Klasyfikacja8 min czytania

Podmiot kluczowy vs. podmiot ważny — jak ustalić swój status?

Definicje ustawowe

Ustawa o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 20) wyodrębnia dwie podstawowe kategorie podmiotów: podmioty kluczowe oraz podmioty ważne. Podział ten odzwierciedla transpozycję dyrektywy NIS 2 do polskiego porządku prawnego i determinuje zakres obowiązków nakładanych na daną organizację.

CechaPodmiot kluczowyPodmiot ważny
SektoryEnergetyka, transport, ochrona zdrowia, zaopatrzenie w wodę, infrastruktura cyfrowa, bankowość, rynek finansowy, przestrzeń kosmiczna, zarządzanie usługami ICTDostawcy usług cyfrowych, administracja publiczna, jednostki badawcze, gospodarowanie odpadami, produkcja, poczta i kurierzy, przemysł chemiczny, przemysł spożywczy
NadzórProaktywny — organy właściwe prowadzą kontrole z urzęduReaktywny — kontrola po wystąpieniu incydentu lub na podstawie informacji
Maksymalna karaDo 10 mln EUR lub 2% rocznych przychodów z działalności gospodarczejDo 7 mln EUR lub 1,4% rocznych przychodów z działalności gospodarczej

Progi klasyfikacji

O zakwalifikowaniu jako podmiot kluczowy decyduje łączne spełnienie dwóch warunków: prowadzenie działalności w sektorze uznanym za kluczowy (załącznik nr 1) oraz przekroczenie progu wielkościowego dla dużego przedsiębiorstwa. Podmiot kluczowy to duży przedsiębiorca z załącznika nr 1, tj. przekraczający wymogi dla średniego przedsiębiorstwa (art. 5 ust. 1 pkt 1). Podmiot ważny to średni przedsiębiorca z załącznika nr 1 lub średni/duży z załącznika nr 2 (art. 5 ust. 2 pkt 1-2). Przedsiębiorcy komunikacji elektronicznej średni i duzi są kluczowi, a mikro i mali — ważni (art. 5 ust. 1 pkt 2, ust. 2 pkt 4).

KryteriumDuży przedsiębiorca (→ PK z zał. 1)Średni przedsiębiorca (→ PW z zał. 1 lub PK/PW z zał. 2)
Liczba pracowników≥ 25050–249
Roczny obrót> 50 mln EUR10–50 mln EUR
Suma bilansowa> 43 mln EUR10–43 mln EUR
Niektóre podmioty mogą zostać uznane za kluczowe niezależnie od wielkości (art. 5 ust. 1 pkt 4) — dotyczy to m.in. dostawców usług DNS, rejestrów nazw domen TLD, kwalifikowanych dostawców usług zaufania, podmiotów krytycznych (CER), operatorów obiektów energetyki jądrowej oraz podmiotów świadczących usługi rejestracji nazw domen. Ponadto dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa są podmiotami kluczowymi już od poziomu małego przedsiębiorcy (art. 5 ust. 1 pkt 3).

Obowiązek samoidentyfikacji

Ustawa nakłada na podmioty obowiązek samoidentyfikacji. Oznacza to, że każda organizacja musi samodzielnie ocenić, czy spełnia kryteria klasyfikacji jako podmiot kluczowy lub ważny. Wynik tej analizy determinuje konieczność rejestracji w wykazie podmiotów kluczowych i ważnych prowadzonym przez ministra właściwego do spraw informatyzacji.

Termin na zgłoszenie do wykazu wynosi 6 miesięcy od momentu spełnienia kryteriów klasyfikacji. Podmioty istniejące w dniu wejścia w życie ustawy (3 kwietnia 2026 r.) muszą zarejestrować się do 3 października 2026 r. Niedopełnienie tego obowiązku podlega karze pieniężnej.

Konsekwencje przypisania statusu

  1. Podmiot kluczowy podlega proaktywnemu nadzorowi organu właściwego, w tym kontrolom planowym i doraźnym.
  2. Podmiot ważny podlega nadzorowi reaktywnemu — organ właściwy podejmuje działania po uzyskaniu informacji o naruszeniu.
  3. Oba typy podmiotów muszą wdrożyć system zarządzania bezpieczeństwem informacji i raportować incydenty poważne.
  4. Podmioty kluczowe mają obowiązek poddania się audytowi bezpieczeństwa co najmniej raz na 3 lata (art. 15 ust. 1 ustawy o KSC).
Spis treści
Definicje ustawowe
Progi klasyfikacji
Obowiązek samoidentyfikacji
Konsekwencje przypisania statusu
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
WdrożenieSystem zarządzania bezpieczeństwem informacji wg Załącznika nr 4KaryKary finansowe w znowelizowanej ustawie o KSCIncydentyRaportowanie incydentów — terminy, formularze i proceduryAudytAudyt bezpieczeństwa — kto, kiedy i jak go przeprowadzić?ZarządzanieOdpowiedzialność kierownika podmiotu — co musisz wiedziećWykazRejestracja w wykazie podmiotów kluczowych i ważnych — procedura i system S46Łańcuch dostawZarządzanie bezpieczeństwem łańcucha dostaw według KSCDostawcyDostawca wysokiego ryzyka — procedura uznania i obowiązki podmiotów KSCNadzórNadzór nad podmiotami KSC — tryb ex ante i ex postTerminyKalendarz wdrożenia KSC 2026–2028 — kluczowe daty dla podmiotówSektor finansowyRelacja KSC i rozporządzenia DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — wymóg art. 8f ustawy o KSCWspółpracaWymiana informacji o cyberbezpieczeństwie między podmiotami KSCKlasyfikacjaNiezależność systemów informacyjnych — kiedy nie podlegasz KSC mimo przekroczenia progów
ksc.EXPERTIdealdata Sp. z o.o. · Chwaszczyno k. Gdańska
© 2026 Idealdata Sp. z o.o.Informacje mają charakter informacyjny i nie stanowią opinii prawnej.
🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.