FAQ12 min czytania

Czy SZBI jest obowiązkowe? Kogo dotyczy ustawa o KSC — FAQ

Podstawy — KSC i SZBI w pigułce

Pytania „czy SZBI jest obowiązkowe?” i „kogo dotyczy ustawa o KSC?” to dziś dwie najczęstsze wątpliwości polskich organizacji. Odpowiedź jest prosta: tak, System Zarządzania Bezpieczeństwem Informacji (SZBI) jest obowiązkowy dla każdego podmiotu kluczowego i ważnego pod ustawą o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. 2026 poz. 20) — a ustawa obejmuje znacznie szerszy krąg organizacji niż wcześniejsza wersja sprzed nowelizacji NIS 2.

W tym przewodniku zebraliśmy 30 najczęściej zadawanych pytań z trzech obszarów, które najczęściej splatają się w jeden problem: kwalifikacja podmiotu, obowiązek SZBI oraz terminy i odpowiedzialność. Każda odpowiedź zawiera podstawę prawną z ustawy o KSC, dzięki czemu możesz jej użyć bezpośrednio w dokumentacji wewnętrznej, sporze z dostawcą lub piśmie do organu nadzoru. Jeśli szukasz krótszej ścieżki samoidentyfikacji, zacznij od artykułu „Czy podlegam pod KSC?”.

Krótka definicja: SZBI to zorganizowany, udokumentowany i audytowalny zestaw polityk, procedur i środków technicznych, który pozwala podmiotowi systematycznie szacować ryzyko i zarządzać bezpieczeństwem informacji oraz systemów informacyjnych. To wymóg z art. 8 ust. 1 ustawy o KSC i jednocześnie kręgosłup całej zgodności z NIS 2.

Kogo dotyczy ustawa o KSC

Aby zostać objętym ustawą o KSC, organizacja musi spełnić jednocześnie dwa warunki: (1) działać w sektorze wymienionym w Załączniku nr 1 (sektory kluczowe) lub Załączniku nr 2 (sektory ważne) oraz (2) zaliczać się do kategorii średniego lub dużego przedsiębiorcy w rozumieniu rozp. 651/2014/UE. Od tej zasady ustawa przewiduje istotne wyjątki — niektóre podmioty są kluczowe lub ważne niezależnie od wielkości.

KryteriumPodmiot kluczowy (PK)Podmiot ważny (PW)
Podstawaart. 5 ust. 1 ustawy o KSCart. 5 ust. 2 ustawy o KSC
SektorZałącznik nr 1 (energia, transport, bankowość, zdrowie, woda, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna, ICT zarządzane)Załącznik nr 2 (poczta, odpady, produkcja, chemia, żywność, dostawcy cyfrowi, badania)
Próg wielkości (zasada)Z zał. 1: przewyższa wymogi dla średniego przedsiębiorcy, czyli duży (> 250 prac. lub obrót > 50 mln EUR i suma bilansowa > 43 mln EUR — art. 5 ust. 1 pkt 1); telekom — co najmniej średni (art. 5 ust. 1 pkt 2); MSSP — co najmniej mały (art. 5 ust. 1 pkt 3)Średni przedsiębiorca (50–249 prac. lub obrót 10–50 mln EUR) z zał. 1 lub 2 (art. 5 ust. 2 pkt 1–2); niekwalifikowani dostawcy usług zaufania (mikro/mały/średni); telekom mikro/mały
Wyjątki bez progu wielkości (art. 5 ust. 1 pkt 4)Dostawca DNS (lit. a); kwalifikowany dostawca usług zaufania (lit. b); podmiot krytyczny – CER (lit. c); podmiot publiczny z zał. 1 (lit. d); operator obiektu energetyki jądrowej (lit. h); rejestr nazw domen TLD (lit. i); dostawca usług rejestracji nazw domen (lit. j); zidentyfikowani decyzją (art. 7l ust. 2 pkt 1, art. 7m)Inwestor obiektu energetyki jądrowej (art. 5 ust. 2 pkt 5); zidentyfikowani decyzją (art. 7l ust. 2 pkt 2); samorządowa jednostka budżetowa / zakład / instytucja kultury / spółka komunalna realizująca zadania publiczne (art. 5 ust. 2 pkt 8)
Reżim nadzoruEx-ante (możliwe planowe kontrole)Ex-post (kontrole po incydencie/skardze)
Maksymalna kara administracyjna na podmiot10 mln EUR lub 2% rocznych przychodów z działalności gospodarczej w roku poprzednim, min. 20 000 zł (art. 73 ust. 3)7 mln EUR lub 1,4% rocznych przychodów z działalności gospodarczej, min. 15 000 zł (art. 73 ust. 4)
Spełniasz kryteria obu kategorii jednocześnie? Status „podmiotu kluczowego” konsumuje status „ważnego” — stosujesz wyższy reżim. Jeśli jesteś przedsiębiorcą komunikacji elektronicznej i jednocześnie świadczysz usługi cyfrowe z Załącznika nr 2 — analizuj każdą rolę osobno, ale rejestrujesz się raz, łącznie.

