Wykaz7 min czytaniaOpublikowano: 15 marca 2026Zaktualizowano NaN miesiące temu

Rejestracja w wykazie KSC / NIS 2 — system S46

Obowiązek rejestracji

Znowelizowana ustawa o KSC nakłada na każdy podmiot kluczowy i ważny obowiązek zgłoszenia się do wykazu podmiotów kluczowych i ważnych, prowadzonego przez ministra właściwego do spraw informatyzacji. Wykaz zastępuje dotychczasowy rejestr operatorów usług kluczowych i stanowi centralną bazę informacji o podmiotach objętych regulacją. Szczegółową instrukcję procesu znajdziesz w artykule Rejestracja KSC krok po kroku.

Pełna nazwa i forma prawna podmiotu
Adres siedziby i dane kontaktowe (e-mail, telefon, faks)
Adres IP lub zakres adresów IP wykorzystywanych do świadczenia usług
Sektor i podsektor działalności wg załączników do ustawy
Wskazanie państw członkowskich UE, w których podmiot świadczy usługi
Dane co najmniej 2 osób kontaktowych ds. cyberbezpieczeństwa

Terminy i konsekwencje

Podmiot ma obowiązek dokonać zgłoszenia do wykazu w terminie 6 miesięcy od dnia, w którym po raz pierwszy spełnił przesłanki uznania za podmiot kluczowy lub ważny. Dla podmiotów istniejących w dniu wejścia w życie ustawy (3 kwietnia 2026 r.) termin rejestracji również wynosi 6 miesięcy — czyli upływa 3 października 2026 roku. Pełen harmonogram rejestracji KSC w systemie S46 przedstawiamy w osobnym artykule.

Niezgłoszenie się do wykazu w wymaganym terminie stanowi naruszenie obowiązku ustawowego i podlega karze pieniężnej. Dla podmiotów kluczowych kara może wynieść do 10 mln EUR, a dla ważnych do 7 mln EUR.

Sytuacja	Termin rejestracji
Podmiot istniejący w dniu wejścia w życie ustawy (3.04.2026)	Wg harmonogramu Ministra Cyfryzacji ogłoszonego w komunikacie (art. 34 ust. 3 ustawy nowelizującej)
Nowy podmiot spełniający kryteria	6 miesięcy od spełnienia przesłanek (art. 7c ust. 1 KSC)
Zmiana danych w wykazie	Niezwłocznie, nie później niż 14 dni (art. 7c ust. 3)
Zaprzestanie spełniania przesłanek	Niezwłocznie — wykreślenie z wykazu (art. 7k KSC)

System S46 — jak złożyć wniosek

Zgłoszenie do wykazu odbywa się wyłącznie drogą elektroniczną przez system teleinformatyczny S46. System ten pełni podwójną rolę — służy zarówno do rejestracji w wykazie, jak i do przekazywania zgłoszeń incydentów poważnych. Dostęp do S46 wymaga uwierzytelnienia przy użyciu podpisu kwalifikowanego, podpisu zaufanego (profil zaufany) lub podpisu osobistego.

System S46 jest utrzymywany przez NASK — Państwowy Instytut Badawczy. Przed rejestracją warto upewnić się, że osoba dokonująca zgłoszenia posiada aktywny profil zaufany lub certyfikat podpisu kwalifikowanego.

Zaloguj się do systemu S46 za pomocą profilu zaufanego lub podpisu kwalifikowanego.
Wypełnij formularz rejestracyjny, podając dane identyfikacyjne podmiotu.
Wskaż sektor i podsektor działalności zgodnie z załącznikami do ustawy.
Podaj dane co najmniej 2 osób kontaktowych ds. cyberbezpieczeństwa.
Złóż wniosek i oczekuj na potwierdzenie wpisu.

Wpis z urzędu i szczególne przypadki

Niektóre kategorie podmiotów są wpisywane do wykazu z urzędu, bez konieczności składania wniosku. Dotyczy to w szczególności przedsiębiorców telekomunikacyjnych wpisanych do rejestru Prezesa UKE, podmiotów publicznych wymienionych w ustawie oraz dotychczasowych operatorów usług kluczowych oraz podmiotów krytycznych w rozumieniu dyrektywy CER (art. 7a ust. 2). Pozostałe podmioty powinny najpierw ustalić, czy podlegają pod KSC, a następnie dokonać rejestracji samodzielnie. Po wpisie z urzędu podmiot otrzymuje od ministra zawiadomienie i wezwanie do uzupełnienia brakujących danych w terminie 6 miesięcy — szczegóły: Wezwania do uzupełnienia danych w Wykazie KSC (komunikat MC z 11.05.2026).

Nawet jeśli podmiot zostanie wpisany z urzędu, ma obowiązek uzupełnienia danych w systemie S46 w wymaganym terminie. Wpis z urzędu nie zwalnia z obowiązku podania pełnych informacji.

