Klasyfikacja10 min czytaniaOpublikowano: 14 maja 2026

Jakie sektory obejmuje KSC i NIS 2? Pełna lista (zał. 1 i 2)

Q: Jakie sektory są objęte dyrektywą NIS2?

Dyrektywa NIS 2 (w Polsce wdrożona ustawą o KSC) obejmuje 18 sektorów podzielonych na dwie grupy. Sektory kluczowe (załącznik nr 1): energia, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, produkcja i dystrybucja leków, woda pitna, ścieki, infrastruktura cyfrowa, komunikacja elektroniczna, zarządzanie usługami ICT, przestrzeń kosmiczna, podmioty publiczne. Sektory ważne (załącznik nr 2): usługi pocztowe, gospodarka odpadami, chemikalia, żywność, produkcja przemysłowa (elektronika, urządzenia elektryczne, maszyny, pojazdy), dostawcy usług cyfrowych, badania naukowe, podmioty publiczne samorządowe.

Q: Czym różni się sektor kluczowy od sektora ważnego?

Sektory kluczowe (załącznik nr 1) to branże o najwyższej krytyczności dla państwa — duzi przedsiębiorcy z tych sektorów są podmiotami kluczowymi (pełny reżim: audyt co 3 lata, nadzór proaktywny ex ante). Sektory ważne (załącznik nr 2) obejmują branże o niższej krytyczności — ich podmioty (średni i duzi) są podmiotami ważnymi (nadzór reaktywny ex post, audyt tylko na żądanie organu). Oba typy muszą wdrożyć SZBI i raportować incydenty.

Q: Czy produkcja przemysłowa jest objęta NIS 2?

Tak, częściowo. Załącznik nr 2 do ustawy o KSC obejmuje produkcję: wyrobów medycznych i do diagnostyki in vitro, komputerów i wyrobów elektronicznych (NACE C26), urządzeń elektrycznych (NACE C27 — w tym kable, przewody, silniki, transformatory), maszyn i urządzeń (C28), pojazdów samochodowych (C29) oraz pozostałego sprzętu transportowego (C30). Producenci z tych działów, będący co najmniej średnimi przedsiębiorcami, są podmiotami ważnymi. Pozostałe rodzaje produkcji (np. meble, tekstylia, tworzywa) co do zasady nie są objęte.

Q: Czy mój sektor nie jest na liście — to znaczy, że nie podlegam KSC?

Jeśli Twoja faktyczna działalność nie mieści się w żadnym z sektorów załączników nr 1 i 2, co do zasady nie podlegasz ustawie o KSC. Trzy zastrzeżenia: (1) liczy się faktyczna działalność, nie tylko formalny PKD — organ może zakwalifikować podmiot wg rzeczywistego profilu; (2) organ właściwy może uznać podmiot za kluczowy lub ważny decyzją z art. 7l KSC, nawet poza standardowymi progami, jeśli świadczy usługę krytyczną; (3) możesz podlegać pośrednio jako dostawca w łańcuchu dostaw podmiotu objętego KSC (wymagania umowne z art. 8 ust. 2).

Q: Gdzie znajdę pełną listę sektorów i podmiotów objętych KSC?

Pełna, wiążąca lista znajduje się w załącznikach nr 1 (sektory kluczowe) i nr 2 (sektory ważne) do ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (tekst jednolity: Dz.U. 2026 poz. 20, znowelizowany Dz.U. 2026 poz. 252). Każdy sektor jest tam opisany przez konkretne rodzaje podmiotów z odniesieniem do właściwych ustaw branżowych i kodów NACE. Tekst jednolity dostępny jest w serwisie ISAP (isap.sejm.gov.pl).

Q: Co zawiera załącznik nr 1 do ustawy o KSC?

