MŚP8 min czytaniaOpublikowano: 23 kwietnia 2026Zaktualizowano NaN miesiące temu

Kiedy MŚP podlega ustawie o KSC?

Ogólna zasada: duży lub średni przedsiębiorca

Ustawa o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 20) obejmuje dwie kategorie regulowanych podmiotów: podmioty kluczowe (PK) oraz podmioty ważne (PW). Podstawową zasadą jest to, że KSC stosuje się wyłącznie do dużych i średnich przedsiębiorców w rozumieniu prawa unijnego. Mikroprzedsiębiorcy i mali przedsiębiorcy są co do zasady wyłączeni z zakresu ustawy — jednak prawo przewiduje od tej reguły ważne wyjątki, które mogą objąć nawet jednoosobową działalność gospodarczą.

Szukasz krótkiej ścieżki samoidentyfikacji? Zacznij od pillara „Czy podlegam pod KSC?\" — 3 kroki samoidentyfikacji w 5 minut. Tutaj koncentrujemy się wyłącznie na perspektywie MŚP: kiedy mała firma jednak podlega ustawie pomimo wyłączenia spod ogólnego progu wielkości.

Reguła ogólna: jeśli Twoja firma zatrudnia mniej niż 50 pracowników i jej roczny obrót nie przekracza 10 mln EUR, co do zasady nie podlegasz KSC. Jednak zanim odetchniesz z ulgą — sprawdź trzy wyjątki opisane w dalszej części artykułu: sektor ICT, wskazanie przez organ oraz powiązania kapitałowe w grupie.

Organ właściwy ds. cyberbezpieczeństwa może wskazać podmiot jako kluczowy lub ważny niezależnie od jego wielkości, jeśli uzna, że jego działalność ma istotne znaczenie dla bezpieczeństwa sieci lub usług cyfrowych. Ponadto wszystkie organy administracji publicznej podlegają KSC bez względu na liczbę zatrudnionych. Kluczowe znaczenie ma więc nie tylko rozmiar firmy, ale też sektor działalności i struktura właścicielska.

Kategorie MŚP i definicje prawne

Polskie przepisy KSC odsyłają do unijnych definicji wielkości przedsiębiorcy zawartych w Załączniku I do rozporządzenia Komisji (UE) nr 651/2014. Progi dotyczą zarówno liczby pracowników, jak i wskaźników finansowych — obrotu rocznego oraz sumy bilansowej.

Kategoria	Pracownicy	Roczny obrót	Suma bilansowa	Czy podlega KSC (co do zasady)?
Mikroprzedsiębiorca	mniej niż 10	do 2 mln EUR	do 2 mln EUR (LUB)	NIE — wyłączony (z wyjątkami art. 5 ust. 1 pkt 4 KSC)
Mały przedsiębiorca	10–49	do 10 mln EUR	do 10 mln EUR (LUB)	NIE — wyłączony (z wyjątkami art. 5 ust. 1 pkt 4 KSC)
Średni przedsiębiorca	50–249	do 50 mln EUR	do 43 mln EUR (LUB)	TAK — co do zasady podmiot ważny; podmiot kluczowy dla kategorii z art. 5 ust. 1 pkt 2–3 KSC
Duży przedsiębiorca (przewyższa progi MŚP)	250 lub więcej	powyżej 50 mln EUR	powyżej 43 mln EUR (ORAZ)	TAK — podmiot kluczowy (zał. 1) lub ważny (zał. 2)

Definicja MŚP z art. 2 ust. 1 załącznika I do rozp. 651/2014/UE ma strukturę „pracownicy ORAZ (obrót LUB suma bilansowa)". Aby pozostać w kategorii MŚP, podmiot musi: (1) zatrudniać MNIEJ NIŻ 250 osób ORAZ (2) jego obrót NIE PRZEKRACZA 50 mln EUR LUB suma bilansowa NIE PRZEKRACZA 43 mln EUR (wystarczy jedno z dwóch). Aby zostać dużym przedsiębiorcą (przewyższającym progi MŚP) na podstawie kryterium finansowego konieczne jest jednoczesne przekroczenie progu obrotu (powyżej 50 mln EUR) ORAZ progu sumy bilansowej (powyżej 43 mln EUR). Samo zatrudnienie 250 lub więcej pracowników jest natomiast wystarczające, nawet jeśli obrót i bilans pozostają poniżej progów.

