Żywność6 min czytania

Producent żywności a KSC — obowiązki 2026

Kiedy producent żywności podlega KSC

Sektor produkcji, przetwarzania i dystrybucji żywności został ujęty w załączniku nr 2 do ustawy o KSC — szczegóły znajdziesz na stronie sektor żywność w KSC, a kompleksową ścieżkę wdrożenia opisujemy w pakiecie KSC dla produkcji — wdrożenie NIS2 w przemyśle. Obejmuje on przedsiębiorstwa spożywcze w rozumieniu art. 3 pkt 2 rozporządzenia (WE) nr 178/2002, zajmujące się dystrybucją hurtową oraz przemysłową produkcją i przetwarzaniem. Oznacza to, że producent żywności podlega KSC, jeżeli prowadzi działalność na skalę przemysłową lub zajmuje się dystrybucją hurtową — i jednocześnie spełnia próg co najmniej średniego przedsiębiorcy (art. 5 ust. 2 pkt 2).

KryteriumWymaganie
SektorProdukcja, przetwarzanie i dystrybucja żywności (załącznik nr 2)
Rodzaj działalnościDystrybucja hurtowa lub produkcja i przetwarzanie przemysłowe
Wielkość przedsiębiorcyCo najmniej średni (50–249 pracowników; obrót do 50 mln EUR lub suma bilansowa do 43 mln EUR) lub duży przedsiębiorca — zgodnie z zał. I do rozp. 651/2014/UE
Status w KSCPodmiot ważny (PW) — załącznik nr 2, średni lub duży przedsiębiorca
Duży przedsiębiorca z załącznika nr 2 również jest podmiotem ważnym, nie kluczowym. Status podmiotu kluczowego przysługuje wyłącznie dużym przedsiębiorcom z załącznika nr 1 — sektor żywności znajduje się w załączniku nr 2.

Co NIE podlega

Nie każda firma z branży spożywczej podlega KSC. Ustawa obejmuje wyłącznie dystrybucję hurtową oraz produkcję i przetwarzanie przemysłowe. Wykluczone są zatem podmioty zajmujące się handlem detalicznym żywnością (sklepy spożywcze, sieci detaliczne) oraz małe podmioty rzemieślnicze nieprzekraczające progów wielkościowych.

  • Handel detaliczny żywnością — sklepy spożywcze, supermarkety, e-sklepy z żywnością
  • Małe piekarnie, lokalne cukiernie, zakłady rzemieślnicze — o ile nie przekraczają progów średniego przedsiębiorcy
  • Mikro i mali przedsiębiorcy (poniżej 50 pracowników oraz obrót lub suma bilansowa poniżej 10 mln EUR — definicja małego przedsiębiorcy z zał. I do rozp. 651/2014/UE) — nawet jeśli prowadzą dystrybucję hurtową
  • Gastronomia i catering — działalność restauracyjna nie jest produkcją przemysłową

Produkcja jako usługa w KSC

Kluczową kwestią interpretacyjną jest pojęcie usługi na gruncie ustawy o KSC. Zgodnie z Q&A Ministerstwa Cyfryzacji (pkt 13.7) usługę należy rozumieć szeroko — jako działalność gospodarczą służącą do zaspokajania potrzeb ludzi. W tym znaczeniu usługą jest również produkcja. Oznacza to, że producent żywności świadczy usługę w rozumieniu KSC, mimo że potocznie kojarzy się z wytwarzaniem towarów, a nie świadczeniem usług.

Szerokie rozumienie pojęcia usługi ma praktyczne konsekwencje: producent żywności musi identyfikować systemy informacyjne wykorzystywane do świadczenia tej usługi (tj. do produkcji) i objąć je systemem zarządzania bezpieczeństwem informacji. Dotyczy to systemów SCADA, MES, ERP i innych systemów OT/IT wspierających produkcję.

Obowiązki podmiotu ważnego

Producent żywności zakwalifikowany jako podmiot ważny musi spełnić pełen katalog obowiązków wynikających z ustawy o KSC w określonych terminach wdrożenia, analogicznie jak inne podmioty ważne. Różnica w stosunku do podmiotów kluczowych polega głównie na trybie nadzoru (reaktywny zamiast proaktywnego) oraz niższych karach.