Samoidentyfikacja i rejestracja

Polska wybrała model samoidentyfikacji: to organizacja sama analizuje, czy spełnia kryteria. Nie czekasz na decyzję ministra ani pismo z urzędu. Wpis do wykazu podmiotów kluczowych i ważnych (system S46) ma charakter deklaratoryjny — status wynika ze spełnienia przesłanek ustawowych, a nie z wpisu. Brak rejestracji nie oznacza, że jesteś „poza ustawą” — oznacza tylko, że jesteś poza ustawą i jednocześnie naruszasz obowiązek rejestracji.

  1. Sprawdź sektor — porównaj swoje PKD/koncesje/usługi z listą z Załącznika nr 1 i nr 2 ustawy o KSC.
  2. Zmierz wielkość — policz pracowników (FTE) oraz obrót i sumę bilansową; w grupie kapitałowej stosuj zasadę jedynego przedsiębiorstwa (rozp. 651/2014/UE).
  3. Sprawdź wyjątki bez progu wielkości (art. 5 ust. 1 pkt 4): dostawca DNS, kwalifikowany dostawca usług zaufania, podmiot krytyczny (CER), podmiot publiczny z zał. 1, operator energetyki jądrowej, TLD, dostawca usług rejestracji nazw domen — niezależnie od wielkości to PK. Mały MSSP (art. 5 ust. 1 pkt 3, ≥ mały) i średni telekom (art. 5 ust. 1 pkt 2, ≥ średni) — PK od minimum tych progów.
  4. Udokumentuj decyzję — sporządź notatkę z datą, podstawami i podpisem kierownika; ta notatka jest dowodem przy ewentualnej kontroli.
  5. Zarejestruj się w wykazie S46 do 3 października 2026 r. (lub w ciągu 6 miesięcy od spełnienia przesłanek dla nowych podmiotów).
Błędna samoidentyfikacja (np. „uznałem, że nie podlegam, bo zatrudniam 245 osób”, podczas gdy w grupie kapitałowej jest 800 osób) nie zwalnia z odpowiedzialności. Organ właściwy może zarejestrować podmiot z urzędu i nałożyć kary za poprzednie miesiące braku zgodności. Konserwatywne podejście: jeśli masz wątpliwości — zarejestruj się; ewentualne wycofanie wpisu jest łatwiejsze niż obrona przed karą.

SZBI — obowiązek i zakres

SZBI nie jest opcją. Art. 8 ust. 1 ustawy o KSC nakłada obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji na wszystkie podmioty kluczowe i ważne (z wyjątkiem podmiotów ważnych będących podmiotami publicznymi, dla których obowiązuje uproszczony reżim z Załącznika nr 4). SZBI musi być proporcjonalny do ryzyka, udokumentowany i podpisany przez kierownika podmiotu.

Obszar SZBICo minimalnie musisz miećPodstawa
Polityka bezpieczeństwa systemu informacyjnegoDokument zatwierdzony przez kierownika; cele, zakres, roleart. 8 ust. 1 pkt 2 lit. a
Analiza ryzykaMetoda, rejestr aktywów, ocena ryzyk, plan postępowaniaart. 8 ust. 1 pkt 1
Bezpieczeństwo w cyklu życia systemówBezpieczeństwo w nabywaniu, rozwoju, utrzymaniu i eksploatacji; testowanieart. 8 ust. 1 pkt 2 lit. b
Bezpieczeństwo fizyczne i środowiskoweKontrola dostępu, ochrona przed pożarem/zalaniem/utratą zasilaniaart. 8 ust. 1 pkt 2 lit. c
Zasoby ludzkieKlauzule poufności, weryfikacja personelu (KRK – art. 8f), szkoleniaart. 8 ust. 1 pkt 2 lit. d (+ lit. i, j)
Zarządzanie incydentamiProcedury wykrywania, klasyfikacji; raportowanie do CSIRT 24/72 hart. 8 ust. 1 pkt 4 (+ art. 11–12b)
Ciągłość działania (BCM/DR)Plany BCP/DRP, kopie zapasowe, testowanieart. 8 ust. 1 pkt 2 lit. f
Łańcuch dostaw ICTKlauzule cyber w umowach, ocena dostawców, monitoring (art. 8 ust. 2)art. 8 ust. 1 pkt 2 lit. e
Kryptografia i MFAPolityka kryptograficzna, szyfrowanie danych w spoczynku i w tranzycie, MFAart. 8 ust. 1 pkt 2 lit. k (+ lit. l)
Zarządzanie aktywami i kontrola dostępuInwentarz aktywów, zasada najmniejszych uprawnień, przeglądyart. 8 ust. 1 pkt 2 lit. m + lit. n
Monitoring i ocena skutecznościSIEM/EDR, metryki, przeglądy zarządczeart. 8 ust. 1 pkt 2 lit. g + lit. h
Środki ograniczające wpływ incydentówAktualizacje, ochrona przed nieuprawnioną modyfikacją, czasowe ograniczenia ruchuart. 8 ust. 1 pkt 5 lit. a–d
Audyt bezpieczeństwaDla PK — co najmniej raz na 3 lata przez akredytowany podmiotart. 15 ust. 1
ISO/IEC 27001 a SZBI: zgodność z normą ISO/IEC 27001 nie jest formalnie wymagana, ale praktycznie pokrywa większość obszarów SZBI z ustawy o KSC. Certyfikat ISO 27001 nie zwalnia z obowiązku audytu KSC, ponieważ mają inny cel i inną podstawę prawną — ale znacząco skraca czas wdrożenia.

