MŚP8 min czytania

KSC a MŚP — kiedy mała i średnia firma musi stosować ustawę

Ogólna zasada: duży lub średni przedsiębiorca

Ustawa o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 20) obejmuje dwie kategorie regulowanych podmiotów: podmioty kluczowe (PK) oraz podmioty ważne (PW). Podstawową zasadą jest to, że KSC stosuje się wyłącznie do dużych i średnich przedsiębiorców w rozumieniu prawa unijnego. Mikroprzedsiębiorcy i mali przedsiębiorcy są co do zasady wyłączeni z zakresu ustawy — jednak prawo przewiduje od tej reguły ważne wyjątki, które mogą objąć nawet jednoosobową działalność gospodarczą.

Reguła ogólna: jeśli Twoja firma zatrudnia mniej niż 50 pracowników i jej roczny obrót nie przekracza 10 mln EUR, co do zasady nie podlegasz KSC. Jednak zanim odetchniesz z ulgą — sprawdź trzy wyjątki opisane w dalszej części artykułu: sektor ICT, wskazanie przez organ oraz powiązania kapitałowe w grupie.

Organ właściwy ds. cyberbezpieczeństwa może wskazać podmiot jako kluczowy lub ważny niezależnie od jego wielkości, jeśli uzna, że jego działalność ma istotne znaczenie dla bezpieczeństwa sieci lub usług cyfrowych. Ponadto wszystkie organy administracji publicznej podlegają KSC bez względu na liczbę zatrudnionych. Kluczowe znaczenie ma więc nie tylko rozmiar firmy, ale też sektor działalności i struktura właścicielska.

Kategorie MŚP i definicje prawne

Polskie przepisy KSC odsyłają do unijnych definicji wielkości przedsiębiorcy zawartych w Załączniku I do rozporządzenia Komisji (UE) nr 651/2014. Progi dotyczą zarówno liczby pracowników, jak i wskaźników finansowych — obrotu rocznego oraz sumy bilansowej.

KategoriaPracownicyRoczny obrótSuma bilansowaCzy podlega KSC (co do zasady)?
Mikroprzedsiębiorcamniej niż 10do 2 mln EURdo 2 mln EURNIE — wyłączony
Mały przedsiębiorca10–49do 10 mln EURdo 10 mln EURNIE — wyłączony
Średni przedsiębiorca50–249do 50 mln EURdo 43 mln EURTAK — podmiot ważny lub kluczowy
Duży przedsiębiorca250 lub więcejpowyżej 50 mln EURpowyżej 43 mln EURTAK — podmiot kluczowy lub ważny

Dla ustalenia kategorii stosuje się zasadę koniunkcji: aby być dużym przedsiębiorcą wyłącznie na podstawie kryterium finansowego, konieczne jest jednoczesne przekroczenie progu obrotu (powyżej 50 mln EUR) oraz progu sumy bilansowej (powyżej 43 mln EUR). Samo zatrudnienie 250 lub więcej pracowników jest natomiast wystarczające, nawet jeśli obrót pozostaje poniżej progu.

Wyjątek: sektor ICT bez progu

Wyjątek ICT: dostawcy usług cyfrowych wskazani w ustawie podlegają KSC niezależnie od swojej wielkości. Nie ma znaczenia, czy jesteś mikroprzedsiębiorcą zatrudniającym 3 osoby — jeśli świadczysz usługi DNS, rejestracji nazw domen TLD, chmury obliczeniowej, CDN, centrum danych, internetowego portalu marketplace, wyszukiwarki lub platformy społecznościowej, ustawa KSC obejmuje Cię w pełnym zakresie.
Typ usługi cyfrowejPrzykładyPróg wielkości
Dostawca usług DNSResolwery rekurencyjne, autorytywne serwery DNSBrak progu — każda wielkość
Rejestr nazw domeny TLDOperatorzy .pl, .com, .euBrak progu — każda wielkość
Usługa chmury obliczeniowejIaaS, PaaS, SaaS dla klientów zewnętrznychBrak progu — każda wielkość
Sieć dostarczania treści (CDN)Cachowanie i dystrybucja treści do użytkownikówBrak progu — każda wielkość
Centrum danych (data center)Kolokacja serwerów dla klientów zewnętrznychBrak progu — każda wielkość
Internetowy portal marketplacePlatformy sprzedażowe, aukcyjneBrak progu — każda wielkość
Wyszukiwarka internetowaSilniki indeksujące siećBrak progu — każda wielkość
Platforma sieci społecznościowejPortale społecznościowe z treściami użytkownikówBrak progu — każda wielkość
Zarządzane usługi IT / cyberbezpieczeństwa (MSP/MSSP)Dostawcy managed services, SOC-as-a-ServiceBrak progu — każda wielkość

Zasada jedynego przedsiębiorstwa — pułapka dla grup kapitałowych

Zasada jedynego przedsiębiorstwa (ang. single enterprise principle) wynika z Załącznika I do rozporządzenia 651/2014/UE i ma kluczowe znaczenie dla firm powiązanych kapitałowo. Przy ustalaniu kategorii wielkości przedsiębiorcy nie bierze się pod uwagę wyłącznie danych samej spółki — uwzględnia się również dane podmiotów powiązanych i partnerskich. W efekcie firma, która samodzielnie spełnia kryteria małego przedsiębiorcy, może po zsumowaniu danych z całą grupą okazać się dużym przedsiębiorcą podlegającym KSC.

