Klasyfikacja5 min czytania

Niezależność systemów informacyjnych — kiedy nie podlegasz KSC mimo przekroczenia progów

Zasada niezależności systemów

Art. 5 ust. 6 i 7 ustawy o KSC wprowadza istotny wyjątek od zasady klasyfikacji na podstawie progów wielkościowych. Jeżeli podmiot spełnia wymogi do uznania za podmiot kluczowy lub ważny wyłącznie dlatego, że przekracza kryteria wielkościowe po uwzględnieniu przedsiębiorstw powiązanych lub partnerskich, ale jego system informacyjny jest niezależny od systemów tych przedsiębiorstw lub nie świadczy on usług wspólnie z nimi — nie jest podmiotem kluczowym ani ważnym.

Wyjątek ten ma na celu uniknięcie sytuacji, w której mały podmiot z niezależną infrastrukturą IT zostaje objęty obowiązkami KSC wyłącznie dlatego, że wchodzi w skład dużej grupy kapitałowej. Q&A Ministerstwa Cyfryzacji (pkt 1.6) potwierdza tę interpretację.

Warunki wyłączenia

Aby wyłączenie miało zastosowanie, musi być spełniony co najmniej jeden z dwóch warunków:

  1. System informacyjny podmiotu jest niezależny od systemów informacyjnych jego przedsiębiorstw powiązanych lub partnerskich — tj. do świadczenia usług przez podmiot nie jest konieczne działanie podmiotu powiązanego czy partnerskiego, a systemy mogą być zastąpione w akceptowalnym czasie i kosztach.
  2. Podmiot nie świadczy usług wspólnie z przedsiębiorstwami powiązanymi lub partnerskimi — tj. podmioty nie dzielą między sobą zakresu obowiązków związanych z tą samą usługą podlegającą KSC.

Jak udokumentować niezależność

Jeżeli podmiot powołuje się na wyjątek niezależności systemów, powinien należycie udokumentować tę okoliczność. W przypadku kontroli organu właściwego trzeba będzie wykazać, że systemy informacyjne są faktycznie niezależne.

  1. Przygotuj dokumentację techniczną potwierdzającą odrębność infrastruktury IT.
  2. Opisz brak zależności operacyjnych od systemów przedsiębiorstw powiązanych.
  3. Udokumentuj, że usługi objęte KSC nie są świadczone wspólnie z grupą kapitałową.
  4. Zachowaj dokumentację na wypadek czynności sprawdzających organu właściwego (art. 7k).
Wyjątek dotyczy wyłącznie sytuacji, gdy przekroczenie progów wynika z uwzględnienia przedsiębiorstw powiązanych/partnerskich (art. 5 ust. 3, art. 6 ust. 2–4 załącznika I do rozporządzenia 651/2014/UE). Jeżeli podmiot samodzielnie przekracza progi — wyjątek nie ma zastosowania.
Spis treści
Zasada niezależności systemów
Warunki wyłączenia
Jak udokumentować niezależność
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. podmiot ważny — jak ustalić swój status?WdrożenieSystem zarządzania bezpieczeństwem informacji wg Załącznika nr 4KaryKary finansowe w znowelizowanej ustawie o KSCIncydentyRaportowanie incydentów — terminy, formularze i proceduryAudytAudyt bezpieczeństwa — kto, kiedy i jak go przeprowadzić?ZarządzanieOdpowiedzialność kierownika podmiotu — co musisz wiedziećWykazRejestracja w wykazie podmiotów kluczowych i ważnych — procedura i system S46Łańcuch dostawZarządzanie bezpieczeństwem łańcucha dostaw według KSCDostawcyDostawca wysokiego ryzyka — procedura uznania i obowiązki podmiotów KSCNadzórNadzór nad podmiotami KSC — tryb ex ante i ex postTerminyKalendarz wdrożenia KSC 2026–2028 — kluczowe daty dla podmiotówSektor finansowyRelacja KSC i rozporządzenia DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — wymóg art. 8f ustawy o KSCWspółpracaWymiana informacji o cyberbezpieczeństwie między podmiotami KSC
ksc.EXPERTIdealdata Sp. z o.o. · Chwaszczyno k. Gdańska
© 2026 Idealdata Sp. z o.o.Informacje mają charakter informacyjny i nie stanowią opinii prawnej.
🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.