Terminy, audyt i kary

Ustawa wprowadza etapowy harmonogram. Kluczowe daty bazują na 3 kwietnia 2026 r. — dniu wejścia ustawy w życie — i są stałe dla podmiotów istniejących w tym dniu. Dla podmiotów, które dopiero przekroczą progi (np. urośnie zatrudnienie), terminy biegną od dnia spełnienia przesłanek.

TerminCo trzeba zrobićPodstawa
3 kwietnia 2026Wejście w życie ustawy nowelizującej; start liczenia terminów dla podmiotów istniejących w tym dniuart. 49 ustawy z 23.01.2026 (Dz.U. 2026 poz. 252)
wg harmonogramu ministra (zwykle do 3.10.2026)Wpis do wykazu S46 — podmioty istniejące 3.04.2026 składają wniosek w terminach z komunikatu ministra ds. informatyzacjiart. 7c ust. 1 + art. 33 ust. 3 i art. 34 ust. 3 ustawy nowelizującej
3 kwietnia 2027 (12 mies.)Wdrożenie SZBI i pozostałych obowiązków rozdz. 3 (raportowanie incydentów, szkolenia kierownictwa) przez podmioty istniejące 3.04.2026art. 33 ust. 1 ustawy nowelizującej
3 kwietnia 2028 (24 mies.)Pierwszy obowiązkowy audyt bezpieczeństwa dla PK istniejących 3.04.2026; koniec karencji – start nakładania karart. 33 ust. 2 + art. 35 ustawy nowelizującej
Co 3 lataPowtarzanie audytu bezpieczeństwa dla PK (liczone od daty podpisania raportu z poprzedniego audytu)art. 15 ust. 1 ustawy o KSC
CorocznieSzkolenie kierownika podmiotu i osoby, której powierzono obowiązki kierownika; przegląd zarządczy SZBIart. 8e ust. 1 ustawy o KSC
Kary administracyjne (do 10 mln EUR lub 2% rocznych przychodów dla PK; 7 mln EUR lub 1,4% dla PW) mogą być po raz pierwszy nakładane dopiero po upływie 2 lat od dnia wejścia ustawy w życie — czyli od 3 kwietnia 2028 r. (art. 35 ustawy nowelizującej). Nie oznacza to bezkarności — odpowiedzialność osobista kierownika podmiotu (do 100% lub 300% wynagrodzenia, art. 73a) istnieje od dnia wejścia ustawy w życie, a w przypadku spowodowania bezpośredniego i poważnego zagrożenia (np. dla obronności, życia ludzi) organ może nałożyć karę do 100 000 000 zł niezależnie od karencji (art. 73 ust. 5).

Szczegółowe rozpisanie wszystkich terminów (rejestracja, SZBI, audyt, kary, S46) znajdziesz w artykułach „Terminy wdrożenia KSC 2026–2028” oraz „Harmonogram rejestracji KSC i S46”. O karach pieniężnych i osobistej odpowiedzialności zarządu czytaj w „Kary pieniężne w KSC” i „Odpowiedzialność zarządu pod KSC”.

30 odpowiedzi na najczęstsze pytania

Poniżej 30 odpowiedzi na pytania, które najczęściej trafiają do nas od polskich firm i instytucji. Każda odpowiedź ma postać samodzielną — możesz wkleić ją do notatki dla zarządu, FAQ wewnętrznego lub odpowiedzi dla audytora.

