Żywność6 min czytania

Producent żywności a KSC — obowiązki 2026

Kiedy producent żywności podlega KSC

Sektor produkcji, przetwarzania i dystrybucji żywności został ujęty w załączniku nr 2 do ustawy o KSC. Obejmuje on przedsiębiorstwa spożywcze w rozumieniu art. 3 pkt 2 rozporządzenia (WE) nr 178/2002, zajmujące się dystrybucją hurtową oraz przemysłową produkcją i przetwarzaniem. Oznacza to, że producent żywności podlega KSC, jeżeli prowadzi działalność na skalę przemysłową lub zajmuje się dystrybucją hurtową — i jednocześnie spełnia próg co najmniej średniego przedsiębiorcy (art. 5 ust. 2 pkt 2).

KryteriumWymaganie
SektorProdukcja, przetwarzanie i dystrybucja żywności (załącznik nr 2)
Rodzaj działalnościDystrybucja hurtowa lub produkcja i przetwarzanie przemysłowe
Wielkość przedsiębiorcyCo najmniej średni (50+ pracowników lub obrót 10+ mln EUR)
Status w KSCPodmiot ważny (PW) — załącznik nr 2, średni lub duży przedsiębiorca
Duży przedsiębiorca z załącznika nr 2 również jest podmiotem ważnym, nie kluczowym. Status podmiotu kluczowego przysługuje wyłącznie dużym przedsiębiorcom z załącznika nr 1 — sektor żywności znajduje się w załączniku nr 2.

Co NIE podlega

Nie każda firma z branży spożywczej podlega KSC. Ustawa obejmuje wyłącznie dystrybucję hurtową oraz produkcję i przetwarzanie przemysłowe. Wykluczone są zatem podmioty zajmujące się handlem detalicznym żywnością (sklepy spożywcze, sieci detaliczne) oraz małe podmioty rzemieślnicze nieprzekraczające progów wielkościowych.

  • Handel detaliczny żywnością — sklepy spożywcze, supermarkety, e-sklepy z żywnością
  • Małe piekarnie, lokalne cukiernie, zakłady rzemieślnicze — o ile nie przekraczają progów średniego przedsiębiorcy
  • Mikro i mali przedsiębiorcy (poniżej 50 pracowników i poniżej 10 mln EUR obrotu) — nawet jeśli prowadzą dystrybucję hurtową
  • Gastronomia i catering — działalność restauracyjna nie jest produkcją przemysłową

Produkcja jako usługa w KSC

Kluczową kwestią interpretacyjną jest pojęcie usługi na gruncie ustawy o KSC. Zgodnie z Q&A Ministerstwa Cyfryzacji (pkt 13.7) usługę należy rozumieć szeroko — jako działalność gospodarczą służącą do zaspokajania potrzeb ludzi. W tym znaczeniu usługą jest również produkcja. Oznacza to, że producent żywności świadczy usługę w rozumieniu KSC, mimo że potocznie kojarzy się z wytwarzaniem towarów, a nie świadczeniem usług.

Szerokie rozumienie pojęcia usługi ma praktyczne konsekwencje: producent żywności musi identyfikować systemy informacyjne wykorzystywane do świadczenia tej usługi (tj. do produkcji) i objąć je systemem zarządzania bezpieczeństwem informacji. Dotyczy to systemów SCADA, MES, ERP i innych systemów OT/IT wspierających produkcję.

Obowiązki podmiotu ważnego

Producent żywności zakwalifikowany jako podmiot ważny musi spełnić pełen katalog obowiązków wynikających z ustawy o KSC, analogicznie jak inne podmioty ważne. Różnica w stosunku do podmiotów kluczowych polega głównie na trybie nadzoru (reaktywny zamiast proaktywnego) oraz niższych karach.

