Jak sprawdzić, czy moja firma jest podmiotem ważnym w rozumieniu ustawy o KSC?

Należy sprawdzić dwa warunki łącznie. Po pierwsze, czy firma prowadzi działalność w co najmniej jednym sektorze wymienionym w Załączniku 2 do ustawy o KSC (m.in. produkcja przemysłowa, usługi IT managed, gospodarka odpadami, poczta i kurierzy, przemysł chemiczny lub spożywczy, badania naukowe). Po drugie, czy firma spełnia kryteria co najmniej średniego przedsiębiorcy — zatrudnia od 50 do 249 pracowników i osiąga obrót do 50 mln EUR, albo jest dużym przedsiębiorcą z co najmniej 250 pracownikami lub obrotem powyżej 50 mln EUR. Pamiętaj o zasadzie jedynego przedsiębiorstwa: jeśli firma jest powiązana kapitałowo z innymi podmiotami (ponad 25% udziałów), sumuje się pracowników i przychody wszystkich powiązanych spółek.

Czym nadzór reaktywny różni się od proaktywnego i co to oznacza w praktyce dla podmiotu ważnego?

Nadzór proaktywny (stosowany wobec podmiotów kluczowych) oznacza, że organ właściwy przeprowadza regularne kontrole z własnej inicjatywy, bez konieczności zaistnienia konkretnego zdarzenia. Nadzór reaktywny wobec podmiotów ważnych oznacza, że organ wszczyna kontrolę wyłącznie po incydencie, sygnale o naruszeniu lub skardze. W praktyce podmiot ważny może przez lata nie mieć żadnej kontroli — ale wszystkie obowiązki materialne (SZBI, raportowanie incydentów, szkolenia) i tak muszą być realizowane. W razie incydentu lub skargi organ może zażądać natychmiastowego dostępu do dokumentacji, a jej brak będzie podstawą do nałożenia kary.

Czy podmiot ważny musi przeprowadzać obowiązkowe audyty bezpieczeństwa co 2 lata?

Nie — obowiązek regularnego audytu bezpieczeństwa co 2 lata (art. 15 ustawy) dotyczy wyłącznie podmiotów kluczowych. Podmiot ważny nie ma ustawowego obowiązku cyklicznego audytu. Jednak organ właściwy może nakazać przeprowadzenie audytu w ramach czynności nadzorczych po wszczęciu kontroli reaktywnej. Przeprowadzenie dobrowolnego audytu wewnętrznego lub zewnętrznego jest rekomendowane jako element dobrego zarządzania ryzykiem i dowód staranności na wypadek kontroli.

Jakie są konsekwencje dla prezesa lub dyrektora zarządzającego podmiotu ważnego za niedopełnienie obowiązków KSC?

Art. 8c ustawy nakłada na kierownika podmiotu osobistą odpowiedzialność za zatwierdzanie środków zarządzania ryzykiem cyberbezpieczeństwa i nadzorowanie ich wdrożenia. Odpowiedzialności tej nie można cedować na inne osoby ani na zewnętrznych doradców. Na podstawie art. 73a organ właściwy może nałożyć na kierownika podmiotu ważnego karę pieniężną do 100% jego rocznego wynagrodzenia. Kara ta jest niezależna od kary nałożonej na sam podmiot i ma charakter administracyjny.

Do kiedy podmiot ważny musi wdrożyć pełny SZBI i co grozi za niedotrzymanie terminu?

Pełne wdrożenie SZBI obejmującego 14 obszarów wymienionych w art. 8 ust. 1 ustawy musi nastąpić do 3 kwietnia 2027 roku. Za brak wdrożenia lub wdrożenie niekompletne grozi kara administracyjna do 7 mln EUR lub 1,4% całkowitego rocznego obrotu (wyższa z kwot), a dodatkowo osobista kara dla kierownika podmiotu. Warto rozpocząć analizę luki (gap analysis) jak najwcześniej — przed terminem rejestracji w październiku 2026 roku.

Jak wygląda procedura raportowania incydentu poważnego przez podmiot ważny?

Procedura jest trójstopniowa (art. 11 ustawy). W ciągu 24 godzin od wykrycia incydentu podmiot musi wysłać wczesne ostrzeżenie do właściwego CSIRT. W ciągu 72 godzin należy przekazać pełne zgłoszenie incydentu z wstępną oceną skutków i podjętych działań. W ciągu 1 miesiąca od zgłoszenia podmiot składa raport końcowy zawierający szczegółową analizę przyczyn, przebiegu, skutków i wdrożonych środków naprawczych.

Klasyfikacja9 min czytaniaOpublikowano: 23 kwietnia 2026

Podmiot ważny KSC — obowiązki i reżim nadzoru

Kim jest podmiot ważny?