FAQ30 pytań

Najczęstsze pytania

1. Czy SZBI jest obowiązkowe?
Tak. Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) jest obowiązkowe dla każdego podmiotu kluczowego i podmiotu ważnego objętego ustawą o krajowym systemie cyberbezpieczeństwa (art. 8 ust. 1 ustawy o KSC). Wyjątkiem są podmioty ważne będące podmiotami publicznymi oraz uczelnie i instytucje naukowe realizujące zadania publiczne (art. 8 ust. 3) — stosują uproszczony SZBI wg Załącznika nr 4 do ustawy. SZBI musi być proporcjonalny do ryzyka, udokumentowany i objęty odpowiedzialnością kierownika podmiotu (art. 8c). Termin wdrożenia: dla podmiotów istniejących w dniu wejścia ustawy nowelizującej w życie (3.04.2026) — 12 miesięcy od tego dnia, czyli do 3.04.2027 r. (art. 33 ust. 1 ustawy z 23.01.2026, Dz.U. 2026 poz. 252).
2. Czym dokładnie jest SZBI w rozumieniu ustawy o KSC?
SZBI to zorganizowany zestaw polityk, procedur i środków technicznych, który zapewnia systematyczne szacowanie i zarządzanie ryzykiem dla bezpieczeństwa informacji oraz systemów informacyjnych podmiotu (art. 8 ust. 1 ustawy o KSC). Art. 8 ust. 1 wymienia: szacowanie ryzyka i zarządzanie ryzykiem (pkt 1); 14 środków technicznych i organizacyjnych w pkt 2 lit. a–n (polityka bezpieczeństwa, bezpieczeństwo w cyklu życia systemów, bezpieczeństwo fizyczne i środowiskowe, zasoby ludzkie, łańcuch dostaw ICT, plany ciągłości działania, monitorowanie ciągłe, ocena skuteczności, edukacja personelu, cyberhigiena, kryptografia, MFA i bezpieczne środki komunikacji, zarządzanie aktywami, polityki kontroli dostępu); zbieranie informacji o cyberzagrożeniach (pkt 3); zarządzanie incydentami (pkt 4); środki ograniczające wpływ incydentów (pkt 5 lit. a–d). Art. 8a w obecnym brzmieniu nie zawiera katalogu środków — to delegacja dla Rady Ministrów do wydania rozporządzenia szczegółowego dla poszczególnych rodzajów działalności. SZBI ma być audytowalny — udokumentowany w sposób, który pozwala niezależnemu audytorowi ocenić jego adekwatność i skuteczność.
3. Kogo dotyczy ustawa o KSC (NIS2) w 2026 roku?
Ustawa dotyczy podmiotów spełniających jednocześnie dwa warunki: (1) działają w sektorze wymienionym w Załączniku nr 1 (sektory kluczowe) lub Załączniku nr 2 (sektory ważne) ustawy o KSC oraz (2) są dużym lub średnim przedsiębiorcą wg rozp. 651/2014/UE. Od tej zasady są wyjątki sektorowo-wielkościowe (art. 5 ust. 1 pkt 2–4 i ust. 2 pkt 3–8): bez progu wielkości — dostawcy DNS, kwalifikowani dostawcy usług zaufania, podmioty krytyczne (CER), podmioty publiczne z zał. 1, operator obiektów energetyki jądrowej, TLD, dostawca usług rejestracji nazw domen; od progu „co najmniej średni” — przedsiębiorcy komunikacji elektronicznej (PK); od „co najmniej mały” — MSSP (PK); jako PW niezależnie od progu mikrowielkości — niekwalifikowani dostawcy usług zaufania (mikro/mały/średni) i mikro/mały telekom. Po nowelizacji NIS 2 zakres podmiotowy istotnie wzrósł — szacuje się, że obowiązkami objętych jest 30–40 tys. podmiotów w Polsce.
4. Jak sprawdzić, czy moja firma podlega ustawie o KSC?
Wykonaj 3 kroki samoidentyfikacji: (1) sprawdź, czy Twój sektor (PKD, koncesje, świadczone usługi) figuruje w Załączniku nr 1 lub nr 2 do ustawy; (2) zmierz wielkość — policz pracowników (FTE) i sprawdź obrót/sumę bilansową na podstawie sprawozdania finansowego, w grupie kapitałowej zsumuj wartości całej grupy; (3) sprawdź wyjątki bez progu wielkości (DNS, MSSP, telekom itp.). Udokumentuj decyzję notatką z datą i podstawami prawnymi — to jest Twój dowód przy kontroli. Jeśli wynik to PK lub PW — masz 6 miesięcy na rejestrację w wykazie S46.
5. Czy mikro- i mały przedsiębiorca może podlegać KSC?
