Ogólna zasada: duży lub średni przedsiębiorca
Ustawa o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 20) obejmuje dwie kategorie regulowanych podmiotów: podmioty kluczowe (PK) oraz podmioty ważne (PW). Podstawową zasadą jest to, że KSC stosuje się wyłącznie do dużych i średnich przedsiębiorców w rozumieniu prawa unijnego. Mikroprzedsiębiorcy i mali przedsiębiorcy są co do zasady wyłączeni z zakresu ustawy — jednak prawo przewiduje od tej reguły ważne wyjątki, które mogą objąć nawet jednoosobową działalność gospodarczą.
Organ właściwy ds. cyberbezpieczeństwa może wskazać podmiot jako kluczowy lub ważny niezależnie od jego wielkości, jeśli uzna, że jego działalność ma istotne znaczenie dla bezpieczeństwa sieci lub usług cyfrowych. Ponadto wszystkie organy administracji publicznej podlegają KSC bez względu na liczbę zatrudnionych. Kluczowe znaczenie ma więc nie tylko rozmiar firmy, ale też sektor działalności i struktura właścicielska.
Kategorie MŚP i definicje prawne
Polskie przepisy KSC odsyłają do unijnych definicji wielkości przedsiębiorcy zawartych w Załączniku I do rozporządzenia Komisji (UE) nr 651/2014. Progi dotyczą zarówno liczby pracowników, jak i wskaźników finansowych — obrotu rocznego oraz sumy bilansowej.
| Kategoria | Pracownicy | Roczny obrót | Suma bilansowa | Czy podlega KSC (co do zasady)? |
|---|---|---|---|---|
| Mikroprzedsiębiorca | mniej niż 10 | do 2 mln EUR | do 2 mln EUR | NIE — wyłączony |
| Mały przedsiębiorca | 10–49 | do 10 mln EUR | do 10 mln EUR | NIE — wyłączony |
| Średni przedsiębiorca | 50–249 | do 50 mln EUR | do 43 mln EUR | TAK — podmiot ważny lub kluczowy |
| Duży przedsiębiorca | 250 lub więcej | powyżej 50 mln EUR | powyżej 43 mln EUR | TAK — podmiot kluczowy lub ważny |
Dla ustalenia kategorii stosuje się zasadę koniunkcji: aby być dużym przedsiębiorcą wyłącznie na podstawie kryterium finansowego, konieczne jest jednoczesne przekroczenie progu obrotu (powyżej 50 mln EUR) oraz progu sumy bilansowej (powyżej 43 mln EUR). Samo zatrudnienie 250 lub więcej pracowników jest natomiast wystarczające, nawet jeśli obrót pozostaje poniżej progu.
Wyjątek: sektor ICT bez progu
| Typ usługi cyfrowej | Przykłady | Próg wielkości |
|---|---|---|
| Dostawca usług DNS | Resolwery rekurencyjne, autorytywne serwery DNS | Brak progu — każda wielkość |
| Rejestr nazw domeny TLD | Operatorzy .pl, .com, .eu | Brak progu — każda wielkość |
| Usługa chmury obliczeniowej | IaaS, PaaS, SaaS dla klientów zewnętrznych | Brak progu — każda wielkość |
| Sieć dostarczania treści (CDN) | Cachowanie i dystrybucja treści do użytkowników | Brak progu — każda wielkość |
| Centrum danych (data center) | Kolokacja serwerów dla klientów zewnętrznych | Brak progu — każda wielkość |
| Internetowy portal marketplace | Platformy sprzedażowe, aukcyjne | Brak progu — każda wielkość |
| Wyszukiwarka internetowa | Silniki indeksujące sieć | Brak progu — każda wielkość |
| Platforma sieci społecznościowej | Portale społecznościowe z treściami użytkowników | Brak progu — każda wielkość |
| Zarządzane usługi IT / cyberbezpieczeństwa (MSP/MSSP) | Dostawcy managed services, SOC-as-a-Service | Brak progu — każda wielkość |
Zasada jedynego przedsiębiorstwa — pułapka dla grup kapitałowych
Zasada jedynego przedsiębiorstwa (ang. single enterprise principle) wynika z Załącznika I do rozporządzenia 651/2014/UE i ma kluczowe znaczenie dla firm powiązanych kapitałowo. Przy ustalaniu kategorii wielkości przedsiębiorcy nie bierze się pod uwagę wyłącznie danych samej spółki — uwzględnia się również dane podmiotów powiązanych i partnerskich. W efekcie firma, która samodzielnie spełnia kryteria małego przedsiębiorcy, może po zsumowaniu danych z całą grupą okazać się dużym przedsiębiorcą podlegającym KSC.