Pułapka holdingowa: spółka-córka może być pozornie małą firmą (np. 30 pracowników, obrót 5 mln EUR), ale jeśli jej udziałowiec posiada ponad 25% udziałów i sam jest dużym przedsiębiorcą, pracownicy i przychody całej grupy są sumowane. Taka spółka może przekroczyć progi KSC i podlegać ustawie jako podmiot ważny lub kluczowy — nawet jeśli nigdy nie słyszała o NIS2. Brak świadomości podlegania KSC nie jest okolicznością łagodzącą przy wymierzaniu kary.
Typ powiązaniaDefinicjaSposób liczenia danychPrzykład
SamodzielneBrak podmiotów posiadających powyżej 25% udziałów lub głosówTylko własne daneStartup bez zewnętrznych inwestorów instytucjonalnych lub z inwestorami poniżej 25%
PartnerskiePodmiot posiada 25–50% udziałów lub głosów innego przedsiębiorcyProporcjonalne sumowanie — procent udziałów razy dane partneraFundusz VC z 30% w firmie: doliczamy 30% pracowników i obrotu funduszu
Zależne (dominacja)Podmiot posiada powyżej 50% udziałów lub głosów albo sprawuje kontrolę faktycznąPełne sumowanie — 100% danych podmiotu dominującego i wszystkich zależnychSpółka-córka w grupie kapitałowej: liczymy razem z matką i siostrami

Kiedy MŚP musi stosować KSC — realne scenariusze

W praktyce wyodrębniamy cztery główne scenariusze, w których firma formalnie mieszcząca się w kategorii MŚP może jednak podlegać obowiązkom ustawy o KSC. Każdy z tych scenariuszy wymaga odrębnej analizy i nie można ich wykluczyć bez dokładnego sprawdzenia struktury firmy, jej działalności oraz powiązań kapitałowych.

ScenariuszDlaczego MŚP podlega KSCStatus KSCSankcja za brak rejestracji
Mała firma IT zarządzająca sieciami klientów (MSP/MSSP)Dostawca usług zarządzanych lub zarządzanych usług cyberbezpieczeństwa — brak progu wielkościPodmiot ważny (PW)Do 7 mln EUR lub 1,4% rocznego obrotu
Startup SaaS świadczący usługę chmurową dla enterpriseDostawca usług chmury obliczeniowej — wyjątek ICT, brak proguPodmiot ważny (PW)Do 7 mln EUR lub 1,4% rocznego obrotu
Spółka-córka dużej korporacji (zasada jedynego przedsiębiorstwa)Powiązania kapitałowe powodują przekroczenie progów po zsumowaniu z grupąPodmiot kluczowy lub ważny — zależy od sektora i sumy danych grupyDo 10 mln EUR lub 2% obrotu (PK) albo 7 mln EUR / 1,4% (PW)
Podmiot wskazany przez organ jako krytycznyDecyzja administracyjna organu właściwego — niezależnie od wielkościPodmiot kluczowy lub ważny — zależnie od decyzjiJak powyżej, zależnie od przyznanego statusu

Checklist i pierwsze kroki

Poniższy checklist pomoże Ci szybko ustalić, czy Twoja firma może podlegać ustawie o KSC. Jeśli choć jedno pytanie ma odpowiedź twierdzącą, powinieneś przeprowadzić pogłębioną analizę lub skonsultować się z doradcą KSC.

  1. Ustal liczbę pracowników firmy (przelicznik pełnoetatowy, FTE) — czy wynosi 50 lub więcej?
  2. Sprawdź roczny obrót za ostatni zamknięty rok obrotowy — czy przekracza 10 mln EUR?
  3. Sprawdź sumę bilansową — czy przekracza 10 mln EUR?
  4. Zidentyfikuj sektor działalności: czy firma świadczy usługi DNS, TLD, chmury, CDN, centrum danych, marketplace, wyszukiwarki, sieci społecznościowej, zarządzanych usług IT lub cyberbezpieczeństwa?
  5. Zbadaj strukturę właścicielską: czy jakikolwiek podmiot posiada powyżej 25% udziałów w Twojej firmie? Jeśli tak — ustal kategorię wielkości po zsumowaniu danych z grupą.
  6. Sprawdź, czy firma nie jest organem administracji publicznej lub podmiotem wskazanym przez organ właściwy jako podmiot kluczowy lub ważny.
  7. Jeśli co najmniej jeden z powyższych punktów sugeruje objęcie KSC — skonsultuj się z doradcą i zarejestruj podmiot do 3 października 2026 r.
Kara za brak rejestracji wynosi do 10 mln EUR lub 2% rocznych przychodów dla podmiotów kluczowych i do 7 mln EUR lub 1,4% przychodów dla podmiotów ważnych. Organ nie jest zobowiązany do wezwania przed wszczęciem postępowania. Brak wiedzy o podleganiu KSC nie jest przesłanką do obniżenia kary.
FAQ7 pytań

