Klasyfikacja8 min czytania

Podmiot kluczowy vs ważny w KSC / NIS 2 — sprawdź status

Definicje ustawowe

Ustawa o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2026 r. poz. 20 i 252 ze zm.) wyodrębnia dwie podstawowe kategorie podmiotów: podmioty kluczowe oraz podmioty ważne. Podział ten odzwierciedla transpozycję dyrektywy NIS 2 do polskiego porządku prawnego i determinuje zakres obowiązków nakładanych na daną organizację.

Nie masz pewności, czy Twoja organizacja w ogóle podlega ustawie? Zacznij od artykułu pillar „Czy podlegam pod KSC?\" — 3 kroki samoidentyfikacji w 5 minut. Tutaj pogłębiamy wyłącznie różnicę między PK a PW oraz konsekwencje przypisanego statusu.
CechaPodmiot kluczowyPodmiot ważny
SektoryEnergetyka, transport, ochrona zdrowia, zaopatrzenie w wodę, infrastruktura cyfrowa, bankowość, rynek finansowy, przestrzeń kosmiczna, zarządzanie usługami ICTDostawcy usług cyfrowych, administracja publiczna, jednostki badawcze, gospodarowanie odpadami, produkcja, poczta i kurierzy, przemysł chemiczny, przemysł spożywczy
NadzórProaktywny — organy właściwe prowadzą kontrole z urzęduReaktywny — kontrola po wystąpieniu incydentu lub na podstawie informacji
Maksymalna karaDo 10 mln EUR lub 2% rocznych przychodów z działalności gospodarczejDo 7 mln EUR lub 1,4% rocznych przychodów z działalności gospodarczej

Progi klasyfikacji

O zakwalifikowaniu jako podmiot kluczowy decyduje łączne spełnienie dwóch warunków: prowadzenie działalności w sektorze uznanym za kluczowy (załącznik nr 1) oraz przekroczenie progu wielkościowego dla dużego przedsiębiorstwa. Podmiot kluczowy to duży przedsiębiorca z załącznika nr 1, tj. przekraczający wymogi dla średniego przedsiębiorstwa (art. 5 ust. 1 pkt 1). Podmiot ważny to średni przedsiębiorca z załącznika nr 1 lub średni/duży z załącznika nr 2 (art. 5 ust. 2 pkt 1-2). Przedsiębiorcy komunikacji elektronicznej średni i duzi są kluczowi, a mikro i mali — ważni (art. 5 ust. 1 pkt 2, ust. 2 pkt 4).

KryteriumDuży przedsiębiorca (→ PK z zał. 1)Średni przedsiębiorca (→ PW z zał. 1 lub PW z zał. 2)
Liczba pracowników≥ 25050–249
Roczny obrót> 50 mln EUR≤ 50 mln EUR
Suma bilansowa> 43 mln EUR≤ 43 mln EUR
Jak czytać tabelę. Zgodnie z załącznikiem I rozporządzenia 651/2014/UE średni przedsiębiorca to podmiot zatrudniający mniej niż 250 osób oraz (równocześnie) mający obrót ≤ 50 mln EUR lub sumę bilansową ≤ 43 mln EUR. Duży — zatrudnienie ≥ 250 osób (wystarczające samo w sobie) lub oba progi finansowe łącznie (obrót > 50 mln EUR oraz bilans > 43 mln EUR). Aby być dużym wyłącznie na podstawie finansowych progów, oba muszą być przekroczone jednocześnie. Dodatkowo obowiązuje zasada jedynego przedsiębiorstwa — przy kwalifikacji liczymy dane podmiotów powiązanych i partnerskich.
Niektóre podmioty mogą zostać uznane za kluczowe niezależnie od wielkości (art. 5 ust. 1 pkt 4) — dotyczy to m.in. dostawców usług DNS, rejestrów nazw domen TLD, kwalifikowanych dostawców usług zaufania, podmiotów krytycznych (CER), operatorów obiektów energetyki jądrowej oraz podmiotów świadczących usługi rejestracji nazw domen. Ponadto dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa są podmiotami kluczowymi już od poziomu małego przedsiębiorcy (art. 5 ust. 1 pkt 3).