  1. Rejestracja w wykazie podmiotów kluczowych i ważnych przez system S46 (do 6 miesięcy od spełnienia przesłanek (do 3 października 2026 r. dla podmiotów istniejących)).
  2. Wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) zgodnego z art. 8 ustawy (do 12 miesięcy).
  3. Szacowanie ryzyka dla systemów informacyjnych wykorzystywanych do produkcji i dystrybucji.
  4. Raportowanie incydentów poważnych: wczesne ostrzeżenie 24h, zgłoszenie 72h, raport końcowy 1 miesiąc.
  5. Szkolenie kierownika podmiotu z zakresu cyberbezpieczeństwa (art. 8e).
  6. Przeprowadzenie audytu bezpieczeństwa na żądanie organu właściwego (art. 15 ust. 1b) — podmiot ważny nie ma obowiązku cyklicznego audytu co 3 lata.

HACCP a cyberbezpieczeństwo

Wielu producentów żywności posiada wdrożony system HACCP (Hazard Analysis and Critical Control Points) — obowiązkowy na gruncie prawa żywnościowego. HACCP koncentruje się na bezpieczeństwie żywności (zagrożenia biologiczne, chemiczne, fizyczne), podczas gdy SZBI wg KSC dotyczy bezpieczeństwa systemów informacyjnych. Oba systemy są komplementarne, ale nie zastępują się wzajemnie.

AspektHACCPSZBI (KSC)
CelBezpieczeństwo żywnościBezpieczeństwo systemów informacyjnych
ZakresZagrożenia biologiczne, chemiczne, fizyczneCyberzagrożenia, incydenty IT/OT
Podstawa prawnaRozporządzenie (WE) nr 852/2004Ustawa o KSC (Dz.U. 2026 poz. 20)
Organ nadzoruSanepid (GIS)Organ właściwy ds. cyberbezpieczeństwa
DokumentacjaPlan HACCP, procedury GHP/GMPPolityki SZBI, szacowanie ryzyka, procedury incydentowe
W praktyce warto zintegrować oba systemy, szczególnie w obszarze analizy ryzyka. Systemy OT sterujące procesami produkcyjnymi (linie produkcyjne, systemy chłodnicze, magazynowe) mogą być punktem styku HACCP i SZBI — cyberatak na system sterujący temperaturą może mieć skutki zarówno dla cyberbezpieczeństwa, jak i bezpieczeństwa żywności.
Spis treści
Kiedy producent żywności podlega KSC
Co NIE podlega
Produkcja jako usługa w KSC
Obowiązki podmiotu ważnego
HACCP a cyberbezpieczeństwo
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. ważny — sprawdź swój statusWdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JSTKaryKary finansowe w ustawie o KSC — ile wynoszą?IncydentyRaportowanie incydentów KSC — 24h, 72h, miesiącAudytAudyt bezpieczeństwa KSC — kto i kiedy?ZarządzanieKierownik a cyberbezpieczeństwo — obowiązki KSCWykazRejestracja w wykazie KSC — system S46Łańcuch dostawBezpieczeństwo łańcucha dostaw wg KSCDostawcyDostawca wysokiego ryzyka — procedura KSCNadzórNadzór nad podmiotami KSC — ex ante i ex postTerminyTerminy wdrożenia KSC 2026–2028Sektor finansowyKSC a DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — art. 8f KSCWspółpracaWymiana informacji o cyberzagrożeniach w KSCKlasyfikacjaNiezależność systemów — wyłączenie z KSCICTDostawca chmury a KSC — kto podlega?PrawoKSC a RODO — czym się różnią?ZdrowieSzpital a KSC/NIS2 — lista obowiązkówJSTGmina a KSC — plan wdrożenia krok po krokuOdpadyFirma odpadowa a KSC — czy podlegam?KlasyfikacjaCzy podlegam pod KSC? Sprawdź w 5 minutWykazRejestracja KSC krok po kroku — system S46KaryKary za brak rejestracji w KSC — ile grozi?ZarządzanieZarząd a KSC — odpowiedzialność osobista
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.