| Typ powiązania | Definicja | Sposób liczenia danych | Przykład |
|---|---|---|---|
| Samodzielne | Brak podmiotów posiadających powyżej 25% udziałów lub głosów | Tylko własne dane | Startup bez zewnętrznych inwestorów instytucjonalnych lub z inwestorami poniżej 25% |
| Partnerskie | Podmiot posiada 25–50% udziałów lub głosów innego przedsiębiorcy | Proporcjonalne sumowanie — procent udziałów razy dane partnera | Fundusz VC z 30% w firmie: doliczamy 30% pracowników i obrotu funduszu |
| Zależne (dominacja) | Podmiot posiada powyżej 50% udziałów lub głosów albo sprawuje kontrolę faktyczną | Pełne sumowanie — 100% danych podmiotu dominującego i wszystkich zależnych | Spółka-córka w grupie kapitałowej: liczymy razem z matką i siostrami |
Kiedy MŚP musi stosować KSC — realne scenariusze
W praktyce wyodrębniamy cztery główne scenariusze, w których firma formalnie mieszcząca się w kategorii MŚP może jednak podlegać obowiązkom ustawy o KSC. Każdy z tych scenariuszy wymaga odrębnej analizy i nie można ich wykluczyć bez dokładnego sprawdzenia struktury firmy, jej działalności oraz powiązań kapitałowych.
| Scenariusz | Dlaczego MŚP podlega KSC | Status KSC | Sankcja za brak rejestracji |
|---|---|---|---|
| Mała firma IT zarządzająca sieciami klientów (MSP/MSSP) | Dostawca usług zarządzanych lub zarządzanych usług cyberbezpieczeństwa — brak progu wielkości | Podmiot ważny (PW) | Do 7 mln EUR lub 1,4% rocznego obrotu |
| Startup SaaS świadczący usługę chmurową dla enterprise | Dostawca usług chmury obliczeniowej — wyjątek ICT, brak progu | Podmiot ważny (PW) | Do 7 mln EUR lub 1,4% rocznego obrotu |
| Spółka-córka dużej korporacji (zasada jedynego przedsiębiorstwa) | Powiązania kapitałowe powodują przekroczenie progów po zsumowaniu z grupą | Podmiot kluczowy lub ważny — zależy od sektora i sumy danych grupy | Do 10 mln EUR lub 2% obrotu (PK) albo 7 mln EUR / 1,4% (PW) |
| Podmiot wskazany przez organ jako krytyczny | Decyzja administracyjna organu właściwego — niezależnie od wielkości | Podmiot kluczowy lub ważny — zależnie od decyzji | Jak powyżej, zależnie od przyznanego statusu |
Checklist i pierwsze kroki
Poniższy checklist pomoże Ci szybko ustalić, czy Twoja firma może podlegać ustawie o KSC. Jeśli choć jedno pytanie ma odpowiedź twierdzącą, powinieneś przeprowadzić pogłębioną analizę lub skonsultować się z doradcą KSC.
- Ustal liczbę pracowników firmy (przelicznik pełnoetatowy, FTE) — czy wynosi 50 lub więcej?
- Sprawdź roczny obrót za ostatni zamknięty rok obrotowy — czy przekracza 10 mln EUR?
- Sprawdź sumę bilansową — czy przekracza 10 mln EUR?
- Zidentyfikuj sektor działalności: czy firma świadczy usługi DNS, TLD, chmury, CDN, centrum danych, marketplace, wyszukiwarki, sieci społecznościowej, zarządzanych usług IT lub cyberbezpieczeństwa?
- Zbadaj strukturę właścicielską: czy jakikolwiek podmiot posiada powyżej 25% udziałów w Twojej firmie? Jeśli tak — ustal kategorię wielkości po zsumowaniu danych z grupą.
- Sprawdź, czy firma nie jest organem administracji publicznej lub podmiotem wskazanym przez organ właściwy jako podmiot kluczowy lub ważny.
- Jeśli co najmniej jeden z powyższych punktów sugeruje objęcie KSC — skonsultuj się z doradcą i zarejestruj podmiot do 3 października 2026 r.