Załącznik nr 1 do ustawy o KSC wymienia sektory kluczowe wraz z konkretnymi rodzajami podmiotów. Obejmuje: energię (wydobywanie kopalin, energia elektryczna, ciepło, ropa i paliwa, gaz, energetyka jądrowa, wodór), transport (lotniczy, kolejowy, wodny, drogowy), bankowość i infrastrukturę rynków finansowych, ochronę zdrowia, produkcję i dystrybucję leków, zaopatrzenie w wodę pitną, zbiorowe odprowadzanie ścieków, infrastrukturę cyfrową, komunikację elektroniczną, zarządzanie usługami ICT, przestrzeń kosmiczną oraz podmioty publiczne. Podmiot z załącznika nr 1, który przekracza próg średniego przedsiębiorstwa, jest podmiotem kluczowym (art. 5 ust. 1 KSC).

Dwa załączniki: sektory kluczowe i ważne

Ustawa o krajowym systemie cyberbezpieczeństwa (transponująca dyrektywę NIS 2) dzieli objęte branże na dwie grupy, opisane w dwóch załącznikach do ustawy: załącznik nr 1 — sektory kluczowe oraz załącznik nr 2 — sektory ważne. Przynależność do danego załącznika, w połączeniu z wielkością podmiotu (wg rozporządzenia 651/2014/UE), decyduje o tym, czy organizacja jest podmiotem kluczowym czy ważnym — a w konsekwencji o zakresie obowiązków.

W skrócie: 18 obszarów gospodarki. Sektory kluczowe (zał. 1) to branże o najwyższej krytyczności — energia, transport, finanse, zdrowie, woda, infrastruktura cyfrowa. Sektory ważne (zał. 2) to m.in. produkcja przemysłowa, gospodarka odpadami, żywność, chemikalia, dostawcy usług cyfrowych, badania naukowe i usługi pocztowe.

Załącznik nr 1 — sektory kluczowe

Załącznik nr 1 do ustawy o KSC wymienia następujące sektory kluczowe. Podmiot z tego załącznika, który przekracza próg średniego przedsiębiorstwa, jest co do zasady podmiotem kluczowym (art. 5 ust. 1 KSC):

Sektor kluczowy (zał. 1)	Podsektory / przykłady podmiotów
Energia	Wydobywanie kopalin, energia elektryczna, ciepło, ropa i paliwa, gaz, energetyka jądrowa, wodór
Transport	Lotniczy (przewoźnicy, lotniska), kolejowy (zarządcy infrastruktury, przewoźnicy), wodny (porty, armatorzy, VTS), drogowy (zarządcy dróg, ITS)
Bankowość i infrastruktura rynków finansowych	Instytucje kredytowe, banki, SKOK-i, rynki regulowane, KDPW, administratorzy wskaźników referencyjnych
Ochrona zdrowia	Podmioty lecznicze, laboratoria referencyjne UE, publiczna służba krwi, podwykonawcy podmiotów kluczowych, SOR / centra urazowe
Produkcja, dystrybucja substancji czynnych, leków i wyrobów medycznych krytycznych	URPL, wytwórcy i importerzy leków, hurtownie farmaceutyczne, apteki, producenci wyrobów medycznych krytycznych
Zaopatrzenie w wodę pitną i jej dystrybucja	Przedsiębiorstwa wodociągowo-kanalizacyjne (gdy woda jest istotną częścią działalności)
Zbiorowe odprowadzanie ścieków	Podmioty odprowadzające lub oczyszczające ścieki
Infrastruktura cyfrowa	Punkty wymiany ruchu (IXP), dostawcy DNS, rejestry TLD, dostawcy chmury, centra przetwarzania danych, CDN, dostawcy usług zaufania
Komunikacja elektroniczna	Przedsiębiorcy komunikacji elektronicznej (operatorzy telekomunikacyjni)
Zarządzanie usługami ICT	Dostawcy usług zarządzanych (MSP), dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa (MSSP)
Przestrzeń kosmiczna	Operatorzy infrastruktury naziemnej wspierającej usługi kosmiczne, Polska Agencja Kosmiczna
Podmioty publiczne	Jednostki sektora finansów publicznych, NBP, BGK, UKNF, instytuty badawcze, urzędy gmin ≥50 osób, starostwa, jednostki samorządu województwa