Wyjątek: sektor ICT bez progu

Wyjątek „bez progu wielkości" (art. 5 ust. 1 pkt 4 KSC) jest zamknięty i obejmuje tylko cztery kategorie dostawców usług cyfrowych: (a) dostawcy usług DNS, (b) kwalifikowani dostawcy usług zaufania, (i) rejestry nazw domeny najwyższego poziomu (TLD), (j) podmioty świadczące usługi rejestracji nazw domen. Pozostali dostawcy z sektora cyfrowego — chmura, CDN, centrum danych, marketplace, wyszukiwarka, platforma społecznościowa, MSP — podlegają KSC zgodnie ze standardowym progiem zał. 1 lub zał. 2 (PW od średniego, PK od dużego). MSSP (dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa) są podmiotami kluczowymi już od poziomu małego przedsiębiorcy (art. 5 ust. 1 pkt 3 KSC). Wyjątek obejmuje także podmioty wskazane decyzją organu (art. 5 ust. 1 pkt 4 lit. e–h: podmiot krytyczny CER, energetyka jądrowa, podmiot publiczny z zał. 1, podmiot niebędący przedsiębiorcą z zał. 1).

Typ usługi cyfrowej	Przykłady	Próg wielkości	Podstawa prawna
Dostawca usług DNS (poza operatorem TLD)	Resolwery rekurencyjne, autorytywne serwery DNS	Brak progu — każda wielkość; PK	art. 5 ust. 1 pkt 4 lit. a
Kwalifikowany dostawca usług zaufania	QTSP wg eIDAS / rozp. 910/2014 (kwalifikowany podpis, pieczęć, znacznik czasu)	Brak progu — każda wielkość; PK	art. 5 ust. 1 pkt 4 lit. b
Rejestr nazw domeny najwyższego poziomu (TLD)	Operatorzy .pl, .com, .eu	Brak progu — każda wielkość; PK	art. 5 ust. 1 pkt 4 lit. i
Podmiot świadczący usługi rejestracji nazw domen	Akredytowani rejestratorzy domen	Brak progu — każda wielkość; PK	art. 5 ust. 1 pkt 4 lit. j
Dostawca usług zarządzanych w zakresie cyberbezpieczeństwa (MSSP)	SOC-as-a-Service, IRT, MDR, threat intel	Od małego przedsiębiorcy (mikroprzedsiębiorca wyłączony); PK	art. 5 ust. 1 pkt 3
Usługa chmury obliczeniowej (IaaS/PaaS/SaaS)	AWS, Azure, GCP, lokalni dostawcy chmury	Standardowy próg zał. 1 (sektor Infrastruktura cyfrowa): średni → PW, duży → PK	art. 5 ust. 1 pkt 1–2; zał. 1
Sieć dostarczania treści (CDN)	Cachowanie i dystrybucja treści	Standardowy próg zał. 1 (Infrastruktura cyfrowa): średni → PW, duży → PK	art. 5 ust. 1 pkt 1–2; zał. 1
Centrum danych (data center)	Kolokacja serwerów dla klientów zewnętrznych	Standardowy próg zał. 1 (Infrastruktura cyfrowa): średni → PW, duży → PK	art. 5 ust. 1 pkt 1–2; zał. 1
Zarządzanie usługami ICT (MSP)	Outsourcing IT, managed services bez „cyber"	Standardowy próg zał. 1 (Zarządzanie usługami ICT): średni → PW, duży → PK	art. 5 ust. 1 pkt 1–2; zał. 1
Internetowy portal marketplace	Platformy sprzedażowe, aukcyjne	Standardowy próg zał. 2 (sektor cyfrowy): średni i duży → PW	art. 5 ust. 2 pkt 7; zał. 2
Wyszukiwarka internetowa	Silniki indeksujące sieć	Standardowy próg zał. 2: średni i duży → PW	art. 5 ust. 2 pkt 7; zał. 2
Platforma sieci społecznościowej	Portale społecznościowe z treściami użytkowników	Standardowy próg zał. 2: średni i duży → PW	art. 5 ust. 2 pkt 7; zał. 2