Obowiązek samoidentyfikacji

Ustawa nakłada na podmioty obowiązek samoidentyfikacji. Oznacza to, że każda organizacja musi samodzielnie ocenić, czy spełnia kryteria klasyfikacji — pomocny w tym będzie nasz przewodnik „Czy podlegam pod KSC?\". Wynik tej analizy determinuje konieczność rejestracji w wykazie podmiotów kluczowych i ważnych prowadzonym przez ministra właściwego do spraw informatyzacji.

Termin na zgłoszenie do wykazu dla nowych podmiotów wynosi 6 miesięcy od momentu spełnienia kryteriów klasyfikacji (art. 7c ust. 1 KSC). Dla podmiotów istniejących w dniu wejścia w życie ustawy (3 kwietnia 2026 r.) termin pierwszego wpisu wynika z harmonogramu Ministra Cyfryzacji ogłaszanego w komunikacie na podstawie art. 34 ust. 3 ustawy nowelizującej (Dz.U. 2026 poz. 252). Niedopełnienie tego obowiązku podlega karze pieniężnej.

Konsekwencje przypisania statusu

  1. Podmiot kluczowy podlega proaktywnemu nadzorowi organu właściwego, w tym kontrolom planowym i doraźnym.
  2. Podmiot ważny podlega nadzorowi reaktywnemu — organ właściwy podejmuje działania po uzyskaniu informacji o naruszeniu.
  3. Oba typy podmiotów muszą wdrożyć system zarządzania bezpieczeństwem informacji i raportować incydenty poważne.
  4. Podmioty kluczowe mają obowiązek poddania się audytowi bezpieczeństwa co najmniej raz na 3 lata (art. 15 ust. 1 ustawy o KSC).
FAQ4 pytania

Najczęstsze pytania

Jaka jest różnica między podmiotem kluczowym a ważnym w KSC?
Obowiązki techniczne są identyczne (art. 8 KSC: SZBI, raportowanie, zarządzanie ryzykiem). Różnice: (1) tryb nadzoru — kluczowy podlega nadzorowi ex-ante (kontrole z urzędu), ważny — ex-post (po incydencie); (2) maksymalna kara — 10 mln EUR lub 2% przychodów dla kluczowego, 7 mln EUR lub 1,4% dla ważnego; (3) obowiązkowy audyt co 3 lata dla kluczowego (art. 15 ust. 1), dla ważnego — tylko na żądanie organu.
Jak sprawdzić czy firma jest podmiotem kluczowym w KSC?
Trzy kroki: (1) ustal sektor działalności — zał. nr 1 (kluczowe: energetyka, transport, zdrowie, woda, ICT, finanse, kosmos) lub zał. nr 2 (ważne: cyfrowe, administracja, odpady, produkcja, poczta, chemia, żywność); (2) zweryfikuj wielkość — duży (≥250 prac. lub (obrót > 50 mln EUR oraz bilans > 43 mln EUR)) vs średni (50-249 prac.); (3) sprawdź wyjątki (art. 5 ust. 1 pkt 3-4) — DNS, MSSP, CER, kwalifikowany dostawca usług zaufania są kluczowi niezależnie od wielkości.
Czy mała firma może być podmiotem kluczowym w KSC?
Tak, w czterech przypadkach niezależnie od wielkości: (1) dostawca usług DNS lub rejestru TLD, (2) kwalifikowany dostawca usług zaufania, (3) dostawca usług zarządzanych cyberbezpieczeństwa (MSSP) — już od małego przedsiębiorcy, (4) podmiot krytyczny CER lub operator energetyki jądrowej. Podstawa: art. 5 ust. 1 pkt 3-4 KSC.
Jaki obrót kwalifikuje jako duży przedsiębiorca w KSC?
Duży przedsiębiorca to podmiot, który nie spełnia kryteriów średniego (art. 2 ust. 1 zał. I rozp. 651/2014/UE): zatrudnia ≥ 250 osób LUB jednocześnie ma obrót > 50 mln EUR ORAZ sumę bilansową > 43 mln EUR. Sam próg zatrudnienia ≥ 250 wystarcza; jeśli zatrudnienie jest niższe, „duży" jest tylko ten, kto przekracza obydwa progi finansowe łącznie (obrót i bilans). Przy kwalifikacji stosujemy zasadę jedynego przedsiębiorstwa — liczymy dane podmiotów powiązanych i partnerskich.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.