Co do zasady mikro- (< 10 prac.) i mali przedsiębiorcy (10–49 prac.) są poza zakresem ustawy o KSC. Są jednak istotne wyjątki. PK niezależnie od wielkości (art. 5 ust. 1 pkt 4): dostawca usług DNS (lit. a), kwalifikowany dostawca usług zaufania (lit. b), podmiot krytyczny – CER (lit. c), podmiot publiczny wskazany w zał. 1 (lit. d), państwowa osoba prawna zidentyfikowana decyzją (lit. f), operator obiektu energetyki jądrowej (lit. h), rejestr nazw domen TLD (lit. i), podmiot świadczący usługi rejestracji nazw domen (lit. j). MSSP (dostawca zarządzanych usług bezpieczeństwa) jest PK od progu „co najmniej mały” (art. 5 ust. 1 pkt 3) — mikro-MSSP nie jest PK. Mikro/mały przedsiębiorca komunikacji elektronicznej jest PW (art. 5 ust. 2 pkt 4), a niekwalifikowany dostawca usług zaufania będący mikro/małym/średnim — PW (art. 5 ust. 2 pkt 3). Jeśli prowadzisz mały biznes w jednym z wymienionych obszarów — ustawa obejmuje Cię od pierwszego dnia działalności kwalifikowanej, jako PK lub PW.
6. Czym różni się podmiot kluczowy od podmiotu ważnego?
Trzy główne różnice: (1) sektor — PK z Załącznika nr 1 (krytyczna infrastruktura), PW z Załącznika nr 2 (sektory wspierające); (2) reżim nadzoru — PK podlega nadzorowi ex-ante (możliwe planowe kontrole bez przesłanek), PW reżimowi ex-post (kontrole po incydencie lub skardze); (3) wysokość kar — dla PK max 10 mln EUR lub 2% rocznych przychodów z działalności gospodarczej w roku poprzednim (art. 73 ust. 3, min. 20 000 zł), dla PW max 7 mln EUR lub 1,4% rocznych przychodów (art. 73 ust. 4, min. 15 000 zł). Obowiązki SZBI są w większości takie same, ale PK ma dodatkowo obowiązkowy audyt zewnętrzny co najmniej raz na 3 lata (art. 15 ust. 1) i wyższe oczekiwania co do dojrzałości procesów.
7. Czy podmiot kluczowy i podmiot ważny mają taki sam SZBI?
Materialny zakres SZBI jest taki sam — oba muszą realizować pełen katalog środków z art. 8 ust. 1 (szacowanie ryzyka, polityki bezpieczeństwa, łańcuch dostaw, kryptografia, ciągłość działania, zarządzanie incydentami itd.). Różnica leży w intensywności i dowodzeniu: od PK organy nadzoru oczekują wyższej dojrzałości, częstszych przeglądów, formalnego audytu zewnętrznego co najmniej raz na 3 lata (art. 15 ust. 1) oraz większej liczby udokumentowanych dowodów. Wyjątek dotyczy podmiotów ważnych będących podmiotami publicznymi oraz uczelni i instytutów naukowych realizujących zadania publiczne (art. 8 ust. 3) — one stosują uproszczony SZBI wg Załącznika nr 4 (mniej rozbudowany, bez obowiązku audytu zewnętrznego).
8. Co dokładnie musi zawierać SZBI? Jakie są obszary?
Pełny minimalny katalog wynika z art. 8 ust. 1 ustawy o KSC i obejmuje: szacowanie ryzyka i zarządzanie ryzykiem (pkt 1); 14 środków technicznych i organizacyjnych w pkt 2 lit. a–n — politykę szacowania ryzyka i bezpieczeństwa systemu informacyjnego (lit. a), bezpieczeństwo w nabywaniu/rozwoju/utrzymaniu systemów wraz z testowaniem (lit. b), bezpieczeństwo fizyczne i środowiskowe (lit. c), bezpieczeństwo zasobów ludzkich (lit. d), bezpieczeństwo i ciągłość łańcucha dostaw produktów ICT, usług ICT i procesów ICT (lit. e), plany ciągłości działania, awaryjne i odtworzeniowe – BCM/DR (lit. f), monitorowanie systemu w trybie ciągłym (lit. g), polityki i procedury oceny skuteczności środków (lit. h), edukację personelu z zakresu cyberbezpieczeństwa (lit. i), podstawowe zasady cyberhigieny (lit. j), kryptografię w tym szyfrowanie (lit. k), bezpieczne środki komunikacji elektronicznej z MFA (lit. l), zarządzanie aktywami (lit. m), polityki kontroli dostępu (lit. n); zbieranie informacji o cyberzagrożeniach i podatnościach (pkt 3); zarządzanie incydentami (pkt 4); środki ograniczające wpływ incydentów (pkt 5 lit. a–d). Każdy obszar musi mieć udokumentowane procedury i dowody operacyjnego stosowania.
9. Czy ISO/IEC 27001 wystarczy do spełnienia obowiązku SZBI?
ISO/IEC 27001 pokrywa znaczną część obszarów SZBI z ustawy o KSC, ale nie jest tożsamy z obowiązkiem ustawowym. Certyfikat ISO 27001 jest dowodem dojrzałości, lecz nie zwalnia z: (1) wdrożenia obowiązków specyficznych dla KSC (raportowanie incydentów do CSIRT, rejestracja w S46, szkolenia kierownictwa), (2) obowiązkowego audytu bezpieczeństwa dla PK (art. 15), (3) zachowania spójności dokumentacji z polskimi aktami wykonawczymi. W praktyce: jeśli masz ISO 27001, czas wdrożenia SZBI skraca się z 9–18 miesięcy do 3–6 miesięcy. Audyt KSC i certyfikacja ISO są równoległe, nie zastępcze.