Częsty błąd: traktowanie chmury, CDN, marketplace, wyszukiwarki czy social media jako „bez progu". Ustawa KSC zamyka katalog wyjątków bez progu w art. 5 ust. 1 pkt 4 KSC do DNS, kwalifikowanych dostawców usług zaufania, TLD i rejestratorów domen oraz do podmiotów wskazanych decyzją (CER, energetyka jądrowa, podmiot publiczny z zał. 1, podmiot niebędący przedsiębiorcą z zał. 1). MSSP podlega KSC już od poziomu małego przedsiębiorcy (art. 5 ust. 1 pkt 3). Pozostali dostawcy usług cyfrowych podlegają standardowemu progowi z zał. 1 lub zał. 2.

Zasada jedynego przedsiębiorstwa — pułapka dla grup kapitałowych

Zasada jedynego przedsiębiorstwa (ang. single enterprise principle) wynika z Załącznika I do rozporządzenia 651/2014/UE i ma kluczowe znaczenie dla firm powiązanych kapitałowo. Przy ustalaniu kategorii wielkości przedsiębiorcy nie bierze się pod uwagę wyłącznie danych samej spółki — uwzględnia się również dane podmiotów powiązanych i partnerskich. W efekcie firma, która samodzielnie spełnia kryteria małego przedsiębiorcy, może po zsumowaniu danych z całą grupą okazać się dużym przedsiębiorcą podlegającym KSC.

Pułapka holdingowa: spółka-córka może być pozornie małą firmą (np. 30 pracowników, obrót 5 mln EUR), ale jeśli jej udziałowiec posiada ponad 25% udziałów i sam jest dużym przedsiębiorcą, pracownicy i przychody całej grupy są sumowane. Taka spółka może przekroczyć progi KSC i podlegać ustawie jako podmiot ważny lub kluczowy — nawet jeśli nigdy nie słyszała o NIS2. Brak świadomości podlegania KSC nie jest okolicznością łagodzącą przy wymierzaniu kary.

Typ powiązania	Definicja	Sposób liczenia danych	Przykład
Samodzielne	Brak podmiotów posiadających powyżej 25% udziałów lub głosów	Tylko własne dane	Startup bez zewnętrznych inwestorów instytucjonalnych lub z inwestorami poniżej 25%
Partnerskie	Podmiot posiada 25–50% udziałów lub głosów innego przedsiębiorcy	Proporcjonalne sumowanie — procent udziałów razy dane partnera	Fundusz VC z 30% w firmie: doliczamy 30% pracowników i obrotu funduszu
Zależne (dominacja)	Podmiot posiada powyżej 50% udziałów lub głosów albo sprawuje kontrolę faktyczną	Pełne sumowanie — 100% danych podmiotu dominującego i wszystkich zależnych	Spółka-córka w grupie kapitałowej: liczymy razem z matką i siostrami

Kiedy MŚP musi stosować KSC — realne scenariusze

W praktyce wyodrębniamy cztery główne scenariusze, w których firma formalnie mieszcząca się w kategorii MŚP może jednak podlegać obowiązkom ustawy o KSC. Każdy z tych scenariuszy wymaga odrębnej analizy i nie można ich wykluczyć bez dokładnego sprawdzenia struktury firmy, jej działalności oraz powiązań kapitałowych.