Niektóre podmioty są kluczowe NIEZALEŻNIE od wielkości (art. 5 ust. 1 pkt 4 KSC): dostawcy usług DNS, rejestry nazw domen TLD, kwalifikowani dostawcy usług zaufania, podmioty krytyczne, operatorzy obiektów energetyki jądrowej oraz podmioty publiczne z zał. 1.

Załącznik nr 2 — sektory ważne

Załącznik nr 2 do ustawy o KSC wymienia sektory ważne. Podmiot z tego załącznika, który jest co najmniej średnim przedsiębiorcą, jest podmiotem ważnym (art. 5 ust. 2 KSC) — niezależnie od tego, czy jest średni czy duży:

Sektor ważny (zał. 2)	Podsektory / przykłady podmiotów
Usługi pocztowe	Operatorzy pocztowi
Inwestycje energetyki jądrowej	Inwestorzy obiektów energetyki jądrowej z decyzją zasadniczą
Gospodarowanie odpadami	Zbieranie, transport, przetwarzanie odpadów oraz handel odpadami (gdy to podstawowa działalność)
Produkcja, wytwarzanie i dystrybucja chemikaliów	Producenci i dystrybutorzy substancji, mieszanin i wyrobów wg REACH
Produkcja, przetwarzanie i dystrybucja żywności	Przedsiębiorstwa spożywcze — dystrybucja hurtowa oraz produkcja przemysłowa
Produkcja	Wyroby medyczne i do diagnostyki in vitro; komputery i elektronika (NACE C26); urządzenia elektryczne (NACE C27 — w tym kable i przewody); maszyny (C28); pojazdy (C29); pozostały sprzęt transportowy (C30)
Dostawcy usług cyfrowych	Internetowe platformy handlowe, wyszukiwarki internetowe, platformy sieci społecznościowych
Badania naukowe	Organizacje badawcze, uczelnie
Podmioty publiczne (samorządowe)	Samorządowe jednostki i zakłady budżetowe, instytucje kultury, spółki komunalne realizujące zadania publiczne

Uwaga na pułapkę interpretacyjną: liczy się Twoja własna działalność (kod PKD/NACE), a nie branża odbiorców. Przykładowo producent kabli elektrycznych (NACE dział 27) jest podmiotem ważnym z sektora „Produkcja", nawet jeśli sprzedaje wyłącznie do hurtowni i „nie ma nic wspólnego z energetyką". Zob. jak sprawdzić, czy podlegasz pod KSC.

Sektor a status: kluczowy czy ważny?

Sama przynależność do sektora nie wystarcza — o statusie decyduje kombinacja sektora i wielkości podmiotu. Reguła ogólna:

Wielkość podmiotu	Sektor z zał. 1	Sektor z zał. 2
Mikro / mały (do 49 osób, < 10 mln EUR)	Co do zasady wyłączony (poza wyjątkami art. 5 ust. 1 pkt 4)	Co do zasady wyłączony
Średni (50–249 osób, < 50 mln EUR)	Podmiot ważny	Podmiot ważny
Duży (≥250 osób lub ≥50 mln EUR)	Podmiot kluczowy	Podmiot ważny

Wyjątki dla telekomunikacji (art. 5 ust. 1 pkt 2 i ust. 2 pkt 4): przedsiębiorcy komunikacji elektronicznej średni i duzi są kluczowi, mikro i mali — ważni. Podmioty publiczne z zał. 1 oraz dostawcy DNS / rejestry TLD są kluczowi niezależnie od wielkości. Mikro/mały podmiot może też zostać uznany za PK/PW decyzją organu (art. 7l KSC).