10. Czy SZBI wymaga formalnej certyfikacji?
Nie. Ustawa o KSC nie wymaga certyfikacji SZBI przez akredytowaną jednostkę. Wymaga natomiast — dla podmiotów kluczowych — obowiązkowego audytu bezpieczeństwa systemu informacyjnego co najmniej raz na 3 lata (art. 15 ust. 1), wykonywanego przez akredytowany podmiot lub jednostkę z odpowiednimi uprawnieniami. Audyt jest sprawdzeniem zgodności i skuteczności SZBI, ale nie skutkuje wystawieniem „certyfikatu KSC”. Raport z audytu jest dokumentem wewnętrznym, ale w razie kontroli organ nadzoru ma prawo go żądać.
11. Do kiedy trzeba wdrożyć SZBI?
Dla podmiotów istniejących w dniu wejścia ustawy w życie (3 kwietnia 2026 r.) — 12 miesięcy od tego dnia, czyli do 3 kwietnia 2027 r. (art. 33 ust. 1 ustawy nowelizującej z 23.01.2026, Dz.U. 2026 poz. 252). Dla nowych podmiotów (np. firma, która osiągnie próg 250 pracowników w 2027 r.) art. 33 ust. 1 nie ma zastosowania — taki podmiot ma 6 miesięcy na rejestrację w wykazie S46 (art. 7c ust. 1) i równolegle musi zbudować SZBI; w praktyce organy oczekują pełnej zgodności w rozsądnym czasie po rejestracji. Uwaga: rejestracja w wykazie S46 (zwykle do 3.10.2026 wg harmonogramu ministra) jest wcześniejszym terminem niż wdrożenie SZBI dla podmiotów istniejących 3.04.2026 — nie czekaj z rejestracją do końca roku 2027.
12. Od kiedy biegnie 12-miesięczny termin na SZBI?
Dla podmiotów istniejących w dniu wejścia ustawy w życie (3 kwietnia 2026 r.) — od tego dnia, niezależnie od daty faktycznego spełnienia przesłanek sektorowo-wielkościowych (art. 33 ust. 1 ustawy nowelizującej). Dla podmiotów, które dopiero po 3.04.2026 osiągną status PK lub PW (np. zatrudnienie 250. pracownika lub przekroczenie obrotu 50 mln EUR za pełny rok obrotowy) — przepis przejściowy art. 33 nie ma zastosowania; obowiązują wówczas zwykłe terminy: 6 miesięcy na rejestrację w wykazie S46 od dnia spełnienia przesłanek (art. 7c ust. 1), a SZBI budowany jest równolegle. Datę spełnienia przesłanek udokumentuj notatką z podstawą prawną i podpisem kierownika — będzie ona dowodem przy ewentualnej kontroli i podstawą obrony przed zarzutem opóźnienia.
13. Co to jest samoidentyfikacja i jak ją przeprowadzić?
Samoidentyfikacja to obowiązek samodzielnej oceny przez organizację, czy spełnia kryteria uznania za podmiot kluczowy lub ważny. Polska ustawa nie przewiduje, że organ właściwy wyśle pismo informujące o objęciu KSC — to Ty masz to ustalić. Procedura: (1) sprawdź sektor wg Załączników 1–2; (2) zmierz wielkość firmy (FTE, obrót, suma bilansowa) na podstawie ostatniego sprawozdania finansowego; (3) zastosuj zasadę jedynego przedsiębiorstwa dla grupy kapitałowej; (4) sprawdź wyjątki bez progu (DNS, MSSP, telekom itp.); (5) sporządź notatkę z wynikiem, datą i podpisem kierownika; (6) zarejestruj się w wykazie S46.
14. Co grozi za błędną samoidentyfikację?
Błędna samoidentyfikacja (np. uznanie, że nie podlegasz, gdy faktycznie podlegasz) nie zwalnia z odpowiedzialności. Konsekwencje: (1) organ właściwy może zarejestrować podmiot z urzędu po przeprowadzeniu kontroli; (2) możliwa kara administracyjna za niezłożenie wniosku o wpis (art. 73 ust. 1a pkt 1) oraz za brak SZBI od dnia spełnienia przesłanek; (3) odpowiedzialność osobista kierownika podmiotu — art. 73a ust. 4 do 300% rocznego wynagrodzenia w sektorze prywatnym, art. 73a ust. 5 do 100% w przypadku kierownika podmiotu publicznego (chyba że podmiot publiczny działa też w innym sektorze z zał. 1/2 — wtedy do 300%); (4) ryzyko reputacyjne i odpowiedzialność cywilna wobec klientów. Przy wątpliwościach — zarejestruj się; wycofanie wpisu po przedstawieniu argumentów jest łatwiejsze niż obrona przed karami.
15. Do kiedy trzeba zarejestrować się w wykazie S46?