Scenariusz	Dlaczego MŚP podlega KSC	Status KSC	Sankcja za brak rejestracji
Mała firma IT świadcząca usługi zarządzane w cyberbezpieczeństwie (MSSP)	MSSP od małego przedsiębiorcy jest podmiotem kluczowym z mocy art. 5 ust. 1 pkt 3 KSC (mikro wyłączony). Klasyczny MSP bez komponentu „cyber" podlega standardowemu progowi z zał. 1 (sektor Zarządzanie usługami ICT) — mikro/mały MSP nie podlega.	MSSP: PK od małego (≥10 prac.); MSP: PW od średniego	PK: do 10 mln EUR lub 2% rocznych przychodów z działalności gospodarczej; PW: do 7 mln EUR lub 1,4% (art. 73 ust. 3–4)
Startup SaaS świadczący usługę chmurową dla enterprise	Dostawca usług chmury obliczeniowej — sektor zał. 1, status zależny od wielkości; jako średni → PW; jako duży → PK	Podmiot ważny lub kluczowy	PW: do 7 mln EUR lub 1,4% rocznych przychodów; PK: do 10 mln EUR lub 2% (art. 73 ust. 3–4)
Spółka-córka dużej korporacji (zasada jednego przedsiębiorstwa)	Powiązania kapitałowe powodują przekroczenie progów po zsumowaniu z grupą (art. 3 ust. 3 zał. I rozp. 651/2014/UE)	Podmiot kluczowy lub ważny — zależy od sektora i sumy danych grupy	Do 10 mln EUR lub 2% rocznych przychodów z działalności gospodarczej (PK) albo 7 mln EUR / 1,4% (PW)
Podmiot wskazany przez organ jako krytyczny	Decyzja administracyjna organu właściwego — niezależnie od wielkości	Podmiot kluczowy lub ważny — zależnie od decyzji	Jak powyżej, zależnie od przyznanego statusu

Checklist i pierwsze kroki

Poniższy checklist pomoże Ci szybko ustalić, czy Twoja firma może podlegać ustawie o KSC. Jeśli choć jedno pytanie ma odpowiedź twierdzącą, powinieneś przeprowadzić pogłębioną analizę lub skonsultować się z doradcą KSC.

Ustal liczbę pracowników firmy (przelicznik pełnoetatowy, FTE) — czy wynosi 50 lub więcej?
Sprawdź roczny obrót za ostatni zamknięty rok obrotowy — czy przekracza 10 mln EUR?
Sprawdź sumę bilansową — czy przekracza 10 mln EUR?
Zidentyfikuj sektor działalności: czy firma świadczy usługi DNS, TLD, chmury, CDN, centrum danych, marketplace, wyszukiwarki, sieci społecznościowej, zarządzanych usług IT lub cyberbezpieczeństwa?
Zbadaj strukturę właścicielską: czy jakikolwiek podmiot posiada powyżej 25% udziałów w Twojej firmie? Jeśli tak — ustal kategorię wielkości po zsumowaniu danych z grupą.
Sprawdź, czy firma nie jest organem administracji publicznej lub podmiotem wskazanym przez organ właściwy jako podmiot kluczowy lub ważny.
Jeśli co najmniej jeden z powyższych punktów sugeruje objęcie KSC — skonsultuj się z doradcą i zarejestruj podmiot do 3 października 2026 r.

Kara za brak rejestracji wynosi do 10 mln EUR lub 2% rocznych przychodów z działalności gospodarczej dla podmiotów kluczowych (art. 73 ust. 3) i do 7 mln EUR lub 1,4% rocznych przychodów z działalności gospodarczej dla podmiotów ważnych (art. 73 ust. 4). Pierwsze kary z art. 73 mogą być nakładane po upływie 2 lat od dnia wejścia w życie ustawy (art. 35 nowelizacji). Organ nie jest zobowiązany do wezwania przed wszczęciem postępowania. Brak wiedzy o podleganiu KSC nie jest przesłanką do obniżenia kary.