Spis treści

Obowiązek rejestracji Terminy i konsekwencje System S46 — jak złożyć wniosek Wpis z urzędu i szczególne przypadki

Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły

WykazRejestracja KSC krok po kroku — system S46 KlasyfikacjaPodmiot kluczowy vs ważny w KSC / NIS 2 — sprawdź status WdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JST KaryKary finansowe w ustawie o KSC i NIS 2 — ile wynoszą?IncydentyRaportowanie incydentów KSC / NIS 2 — 24h, 72h, miesiąc

FAQ4 pytania

Najczęstsze pytania

Co to jest wykaz S46?

System S46 to teleinformatyczny wykaz podmiotów kluczowych i ważnych, prowadzony przez ministra właściwego ds. informatyzacji (art. 7 oraz art. 46 ust. 1 KSC). Operatorem technicznym jest NASK (dotychczasowy adres operacyjny: s46.cert.pl); ustawa nie wskazuje konkretnej nazwy domeny — adres może zostać udostępniony w komunikacie Ministra Cyfryzacji. Wpis do wykazu jest obowiązkowy dla wszystkich PK/PW i warunkuje rozpoczęcie biegu terminów wdrożeniowych SZBI, audytu i raportowania.

Gdzie i jak zarejestrować podmiot kluczowy w KSC?

Przez system teleinformatyczny, o którym mowa w art. 46 ust. 1 KSC (potocznie: S46) — logowanie profilem zaufanym, podpisem kwalifikowanym lub e-Dowodem. Osoba uprawniona do reprezentacji składa wniosek z danymi z art. 7 ust. 2 KSC. Wpis dokonywany jest z chwilą złożenia kompletnego wniosku w systemie i jest czynnością materialno-techniczną o charakterze deklaratoryjnym (art. 7d ust. 1 i 5 KSC) — nie wymaga decyzji administracyjnej.

Ile trwa rozpatrzenie wniosku o wpis do S46?

Wpis następuje z chwilą złożenia kompletnego wniosku w systemie teleinformatycznym (art. 7d ust. 1 KSC) — nie ma odrębnego postępowania administracyjnego ani 30-dniowego terminu z KPA. Jeśli wniosek jest niekompletny lub zawiera braki, minister wzywa do uzupełnienia w trybie art. 7d ust. 2–4 KSC. Pierwszy wpis dla istniejących podmiotów następuje w terminach z harmonogramu Ministra Cyfryzacji (art. 34 ust. 3 ustawy nowelizującej).

Czy jest kara za brak rejestracji w wykazie S46?

Tak — niezarejestrowanie podmiotu kluczowego lub ważnego w wykazie podlega karze: do 10 mln EUR lub 2% rocznych przychodów z działalności gospodarczej z roku poprzedniego (PK — art. 73 ust. 3 KSC) albo do 7 mln EUR lub 1,4% rocznych przychodów z działalności gospodarczej (PW — art. 73 ust. 4 KSC), w obu przypadkach kwota wyższa. Niezależnie od tego kara osobista na kierownika do 300% wynagrodzenia obliczanego jak ekwiwalent za niewykorzystany urlop (art. 73a ust. 4 KSC; dla kierownika podmiotu publicznego do 100% — art. 73a ust. 5 KSC). Obowiązek leży po stronie podmiotu — nie czekaj na pismo z ministerstwa.

Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

Zastrzeżenie prawne

Niniejszy artykuł ma charakter informacyjny i edukacyjny. Treść opieramy na tekście ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. 2026 poz. 20) wraz z nowelizacją z 23 stycznia 2026 r. (Dz.U. 2026 poz. 252) oraz na oficjalnych komunikatach Ministerstwa Cyfryzacji.

Artykuł nie stanowi opinii prawnej w rozumieniu ustawy z 6 lipca 1982 r. o radcach prawnych ani porady prawnej w rozumieniu ustawy z 26 maja 1982 r. — Prawo o adwokaturze. Klasyfikacja konkretnego podmiotu jako kluczowy lub ważny, ocena obowiązków materialnych (SZBI z art. 8 KSC, raportowanie incydentów z art. 11, audyt z art. 15) oraz interpretacja przepisów przejściowych z art. 33–35 ustawy nowelizującej wymagają indywidualnej analizy z uwzględnieniem struktury organizacyjnej, sektora działalności i specyfiki świadczonych usług.

W razie wątpliwości prawnych zalecamy konsultację z radcą prawnym lub adwokatem specjalizującym się w cyberprawie / NIS 2. Stan prawny: 3 kwietnia 2026 r. (data wejścia w życie nowelizacji). Wydawca: Idealdata Sp. z o.o. — Chwaszczyno k. Gdańska.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.