzanie dostawcami, szkolenia, polityki
5. Szkolenie kierownictwa	Art. 8e ustawy o KSC	Corocznie, pierwsze do 3.04.2027	Przeprowadź i udokumentuj roczne szkolenie z zakresu cyberbezpieczeństwa dla kierownika jednostki
6. Procedura raportowania incydentów	Art. 11 ustawy o KSC	Do 3.04.2027	Ustanów procedurę: 24h — wczesne ostrzeżenie do CSIRT, 72h — zgłoszenie incydentu poważnego, 1 miesiąc — raport końcowy
7. Audyt bezpieczeństwa (tylko PK)	Art. 15 ustawy o KSC	Do 3.04.2028 (następnie co 2 lata)	Zlec audyt akredytowanemu podmiotowi zewnętrznemu; dostarcz raport organowi nadzoru

Odpowiedzialność osobista zarządu: zgodnie z art. 8c ustawy o KSC, kierownik jednostki odpowiada osobiście za wdrożenie i nadzór nad środkami bezpieczeństwa. Tej odpowiedzialności nie można przekazać (delegować) na inną osobę ani podmiot zewnętrzny. Kierownik podmiotu ważnego może być ukarany karą do 100% jego rocznego wynagrodzenia, a kierownik podmiotu kluczowego — do 300% rocznego wynagrodzenia (art. 73a). Zarząd musi aktywnie uczestniczyć w procesie wdrożenia KSC, a nie tylko go formalnie zatwierdzać.

Koszty i zasoby — czego się spodziewać?

Koszty wdrożenia KSC zależą od wielkości organizacji, poziomu dojrzałości cyberbezpieczeństwa, złożoności infrastruktury IT oraz przyjętego modelu realizacji (in-house, outsourcing, hybrydowy). Poniższe widełki są orientacyjne i oparte na rynkowych danych z pierwszego kwartału 2026 r.

Typ organizacji	Koszty wdrożenia SZBI	Koszt audytu zewnętrznego	Orientacyjnie łącznie
Mały podmiot ważny (PW), 50–100 pracowników, prosty profil IT	30 000–50 000 zł	Nie wymagany (PW)	30 000–50 000 zł
Średni podmiot ważny (PW), 100–249 pracowników	50 000–80 000 zł	Nie wymagany (PW)	50 000–80 000 zł
Duży podmiot ważny (PW), powyżej 250 pracowników	80 000–150 000 zł	Nie wymagany (PW)	80 000–150 000 zł
Podmiot kluczowy (PK), średniej wielkości	100 000–200 000 zł	30 000–80 000 zł	130 000–280 000 zł
Duży podmiot kluczowy (PK), złożona infrastruktura	200 000–500 000 zł	80 000–150 000 zł	280 000–650 000 zł

Do kosztów wdrożenia należy doliczyć koszty stałe utrzymania systemu: licencje na narzędzia bezpieczeństwa (SIEM, EDR, zarządzanie podatnościami), koszty osobowe specjalistów ds. cyberbezpieczeństwa lub zewnętrznego SOC/vCISO, a także regularne szkolenia pracowników. Wiele firm decyduje się na outsourcing funkcji CISO (model vCISO), co pozwala ograniczyć koszty stałe do 2 000–8 000 zł miesięcznie.

Optymalizacja kosztów: jeśli Twoja firma posiada certyfikat ISO/IEC 27001, znaczna część dokumentacji i procesów SZBI jest już gotowa — nakład pracy na dostosowanie do KSC może być o 40–60% niższy niż przy wdrożeniu od zera. Przed zleceniem wdrożenia zamów analizę luk (gap analysis), która pokaże dokładnie, co już masz, a czego brakuje.

Kary i ryzyko dla przedsiębiorcy

Ustawa o KSC wprowadza system sankcji finansowych wzorowany na RODO — kary są uzależnione od kategorii podmiotu i mogą być bardzo dotkliwe dla prywatnych firm. Organ nadzoru może nałożyć karę administracyjną zarówno na podmiot (firmę), jak i — co jest nowością — na kierownika jednostki osobiście.