Jak sprawdzić, czy Twój sektor podlega

Procedura samoidentyfikacji w 3 krokach:

Krok 1 — sektor: sprawdź, czy Twoja faktyczna działalność (kod PKD/NACE) mieści się w którymś z sektorów załącznika nr 1 lub nr 2. Liczy się faktyczna działalność, nie tylko formalny wpis PKD.
Krok 2 — wielkość: ustal status przedsiębiorcy wg rozporządzenia 651/2014/UE (mikro / mały / średni / duży), uwzględniając zasadę jedynego przedsiębiorstwa (sumowanie z podmiotami powiązanymi i partnerskimi).
Krok 3 — status: skrzyżuj sektor z wielkością. Zał. 1 + duży = podmiot kluczowy. Zał. 1 + średni = ważny. Zał. 2 + średni/duży = ważny. Sprawdź wyjątki (telekomunikacja, DNS/TLD, podmioty publiczne, decyzja organu z art. 7l).

Po ustaleniu statusu podmiot kluczowy lub ważny musi zarejestrować się w wykazie prowadzonym w systemie S46 (art. 7c KSC) — w terminie 6 miesięcy od spełnienia przesłanek; dla podmiotów istniejących w dniu wejścia w życie ustawy termin upływa 3 października 2026 r. Zob. rejestrację w wykazie KSC / NIS 2 oraz pełny harmonogram terminów.

Spis treści

Dwa załączniki: sektory kluczowe i ważne Załącznik nr 1 — sektory kluczowe Załącznik nr 2 — sektory ważne Sektor a status: kluczowy czy ważny?Jak sprawdzić, czy Twój sektor podlega

Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły

KlasyfikacjaPodmiot kluczowy vs ważny w KSC / NIS 2 — sprawdź status KlasyfikacjaNiezależność systemów — wyłączenie z KSC KlasyfikacjaCzy podlegam pod KSC? Sprawdź w 5 minut KlasyfikacjaPodmiot ważny KSC — obowiązki i reżim nadzoru WdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JST

FAQ6 pytań

Najczęstsze pytania

Jakie sektory są objęte dyrektywą NIS2?

Dyrektywa NIS 2 (w Polsce wdrożona ustawą o KSC) obejmuje 18 sektorów podzielonych na dwie grupy. Sektory kluczowe (załącznik nr 1): energia, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, produkcja i dystrybucja leków, woda pitna, ścieki, infrastruktura cyfrowa, komunikacja elektroniczna, zarządzanie usługami ICT, przestrzeń kosmiczna, podmioty publiczne. Sektory ważne (załącznik nr 2): usługi pocztowe, gospodarka odpadami, chemikalia, żywność, produkcja przemysłowa (elektronika, urządzenia elektryczne, maszyny, pojazdy), dostawcy usług cyfrowych, badania naukowe, podmioty publiczne samorządowe.

Czym różni się sektor kluczowy od sektora ważnego?

Sektory kluczowe (załącznik nr 1) to branże o najwyższej krytyczności dla państwa — duzi przedsiębiorcy z tych sektorów są podmiotami kluczowymi (pełny reżim: audyt co 3 lata, nadzór proaktywny ex ante). Sektory ważne (załącznik nr 2) obejmują branże o niższej krytyczności — ich podmioty (średni i duzi) są podmiotami ważnymi (nadzór reaktywny ex post, audyt tylko na żądanie organu). Oba typy muszą wdrożyć SZBI i raportować incydenty.

Czy produkcja przemysłowa jest objęta NIS 2?

Tak, częściowo. Załącznik nr 2 do ustawy o KSC obejmuje produkcję: wyrobów medycznych i do diagnostyki in vitro, komputerów i wyrobów elektronicznych (NACE C26), urządzeń elektrycznych (NACE C27 — w tym kable, przewody, silniki, transformatory), maszyn i urządzeń (C28), pojazdów samochodowych (C29) oraz pozostałego sprzętu transportowego (C30). Producenci z tych działów, będący co najmniej średnimi przedsiębiorcami, są podmiotami ważnymi. Pozostałe rodzaje produkcji (np. meble, tekstylia, tworzywa) co do zasady nie są objęte.