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (Dz.U. 2026 poz. 20), wdrażająca dyrektywę NIS2, wprowadza dwustopniowy podział podmiotów objętych regulacją: podmiot kluczowy (PK) i podmiot ważny (PW). Podmiot ważny to co do zasady średni lub duży przedsiębiorca prowadzący działalność w jednym z sektorów wymienionych w Załączniku 2 do ustawy. Prywatne firmy, które spełniają kryteria wielkościowe i sektorowe, stają się podmiotami ważnymi z mocy prawa — bez decyzji administracyjnej, automatycznie z chwilą wejścia w życie przepisów lub przekroczenia progów.

Kluczowa różnica między podmiotem kluczowym a podmiotem ważnym dotyczy intensywności nadzoru, a nie zakresu obowiązków materialnych. Oba typy podmiotów muszą wdrożyć System Zarządzania Bezpieczeństwem Informacji (SZBI), raportować poważne incydenty i wyznaczyć osoby kontaktowe. Jednak podmiot ważny podlega nadzorowi reaktywnemu — organ właściwy wszczyna czynności kontrolne dopiero wtedy, gdy zaistnieje konkretna przesłanka, np. incydent lub wiarygodna informacja o naruszeniu przepisów.

Cecha	Podmiot kluczowy (PK)	Podmiot ważny (PW)
Podstawa zaliczenia	Załącznik 1 do ustawy KSC	Załącznik 2 do ustawy KSC
Typ nadzoru	Proaktywny (regularne kontrole z urzędu)	Reaktywny (tylko po incydencie lub sygnale)
Obowiązek audytu bezpieczeństwa	Co 2 lata (art. 15)	Brak regularnego obowiązku; możliwy po kontroli
Kara administracyjna (max)	Do 10 mln EUR lub 2% obrotu	Do 7 mln EUR lub 1,4% obrotu (art. 73 ust. 4)
Odpowiedzialność kierownika	Do 300% rocznego wynagrodzenia (art. 73a)	Do 100% rocznego wynagrodzenia (art. 73a)
Obowiązek SZBI (14 obszarów)	Tak (art. 8 ust. 1)	Tak (art. 8 ust. 1)
Raportowanie incydentów	24h / 72h / 1 miesiąc	24h / 72h / 1 miesiąc
Szkolenie kierownika	Roczne (art. 8e)	Roczne (art. 8e)

Progi wielkościowe i sektory

Zaliczenie do grona podmiotów ważnych wymaga spełnienia dwóch warunków łącznie: kryterium sektorowego (działalność w sektorze z Załącznika 2) oraz kryterium wielkościowego (co najmniej przedsiębiorca średni). Ustawa odwołuje się do definicji z rozporządzenia Komisji (UE) nr 651/2014 i jego Aneksu I.

Kategoria	Pracownicy	Roczny obrót	Suma bilansowa
Duży przedsiębiorca	250 lub więcej	powyżej 50 mln EUR	powyżej 43 mln EUR
Średni przedsiębiorca	Od 50 do 249	do 50 mln EUR włącznie	do 43 mln EUR włącznie
Mały przedsiębiorca (poniżej progu)	Poniżej 50	do 10 mln EUR	do 10 mln EUR

Zasada jedynego przedsiębiorstwa (rozporządzenie 651/2014/UE, Aneks I): przy ustalaniu wielkości przedsiębiorcy sumuje się pracowników oraz przychody wszystkich podmiotów powiązanych kapitałowo — czyli takich, w których dany podmiot posiada bezpośrednio lub pośrednio ponad 25% udziałów lub głosów. Spółka zatrudniająca 80 osób, której udziałowiec posiada kolejne 200 pracowników w innej spółce, może zostać zakwalifikowana jako duży przedsiębiorca. Weryfikacja struktury właścicielskiej jest krokiem obowiązkowym przed oceną klasyfikacji KSC.

Sektor (Załącznik 2)	Przykłady firm prywatnych
Gospodarowanie odpadami	Zakłady recyklingu, firmy utylizacji odpadów przemysłowych, sortownie
Produkcja wyrobów metalowych	Producenci konstrukcji stalowych, narzędzi, elementów maszyn
Produkcja wyrobów elektrycznych i elektronicznych	Producenci sprzętu AGD, podzespołów elektronicznych, oświetlenia
Produkcja chemiczna	Zakłady chemii przemysłowej, producenci farb, tworzyw sztucznych
Przemysł spożywczy	Duże zakłady przetwórstwa mięsa, mleczarnie, browary, cukrownie
Dostawcy usług cyfrowych (managed services, hosting)	Firmy IT świadczące usługi zarządzane, dostawcy chmury, centra danych
Poczta i usługi kurierskie	Operatorzy pocztowi, firmy kurierskie i logistyczne
Badania naukowe	Laboratoria komercyjne, centra R&D, instytuty badawcze