Rodzaj kary	Podmiot kluczowy (PK)	Podmiot ważny (PW)
Maksymalna kara dla firmy (art. 73 ust. 4)	Do 10 mln EUR lub 2% całkowitego rocznego obrotu (wyższa kwota)	Do 7 mln EUR lub 1,4% całkowitego rocznego obrotu (wyższa kwota)
Kara dla kierownika jednostki (art. 73a)	Do 300% rocznego wynagrodzenia kierownika	Do 100% rocznego wynagrodzenia kierownika
Możliwość delegowania odpowiedzialności kierownika	Brak — odpowiedzialność jest niezbywalna (art. 8c)	Brak — odpowiedzialność jest niezbywalna (art. 8c)
Kara za brak rejestracji (termin 3.10.2026)	Może stanowić podstawę do wszczęcia postępowania i nałożenia kary	Może stanowić podstawę do wszczęcia postępowania i nałożenia kary
Kara za brak audytu (tylko PK, termin 3.04.2028)	Stanowi naruszenie obowiązku ustawowego — podstawa do kary	Nie dotyczy

Poza karami finansowymi ustawa przewiduje możliwość wydania decyzji nakazujących, w tym nakazu zaprzestania działalności lub świadczenia określonej usługi w przypadku poważnych i powtarzających się naruszeń. Ryzyko reputacyjne — związane z publicznym ujawnieniem naruszenia i wysoką karą — może być równie dotkliwe jak sama sankcja finansowa.

Jak zacząć — plan działania na 90 dni

Termin rejestracji w wykazie podmiotów KSC upływa 3 października 2026 r. Dla firmy, która nigdy wcześniej nie zajmowała się compliance cyberbezpieczeństwa, to krótki czas. Poniższy plan 90 dni pozwala zrealizować najważniejsze kroki przed upływem terminu rejestracji i dobrze przygotować się do budowy pełnego SZBI w kolejnym etapie.

Plan 90 dni na start: firma, która zaczyna od zera, powinna w pierwszych 90 dniach skupić się na trzech priorytetach: (1) potwierdzić objęcie ustawą i kategorię podmiotu, (2) zarejestrować się w wykazie S46 przed 3.10.2026, (3) uruchomić projekt wdrożenia SZBI z realnym harmonogramem do 3.04.2027.

Tygodnie 1–2 — Klasyfikacja: przeprowadź wewnętrzną analizę prawną, określ kategorię podmiotu (PK lub PW), udokumentuj wyniki i przedstaw je zarządowi do akceptacji.
Tygodnie 3–4 — Zaangażowanie zarządu: zorganizuj spotkanie z kierownikiem jednostki poświęcone osobistej odpowiedzialności z art. 8c; uzyskaj formalne zatwierdzenie projektu KSC i budżetu.
Tygodnie 5–6 — Wyznaczenie właściciela projektu: powołaj wewnętrznego koordynatora (lub wybierz zewnętrznego konsultanta / vCISO) odpowiedzialnego za wdrożenie KSC.
Tygodnie 7–8 — Gap analysis: zamów lub przeprowadź analizę luk między obecnym stanem bezpieczeństwa a wymaganiami art. 8 ustawy o KSC; zidentyfikuj obszary krytyczne.
Tygodnie 9–10 — Rejestracja: złóż zgłoszenie do wykazu S46; wyznacz min. 2 osoby kontaktowe z CSIRT sektorowym i upewnij się, że znają swoje role.
Tygodnie 11–12 — Harmonogram wdrożenia SZBI: opracuj szczegółowy plan wdrożenia 14 obszarów SZBI z terminami, odpowiedzialnymi osobami i budżetem; uwzględnij termin 3.04.2027.
Tydzień 13 — Priorytetowe szybkie wygrane: wdróż natychmiast działania o niskim koszcie i wysokim wpływie: politykę haseł, zarządzanie dostępami uprzywilejowanymi, kopie zapasowe i plan reagowania na incydenty.
Przez cały okres — Dokumentowanie: każde działanie, decyzję i przegląd dokumentuj — w przypadku postępowania administracyjnego dowody proceduralne są kluczowe.

Po zarejestrowaniu firmy i uruchomieniu projektu wdrożenia SZBI kolejnym kamieniem milowym jest termin 3 kwietnia 2027 r. — wówczas wszystkie obowiązki z rozdziału 3 ustawy muszą być już operacyjne. Podmioty kluczowe mają jeszcze rok więcej na przeprowadzenie pierwszego audytu zewnętrznego — do 3 kwietnia 2028 r.

Spis treści

Czy moja prywatna firma podlega KSC?Sektory z firmami prywatnymi w KSC Obowiązki — krok po kroku Koszty i zasoby — czego się spodziewać?Kary i ryzyko dla przedsiębiorcy Jak zacząć — plan działania na 90 dni

Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły

KlasyfikacjaPodmiot kluczowy vs. ważny — sprawdź swój status WdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JST KaryKary finansowe w ustawie o KSC — ile wynoszą?IncydentyRaportowanie incydentów KSC — 24h, 72h, miesiąc AudytAudyt bezpieczeństwa KSC — kto i kiedy?