Zasada ogólna: 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub ważny (art. 7c ust. 1 ustawy o KSC). Dla podmiotów istniejących w dniu wejścia ustawy nowelizującej w życie (3.04.2026) terminy złożenia wniosku wynikają z harmonogramu ogłoszonego przez ministra właściwego ds. informatyzacji w komunikacie w dzienniku urzędowym (art. 33 ust. 3 i art. 34 ust. 3 ustawy nowelizującej) — z reguły do 3 października 2026 r., ale dla niektórych rodzajów podmiotów minister może wskazać inny termin. Dla nowych podmiotów (powstałych po 3.04.2026 lub przekraczających próg później) — 6 miesięcy od osiągnięcia statusu PK/PW. Rejestracja odbywa się elektronicznie w systemie S46 prowadzonym przez NASK. Wymagane dane obejmują: identyfikację podmiotu, kategorię (PK/PW), sektor, dane kontaktowe (min. 2 osoby; 1 osoba dla mikro- lub małych przedsiębiorców), opis usług kluczowych, listę systemów informacyjnych istotnych dla świadczenia tych usług.
16. Co jeśli firma nie zarejestruje się w terminie?
Brak rejestracji w terminie wynikającym z art. 7c ust. 1 (lub harmonogramu ministra dla podmiotów istniejących 3.04.2026 — art. 33 ust. 3 nowelizacji) to naruszenie obowiązku ustawowego zagrożone fakultatywną karą pieniężną na podmiot (art. 73 ust. 1a pkt 1) oraz osobistą karą dla kierownika (art. 73a ust. 1 pkt 1). Po stwierdzeniu naruszenia organ właściwy może: (1) wezwać do uzupełnienia rejestracji, (2) zarejestrować podmiot z urzędu, (3) wszcząć postępowanie kontrolne, (4) nałożyć karę pieniężną — dla PK do 10 mln EUR lub 2% rocznych przychodów z działalności gospodarczej (art. 73 ust. 3, min. 20 000 zł), dla PW do 7 mln EUR lub 1,4% rocznych przychodów (art. 73 ust. 4, min. 15 000 zł). Brak wpisu nie oznacza wyłączenia z ustawy — status wynika ze spełnienia przesłanek, nie z rejestracji.
17. Czy stary operator usługi kluczowej (OUK) musi się rejestrować ponownie?
Tak — w nowym wykazie S46. Decyzje administracyjne wyznaczające OUK na podstawie poprzedniej wersji ustawy nie przechodzą automatycznie na status „podmiotu kluczowego” pod NIS 2. Każdy OUK musi przeprowadzić samoidentyfikację według nowych kryteriów (sektor + wielkość) i złożyć wniosek o wpis w terminie 6 miesięcy od wejścia ustawy w życie. W większości przypadków wynik jest oczywisty (OUK = PK), ale formalny krok rejestracji jest konieczny. Dotychczasowe stare wpisy OUK są wygaszane, a nowy wykaz S46 jest prowadzony jednolicie.
18. Jak liczyć wielkość firmy w grupie kapitałowej?
Stosuje się zasadę jedynego przedsiębiorstwa z rozp. Komisji (UE) nr 651/2014 (zał. I): jeśli firma ma jednostki powiązane (kontrola, większość praw głosu, prawo wpływu na zarząd) lub partnerskie (≥ 25% udziałów lub praw głosu), do progu wielkości sumuje się dane całej grupy proporcjonalnie. Przykład: spółka z 240 pracownikami w Polsce, której 60% udziałów ma niemiecki holding zatrudniający łącznie 5 000 osób — w sensie KSC liczy się jako duży przedsiębiorca (≥ 250 prac.), bo dane całej grupy się sumują. Wyjątkiem są niektóre relacje z funduszami inwestycyjnymi i jednostkami publicznymi.
19. Czy urząd gminy podlega ustawie o KSC?
Tak — JST (gminy, powiaty, województwa) wymienione w Załączniku nr 1 ustawy o KSC są podmiotami kluczowymi (np. duże miasta wskazane w zał. 1 — sektor administracji publicznej). Pozostałe JST i jednostki samorządowe (samorządowe jednostki budżetowe, zakłady, instytucje kultury, spółki komunalne) realizujące zadania publiczne z wykorzystaniem systemów informacyjnych są podmiotami ważnymi będącymi podmiotami publicznymi (art. 5 ust. 2 pkt 8). Te ostatnie nie stosują pełnego SZBI z art. 8 ust. 1 — opracowują, wdrażają i utrzymują system zgodny z Załącznikiem nr 4 do ustawy (art. 8 ust. 3) i korzystają z uproszczonego reżimu raportowania incydentów (rozdz. 3). Wójt/burmistrz/prezydent miasta odpowiada osobiście za wdrożenie obowiązków cyberbezpieczeństwa (art. 8c). Kara osobista kierownika podmiotu publicznego — do 100% rocznego wynagrodzenia (art. 73a ust. 5); jeżeli ten sam podmiot publiczny działa też w innym sektorze z zał. 1 lub 2 — stosuje się wymiar do 300% (art. 73a ust. 5 zd. 2 w zw. z ust. 4).
20. Czy szpital podlega ustawie o KSC?