Czy mój sektor nie jest na liście — to znaczy, że nie podlegam KSC?

Jeśli Twoja faktyczna działalność nie mieści się w żadnym z sektorów załączników nr 1 i 2, co do zasady nie podlegasz ustawie o KSC. Trzy zastrzeżenia: (1) liczy się faktyczna działalność, nie tylko formalny PKD — organ może zakwalifikować podmiot wg rzeczywistego profilu; (2) organ właściwy może uznać podmiot za kluczowy lub ważny decyzją z art. 7l KSC, nawet poza standardowymi progami, jeśli świadczy usługę krytyczną; (3) możesz podlegać pośrednio jako dostawca w łańcuchu dostaw podmiotu objętego KSC (wymagania umowne z art. 8 ust. 2).

Gdzie znajdę pełną listę sektorów i podmiotów objętych KSC?

Pełna, wiążąca lista znajduje się w załącznikach nr 1 (sektory kluczowe) i nr 2 (sektory ważne) do ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (tekst jednolity: Dz.U. 2026 poz. 20, znowelizowany Dz.U. 2026 poz. 252). Każdy sektor jest tam opisany przez konkretne rodzaje podmiotów z odniesieniem do właściwych ustaw branżowych i kodów NACE. Tekst jednolity dostępny jest w serwisie ISAP (isap.sejm.gov.pl).

Co zawiera załącznik nr 1 do ustawy o KSC?

Załącznik nr 1 do ustawy o KSC wymienia sektory kluczowe wraz z konkretnymi rodzajami podmiotów. Obejmuje: energię (wydobywanie kopalin, energia elektryczna, ciepło, ropa i paliwa, gaz, energetyka jądrowa, wodór), transport (lotniczy, kolejowy, wodny, drogowy), bankowość i infrastrukturę rynków finansowych, ochronę zdrowia, produkcję i dystrybucję leków, zaopatrzenie w wodę pitną, zbiorowe odprowadzanie ścieków, infrastrukturę cyfrową, komunikację elektroniczną, zarządzanie usługami ICT, przestrzeń kosmiczną oraz podmioty publiczne. Podmiot z załącznika nr 1, który przekracza próg średniego przedsiębiorstwa, jest podmiotem kluczowym (art. 5 ust. 1 KSC).

Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

Zastrzeżenie prawne

Niniejszy artykuł ma charakter informacyjny i edukacyjny. Treść opieramy na tekście ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. 2026 poz. 20) wraz z nowelizacją z 23 stycznia 2026 r. (Dz.U. 2026 poz. 252) oraz na oficjalnych komunikatach Ministerstwa Cyfryzacji.

Artykuł nie stanowi opinii prawnej w rozumieniu ustawy z 6 lipca 1982 r. o radcach prawnych ani porady prawnej w rozumieniu ustawy z 26 maja 1982 r. — Prawo o adwokaturze. Klasyfikacja konkretnego podmiotu jako kluczowy lub ważny, ocena obowiązków materialnych (SZBI z art. 8 KSC, raportowanie incydentów z art. 11, audyt z art. 15) oraz interpretacja przepisów przejściowych z art. 33–35 ustawy nowelizującej wymagają indywidualnej analizy z uwzględnieniem struktury organizacyjnej, sektora działalności i specyfiki świadczonych usług.

W razie wątpliwości prawnych zalecamy konsultację z radcą prawnym lub adwokatem specjalizującym się w cyberprawie / NIS 2. Stan prawny: 3 kwietnia 2026 r. (data wejścia w życie nowelizacji). Wydawca: Idealdata Sp. z o.o. — Chwaszczyno k. Gdańska.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.