Obowiązki podmiotu ważnego

Zakres obowiązków materialnych podmiotu ważnego jest tożsamy z obowiązkami podmiotu kluczowego — różnica dotyczy wyłącznie nadzoru. Centralnym elementem jest wdrożenie i utrzymanie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) obejmującego 14 obszarów wymienionych w art. 8 ust. 1 ustawy (litery a–n). System musi być dostosowany do profilu ryzyka podmiotu, wyników analizy ryzyka oraz specyfiki sektora.

Litera	Obszar SZBI (art. 8 ust. 1)	Przykład wymagania
a	Analiza ryzyka i polityki bezpieczeństwa informacji	Regularna identyfikacja i ocena ryzyk cybernetycznych
b	Obsługa incydentów	Procedury wykrywania, reagowania i zgłaszania incydentów
c	Ciągłość działania i zarządzanie kryzysowe	Plan ciągłości działania, kopie zapasowe, przywracanie systemów
d	Bezpieczeństwo łańcucha dostaw	Wymagania bezpieczeństwa wobec dostawców i podwykonawców IT
e	Bezpieczeństwo w zakupach, rozwoju i utrzymaniu systemów	Security by design, testy bezpieczeństwa aplikacji
f	Zarządzanie podatnościami i ujawnianie informacji	Skanowanie podatności, patch management, CVE monitoring
g	Ocena skuteczności środków zarządzania ryzykiem	Wskaźniki KPI, audyty wewnętrzne, przeglądy zarządu
h	Cyberhigiena i szkolenia z cyberbezpieczeństwa	Szkolenia pracowników, polityki haseł, MFA
i	Kryptografia i szyfrowanie	Polityka kryptograficzna, szyfrowanie danych w spoczynku i transporcie
j	Bezpieczeństwo zasobów ludzkich i kontrola dostępu	Onboarding/offboarding, zasada najmniejszych uprawnień
k	Uwierzytelnianie wieloskładnikowe i bezpieczna komunikacja	MFA dla systemów krytycznych, szyfrowane kanały komunikacji
l	Bezpieczeństwo fizyczne i środowiskowe	Kontrola dostępu do serwerowni, ochrona przed klęskami żywiołowymi
m	Bezpieczeństwo sieci	Segmentacja sieci, firewalle, monitoring ruchu sieciowego
n	Zarządzanie aktywami	Inwentaryzacja sprzętu i oprogramowania, zarządzanie cyklem życia

Odpowiedzialność osobista kierownika podmiotu (art. 8c): członkowie zarządu, dyrektorzy generalni i inne osoby sprawujące najwyższe funkcje kierownicze w podmiocie ważnym nie mogą delegować odpowiedzialności prawnej za cyberbezpieczeństwo. Ustawa expressis verbis nakłada obowiązek zatwierdzania środków zarządzania ryzykiem przez kierownika podmiotu oraz nadzorowania ich wdrożenia. Niedopełnienie może skutkować karą do 100% rocznego wynagrodzenia kierownika (art. 73a), niezależnie od kary nałożonej na podmiot.

Poza wdrożeniem SZBI podmiot ważny jest zobowiązany do: wyznaczenia co najmniej 2 osób kontaktowych ds. cyberbezpieczeństwa (art. 9), rejestracji w wykazie prowadzonym przez organ właściwy (art. 7c) w terminie do 3.10.2026, raportowania poważnych incydentów zgodnie z procedurą trójstopniową (art. 11), przeprowadzenia corocznego udokumentowanego szkolenia z cyberbezpieczeństwa dla kierownika podmiotu (art. 8e) oraz weryfikacji niekaralności kluczowego personelu odpowiedzialnego za SZBI (art. 8f).

Nadzór reaktywny — jak działa w praktyce?

Nadzór reaktywny oznacza, że organ właściwy — ministerstwo branżowe lub inny organ wskazany w ustawie — nie przeprowadza regularnych kontroli podmiotów ważnych z własnej inicjatywy. Kontrola wobec podmiotu ważnego może zostać wszczęta wyłącznie po zaistnieniu jednej z ustawowych przesłanek: poważnego incydentu cyberbezpieczeństwa zgłoszonego przez podmiot lub wykrytego przez CERT, wiarygodnej informacji wskazującej na naruszenie przepisów, skargi złożonej przez inny podmiot lub obywatela.