Dowiedz się więcej: kto podlega pod KSC — 3 kroki samoidentyfikacji, Podmiot kluczowy vs. ważny, Rejestracja w wykazie S46, KSC a firma prywatna.

Spis treści

Ogólna zasada: duży lub średni przedsiębiorca Kategorie MŚP i definicje prawne Wyjątek: sektor ICT bez progu Zasada jedynego przedsiębiorstwa — pułapka dla grup kapitałowych Kiedy MŚP musi stosować KSC — realne scenariusze Checklist i pierwsze kroki

Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły

KlasyfikacjaPodmiot kluczowy vs ważny w KSC / NIS 2 — sprawdź status WdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JST KaryKary finansowe w ustawie o KSC i NIS 2 — ile wynoszą?IncydentyRaportowanie incydentów KSC / NIS 2 — 24h, 72h, miesiąc AudytAudyt bezpieczeństwa KSC / NIS 2 — kto i kiedy?

FAQ7 pytań

Najczęstsze pytania

Czy mała firma (poniżej 50 pracowników) może podlegać KSC?

Tak, w kilku przypadkach. Po pierwsze: jeśli firma świadczy usługi z sektora ICT (chmura, DNS, CDN, marketplace, wyszukiwarka, social media, centrum danych, zarządzane usługi IT lub cyberbezpieczeństwa) — podlega KSC niezależnie od wielkości. Po drugie: jeśli organ właściwy wskaże ją jako podmiot kluczowy lub ważny na mocy decyzji administracyjnej. Po trzecie: jeśli po zastosowaniu zasady jedynego przedsiębiorstwa (sumowanie danych z grupą kapitałową) firma przekracza progi średniego lub dużego przedsiębiorcy.

Jak ustala się wielkość przedsiębiorcy dla potrzeb KSC?

Stosuje się definicje z Załącznika I do rozporządzenia Komisji (UE) nr 651/2014. Mikroprzedsiębiorca: mniej niż 10 pracowników i obrót lub suma bilansowa do 2 mln EUR. Mały: mniej niż 50 pracowników i obrót lub suma bilansowa do 10 mln EUR. Średni: mniej niż 250 pracowników i obrót do 50 mln EUR lub suma bilansowa do 43 mln EUR. Duży: 250 lub więcej pracowników albo jednoczesne przekroczenie progu obrotu (powyżej 50 mln EUR) i bilansu (powyżej 43 mln EUR). Przy powiązaniach kapitałowych stosuje się zasadę jedynego przedsiębiorstwa.

Co to jest zasada jedynego przedsiębiorstwa i kiedy ma zastosowanie?

Zasada jedynego przedsiębiorstwa (zał. I rozp. 651/2014/UE) nakazuje przy ocenie wielkości przedsiębiorcy uwzględnić dane podmiotów powiązanych. Jeśli inny podmiot posiada powyżej 25% udziałów lub głosów w Twojej firmie — jesteś przedsiębiorstwem partnerskim (sumowanie proporcjonalne) lub zależnym (sumowanie pełne, gdy powiązanie przekracza 50%). Firma pozornie mała sama w sobie może okazać się dużą po uwzględnieniu danych właściciela i siostrzanych spółek.

Jakie usługi ICT podlegają KSC bez progu wielkości firmy?

Ustawa KSC obejmuje bez progu wielkości dostawców następujących usług: systemy nazw domenowych (DNS), rejestry nazw domen najwyższego poziomu (TLD), usługi chmury obliczeniowej, sieci dostarczania treści (CDN), centra danych świadczące usługi dla klientów zewnętrznych, internetowe platformy handlowe (marketplace), wyszukiwarki internetowe, platformy sieci społecznościowych, a także dostawców zarządzanych usług teleinformatycznych (MSP) i zarządzanych usług cyberbezpieczeństwa (MSSP).