Najczęstsze pytania

Czy mała firma (poniżej 50 pracowników) może podlegać KSC?
Tak, w kilku przypadkach. Po pierwsze: jeśli firma świadczy usługi z sektora ICT (chmura, DNS, CDN, marketplace, wyszukiwarka, social media, centrum danych, zarządzane usługi IT lub cyberbezpieczeństwa) — podlega KSC niezależnie od wielkości. Po drugie: jeśli organ właściwy wskaże ją jako podmiot kluczowy lub ważny na mocy decyzji administracyjnej. Po trzecie: jeśli po zastosowaniu zasady jedynego przedsiębiorstwa (sumowanie danych z grupą kapitałową) firma przekracza progi średniego lub dużego przedsiębiorcy.
Jak ustala się wielkość przedsiębiorcy dla potrzeb KSC?
Stosuje się definicje z Załącznika I do rozporządzenia Komisji (UE) nr 651/2014. Mikroprzedsiębiorca: mniej niż 10 pracowników i obrót lub suma bilansowa do 2 mln EUR. Mały: mniej niż 50 pracowników i obrót lub suma bilansowa do 10 mln EUR. Średni: mniej niż 250 pracowników i obrót do 50 mln EUR lub suma bilansowa do 43 mln EUR. Duży: 250 lub więcej pracowników albo jednoczesne przekroczenie progu obrotu (powyżej 50 mln EUR) i bilansu (powyżej 43 mln EUR). Przy powiązaniach kapitałowych stosuje się zasadę jedynego przedsiębiorstwa.
Co to jest zasada jedynego przedsiębiorstwa i kiedy ma zastosowanie?
Zasada jedynego przedsiębiorstwa (zał. I rozp. 651/2014/UE) nakazuje przy ocenie wielkości przedsiębiorcy uwzględnić dane podmiotów powiązanych. Jeśli inny podmiot posiada powyżej 25% udziałów lub głosów w Twojej firmie — jesteś przedsiębiorstwem partnerskim (sumowanie proporcjonalne) lub zależnym (sumowanie pełne, gdy powiązanie przekracza 50%). Firma pozornie mała sama w sobie może okazać się dużą po uwzględnieniu danych właściciela i siostrzanych spółek.
Jakie usługi ICT podlegają KSC bez progu wielkości firmy?
Ustawa KSC obejmuje bez progu wielkości dostawców następujących usług: systemy nazw domenowych (DNS), rejestry nazw domen najwyższego poziomu (TLD), usługi chmury obliczeniowej, sieci dostarczania treści (CDN), centra danych świadczące usługi dla klientów zewnętrznych, internetowe platformy handlowe (marketplace), wyszukiwarki internetowe, platformy sieci społecznościowych, a także dostawców zarządzanych usług teleinformatycznych (MSP) i zarządzanych usług cyberbezpieczeństwa (MSSP).
Do kiedy firma musi zarejestrować się jako podmiot KSC?
Podmioty spełniające kryteria KSC w dniu wejścia w życie ustawy (3 kwietnia 2026 r.) muszą zarejestrować się do 3 października 2026 r. Podmioty, które spełnią kryteria po tej dacie, mają 6 miesięcy od dnia spełnienia kryteriów. Po rejestracji należy w ciągu 12 miesięcy wdrożyć SZBI. Środki bezpieczeństwa z art. 8 KSC muszą być wdrożone przez wszystkich zarejestrowanych do 3 kwietnia 2027 r.
Jakie kary grożą MŚP za nieprzestrzeganie KSC?
Kary są identyczne jak dla dużych podmiotów — ustawa nie różnicuje ich według wielkości firmy. Podmiot kluczowy może zostać ukarany do 10 mln EUR lub 2% rocznych przychodów z działalności globalnej (wyższa kwota). Podmiot ważny — do 7 mln EUR lub 1,4% przychodów. Kary dotyczą m.in. braku rejestracji, braku SZBI, niedokonania zgłoszenia incydentu poważnego lub braku wymaganych środków bezpieczeństwa.
Czy startup SaaS podlega KSC?
To zależy od charakteru usługi. Startup SaaS świadczący usługi chmury obliczeniowej (IaaS, PaaS lub SaaS rozumiane jako platforma/infrastruktura dla zewnętrznych klientów) podlega KSC niezależnie od wielkości — ze względu na wyjątek ICT. Startup SaaS oferujący oprogramowanie biznesowe (np. CRM, ERP) nieświadczący infrastrukturalnych usług chmury — co do zasady nie podlega, chyba że przekracza progi wielkości lub jego usługa mieści się w innej kategorii z wyjątku ICT. W razie wątpliwości rekomendowana jest analiza prawna.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.