  1. Rejestracja w wykazie podmiotów kluczowych i ważnych przez system S46 (dla nowych podmiotów: 6 miesięcy od spełnienia przesłanek — art. 7c ust. 1 KSC; dla podmiotów istniejących w dniu 3.04.2026: w terminach z komunikatu Ministra Cyfryzacji — art. 34 ust. 3 ustawy nowelizującej).
  2. Wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) zgodnego z art. 8 ustawy (do 12 miesięcy).
  3. Szacowanie ryzyka dla systemów informacyjnych wykorzystywanych do produkcji i dystrybucji.
  4. Raportowanie incydentów poważnych: wczesne ostrzeżenie 24h, zgłoszenie 72h, raport końcowy 1 miesiąc.
  5. Szkolenie kierownika podmiotu z zakresu cyberbezpieczeństwa (art. 8e).
  6. Przeprowadzenie audytu bezpieczeństwa na żądanie organu właściwego (art. 15 ust. 1b) — podmiot ważny nie ma obowiązku cyklicznego audytu co 3 lata.

HACCP a cyberbezpieczeństwo

Wielu producentów żywności posiada wdrożony system HACCP (Hazard Analysis and Critical Control Points) — obowiązkowy na gruncie prawa żywnościowego. HACCP koncentruje się na bezpieczeństwie żywności (zagrożenia biologiczne, chemiczne, fizyczne), podczas gdy SZBI wg KSC dotyczy bezpieczeństwa systemów informacyjnych. Oba systemy są komplementarne, ale nie zastępują się wzajemnie.

AspektHACCPSZBI (KSC)
CelBezpieczeństwo żywnościBezpieczeństwo systemów informacyjnych
ZakresZagrożenia biologiczne, chemiczne, fizyczneCyberzagrożenia, incydenty IT/OT
Podstawa prawnaRozporządzenie (WE) nr 852/2004Ustawa o KSC (t.j. Dz.U. z 2026 r. poz. 20 i 252)
Organ nadzoruSanepid (GIS)Organ właściwy ds. cyberbezpieczeństwa
DokumentacjaPlan HACCP, procedury GHP/GMPPolityki SZBI, szacowanie ryzyka, procedury incydentowe
W praktyce warto zintegrować oba systemy, szczególnie w obszarze analizy ryzyka. Systemy OT sterujące procesami produkcyjnymi (linie produkcyjne, systemy chłodnicze, magazynowe) mogą być punktem styku HACCP i SZBI — cyberatak na system sterujący temperaturą może mieć skutki zarówno dla cyberbezpieczeństwa, jak i bezpieczeństwa żywności.
FAQ4 pytania

Najczęstsze pytania

Czy producent żywności podlega KSC?
Tak — przemysł spożywczy znajduje się w załączniku nr 2 ustawy o KSC (produkcja, przetwarzanie i dystrybucja żywności). Oznacza to status podmiotu ważnego dla średnich (50–249 pracowników; obrót do 50 mln EUR lub suma bilansowa do 43 mln EUR — zał. I do rozp. 651/2014/UE) i dużych przedsiębiorców. Mikro i mali przedsiębiorcy co do zasady nie podlegają KSC — chyba że spełniają wyjątek szczególny (art. 5 ust. 1 pkt 4).
Jakie kary grożą producentowi żywności w KSC?
Jako podmiot ważny — do 7 mln EUR lub 1,4% rocznych przychodów z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary (art. 73 ust. 4 KSC), w zależności od tego, która kwota jest wyższa, nie mniej niż 15 000 zł. Osobno kara osobista na kierownika do 300% wynagrodzenia (art. 73a ust. 4 KSC); dla kierownika podmiotu publicznego — do 100% (art. 73a ust. 5).
Czy mleczarnia lub zakład mięsny podlegają KSC?
Tak, jeśli spełniają kryteria średniego lub dużego przedsiębiorcy: 50–249 pracowników (oraz obrót do 50 mln EUR lub suma bilansowa do 43 mln EUR — średni; albo wyższe wartości — duży) zgodnie z zał. I do rozp. 651/2014/UE. Zakłady mniejsze (mikro/mały) co do zasady nie podlegają. Każdy zakład oceniany jest osobno, z zastosowaniem zasady jedynego przedsiębiorstwa (dane podmiotów powiązanych i partnerskich liczą się razem — art. 6 ust. 2-4 zał. I rozp. 651/2014/UE).
Kto jest organem właściwym ds. KSC w sektorze żywności?
Minister właściwy ds. rolnictwa i rozwoju wsi (MRiRW) jako organ właściwy dla sektora żywnościowego. Wspiera go GIS (Główny Inspektorat Sanitarny) i GIW (Główny Inspektorat Weterynarii) w zakresie kontroli technicznej. CSIRT sektorowy dla żywności jest ustanawiany przez MRiRW i odbiera zgłoszenia incydentów poważnych w ramach łańcucha żywnościowego.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.