Do kiedy firma musi zarejestrować się jako podmiot KSC?

Podmioty istniejące w dniu wejścia w życie ustawy (3 kwietnia 2026 r. — art. 49 nowelizacji), spełniające kryteria PK lub PW, składają wniosek o wpis do wykazu zgodnie z harmonogramem ogłoszonym przez Ministra Cyfryzacji w jego dzienniku urzędowym (art. 33 ust. 3 i art. 34 ust. 3 nowelizacji). Podmioty, które spełnią kryteria po wejściu w życie ustawy, mają 6 miesięcy od ich spełnienia (art. 7c ust. 1 KSC). Obowiązki z rozdziału 3 (w tym SZBI z art. 8 KSC) podmioty istniejące realizują w terminie 12 miesięcy od wejścia w życie ustawy (art. 33 ust. 1 nowelizacji).

Jakie kary grożą MŚP za nieprzestrzeganie KSC?

Kary są identyczne jak dla dużych podmiotów — ustawa nie różnicuje ich według wielkości firmy. Podmiot kluczowy może zostać ukarany do 10 mln EUR lub 2% rocznych przychodów z działalności gospodarczej z roku poprzedniego (wyższa kwota — art. 73 ust. 3 KSC). Podmiot ważny — do 7 mln EUR lub 1,4% rocznych przychodów z działalności gospodarczej (art. 73 ust. 4 KSC). Pierwsze kary z art. 73 ust. 1–4 mogą być nakładane po upływie 2 lat od dnia wejścia w życie ustawy (art. 35 nowelizacji). Kary dotyczą m.in. braku rejestracji, braku SZBI, niedokonania zgłoszenia incydentu poważnego lub braku wymaganych środków bezpieczeństwa.

Czy startup SaaS podlega KSC?

To zależy od charakteru usługi. Startup SaaS świadczący usługi chmury obliczeniowej (IaaS, PaaS lub SaaS rozumiane jako platforma/infrastruktura dla zewnętrznych klientów) podlega KSC niezależnie od wielkości — ze względu na wyjątek ICT. Startup SaaS oferujący oprogramowanie biznesowe (np. CRM, ERP) nieświadczący infrastrukturalnych usług chmury — co do zasady nie podlega, chyba że przekracza progi wielkości lub jego usługa mieści się w innej kategorii z wyjątku ICT. W razie wątpliwości rekomendowana jest analiza prawna.

Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

Zastrzeżenie prawne

Niniejszy artykuł ma charakter informacyjny i edukacyjny. Treść opieramy na tekście ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. 2026 poz. 20) wraz z nowelizacją z 23 stycznia 2026 r. (Dz.U. 2026 poz. 252) oraz na oficjalnych komunikatach Ministerstwa Cyfryzacji.

Artykuł nie stanowi opinii prawnej w rozumieniu ustawy z 6 lipca 1982 r. o radcach prawnych ani porady prawnej w rozumieniu ustawy z 26 maja 1982 r. — Prawo o adwokaturze. Klasyfikacja konkretnego podmiotu jako kluczowy lub ważny, ocena obowiązków materialnych (SZBI z art. 8 KSC, raportowanie incydentów z art. 11, audyt z art. 15) oraz interpretacja przepisów przejściowych z art. 33–35 ustawy nowelizującej wymagają indywidualnej analizy z uwzględnieniem struktury organizacyjnej, sektora działalności i specyfiki świadczonych usług.

W razie wątpliwości prawnych zalecamy konsultację z radcą prawnym lub adwokatem specjalizującym się w cyberprawie / NIS 2. Stan prawny: 3 kwietnia 2026 r. (data wejścia w życie nowelizacji). Wydawca: Idealdata Sp. z o.o. — Chwaszczyno k. Gdańska.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.