W praktyce oznacza to, że firmy prowadzące działalność rzetelnie i niereportujące incydentów mogą przez lata nie mieć żadnego bezpośredniego kontaktu z organem nadzorczym. Nie zmienia to jednak faktu, że obowiązki materialne istnieją od chwili wejścia w życie przepisów i muszą być realizowane niezależnie od aktywności nadzorczej. Organ może w każdej chwili zażądać dowodów wdrożenia SZBI — brak dokumentacji będzie traktowany jako naruszenie.

W toku czynności nadzorczych organ właściwy może: żądać dokumentacji i wyjaśnień, przeprowadzać audyty bezpieczeństwa na koszt podmiotu, wydawać zalecenia pokontrolne z terminem realizacji, a w przypadku stwierdzenia poważnych naruszeń — wszczynać postępowanie administracyjne prowadzące do nałożenia kary. Po zakończeniu kontroli podmiot ważny może zostać objęty intensywniejszym nadzorem lub zobowiązany do cyklicznego raportowania przez określony czas.

Sankcje i kary

System sankcji dla podmiotów ważnych obejmuje zarówno odpowiedzialność samego podmiotu, jak i osobistą odpowiedzialność jego kierownika. Ustawa przyjmuje zasadę, że wymierzana jest wyższa z dwóch kwot progowych — bezwzględna kwota w EUR lub procent rocznego obrotu. Sankcje mają charakter administracyjny i są nakładane przez organ właściwy w drodze decyzji.

Podstawa prawna	Adresat	Maksymalna kara	Uwagi
Art. 73 ust. 4	Podmiot ważny (osoba prawna / przedsiębiorca)	7 mln EUR lub 1,4% całkowitego rocznego obrotu (wyższa kwota)	Dotyczy naruszeń obowiązków z rozdziału 3 ustawy
Art. 73a	Kierownik podmiotu ważnego (osoba fizyczna)	Do 100% rocznego wynagrodzenia kierownika	Odpowiedzialność osobista, niezależna od kary dla podmiotu

Przy ustalaniu wysokości kary organ właściwy bierze pod uwagę wagę naruszenia, czas jego trwania, umyślność lub nieumyślność, podjęte działania naprawcze, wcześniejszą historię naruszeń oraz potencjalne szkody dla użytkowników i infrastruktury. Kara może być połączona z nakazem usunięcia naruszenia w określonym terminie lub tymczasowym zakazem pełnienia funkcji kierowniczej.

Terminy i harmonogram

Ustawa przewiduje stopniowe wchodzenie w życie poszczególnych obowiązków. Podmioty ważne mają czas na przygotowanie się do pełnej zgodności, jednak pierwsze terminy wymagają działania już w 2026 roku.

Termin	Obowiązek	Podstawa prawna
3.04.2026	Wejście w życie znowelizowanej ustawy o KSC	Dz.U. 2026 poz. 20
3.10.2026	Rejestracja podmiotu ważnego w wykazie organu właściwego	Art. 7c ustawy o KSC
3.10.2026	Wyznaczenie co najmniej 2 osób kontaktowych ds. cyberbezpieczeństwa	Art. 9 ustawy o KSC
3.04.2027	Pełne wdrożenie SZBI (14 obszarów art. 8 ust. 1) i pozostałych obowiązków rozdziału 3	Rozdział 3 ustawy o KSC
3.04.2027	Pierwsze roczne szkolenie kierownika z cyberbezpieczeństwa	Art. 8e ustawy o KSC
3.04.2027	Weryfikacja niekaralności kluczowego personelu SZBI	Art. 8f ustawy o KSC
3.04.2028	Audyt bezpieczeństwa co 2 lata — wyłącznie podmioty kluczowe	Art. 15 ustawy o KSC
Od 3.04.2026 ciągły	Raportowanie poważnych incydentów (24h / 72h / 1 miesiąc)	Art. 11 ustawy o KSC

Rejestracja (art. 7c) jest obowiązkiem formalnym, ale też pierwszym momentem kontaktu z organem właściwym. Warto potraktować termin 3.10.2026 nie tylko jako deadline administracyjny, lecz jako punkt startowy projektu compliance — rejestracja powinna być poprzedzona analizą luki (gap analysis), co pozwoli zaplanować działania na czas do 3.04.2027.

Spis treści

Kim jest podmiot ważny?Progi wielkościowe i sektory Obowiązki podmiotu ważnego Nadzór reaktywny — jak działa w praktyce?Sankcje i kary Terminy i harmonogram

Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły

KlasyfikacjaPodmiot kluczowy vs. ważny — sprawdź swój status KlasyfikacjaNiezależność systemów — wyłączenie z KSC KlasyfikacjaCzy podlegam pod KSC? Sprawdź w 5 minut WdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JST KaryKary finansowe w ustawie o KSC — ile wynoszą?