Większość szpitali podlega ustawie, ale klasyfikacja zależy od formy prawnej i skali. Szpital będący przedsiębiorcą (np. spółka): duży (przewyższa wymogi dla średniego — > 250 prac. lub obrót > 50 mln EUR i suma bilansowa > 43 mln EUR) działający w sektorze ochrony zdrowia z Załącznika nr 1 — podmiot kluczowy (art. 5 ust. 1 pkt 1); średni (50–249 prac. lub obrót 10–50 mln EUR) — podmiot ważny (art. 5 ust. 2 pkt 1). Szpital niebędący przedsiębiorcą (SP ZOZ, samodzielna jednostka publiczna): art. 5 ust. 8 — od 50 do 249 zatrudnionych = PW, co najmniej 250 zatrudnionych = PK (niezależnie od kryterium obrotowego). Małe placówki prywatne (poniżej progu małego przedsiębiorcy) co do zasady są poza ustawą. SP ZOZ-y i inne publiczne podmioty lecznicze mają dodatkowo obowiązki wynikające z RODO oraz przepisów o dokumentacji medycznej, które splatają się z SZBI. Dyrektor szpitala odpowiada osobiście za cyberbezpieczeństwo placówki (art. 8c) — kara osobista do 100% wynagrodzenia (publiczny) lub 300% (prywatny).
21. Czy uczelnia publiczna podlega ustawie o KSC?
Tak — uczelnie publiczne są co do zasady podmiotami ważnymi (sektor badań naukowych z Załącznika nr 2 lub jako podmioty wskazane w przepisach). Art. 8 ust. 3 ustawy o KSC stanowi wprost, że podmioty wymienione w art. 7 ust. 1 pkt 1–4 i 6–7 ustawy z 20 lipca 2018 r. Prawo o szkolnictwie wyższym i nauce (uczelnie publiczne, federacje, jednostki PAN, instytuty badawcze, instytuty międzynarodowe) niebędące organizacją badawczą — w zakresie, w jakim realizują zadania publiczne z wykorzystaniem systemów informacyjnych — nie stosują pełnego SZBI z art. 8 ust. 1, lecz system zgodny z Załącznikiem nr 4 do ustawy. Uczelnie mają obowiązek rejestracji w S46 i raportowania incydentów. W praktyce większość uczelni publicznych już dziś prowadzi politykę bezpieczeństwa informacji (KRI, RODO) — nowe wymogi KSC wymuszą sformalizowanie SZBI wg zał. 4, dodanie obszaru łańcucha dostaw i przegląd umów z dostawcami systemów dziekanatowych, USOS, eksploatatorami serwerowni.
22. Czy jednoosobowa działalność gospodarcza świadcząca usługi IT podlega KSC?
W większości przypadków nie — JDG to z reguły mikroprzedsiębiorca, a KSC obejmuje co do zasady średnich i dużych. Wyjątki, w których JDG-mikroprzedsiębiorca staje się PK niezależnie od wielkości (art. 5 ust. 1 pkt 4): świadczenie usług DNS, kwalifikowany dostawca usług zaufania (mało prawdopodobne dla JDG), TLD lub usługi rejestracji nazw domen. Uwaga: status MSSP czyni podmiot PK dopiero od progu „co najmniej mały” (art. 5 ust. 1 pkt 3) — JDG zatrudniający poniżej 10 osób (mikro) jako MSSP nie jest PK. Częstszym scenariuszem jest pośrednie objęcie: JDG jako dostawca podmiotu kluczowego musi spełnić wymogi łańcucha dostaw narzucone umownie przez tego klienta (art. 8 ust. 1 pkt 2 lit. e — klauzule cyber, prawo do audytu, MFA, raportowanie incydentów). To nie czyni JDG podmiotem KSC, ale wymusza zgodność praktyczną.
23. Czy dostawca podmiotu kluczowego sam podlega KSC?
Niekoniecznie — sama relacja „dostawca PK” nie czyni dostawcy podmiotem KSC. Dostawca podlega ustawie tylko, jeśli sam spełnia kryteria sektora + wielkości (lub wyjątku z art. 5). Ale w praktyce dostawca PK jest pośrednio związany wymogami: PK ma obowiązek zarządzać ryzykiem łańcucha dostaw (art. 8 ust. 1 pkt 2 lit. e oraz ust. 2 — uwzględnianie podatności dostawcy, jakości produktów ICT, wyników skoordynowanej oceny Grupy Współpracy NIS 2, postępowania z art. 67b), więc nakłada na dostawców klauzule umowne — MFA, szyfrowanie, raportowanie incydentów, prawo do audytu, zgodność z politykami PK. Dla dostawcy oznacza to praktyczne wdrożenie zasad SZBI bez formalnego statusu PK. Osobny problem to dostawca wysokiego ryzyka (DWR) — jego sprzęt/oprogramowanie może być wycofywany decyzją administracyjną na podstawie postępowania z art. 67b.
24. Kto odpowiada za wdrożenie SZBI w organizacji?
Kierownik podmiotu — czyli zarząd spółki, dyrektor jednostki, wójt, dyrektor szpitala. Art. 8c ust. 1 ustawy o KSC stanowi wprost, że kierownik podmiotu kluczowego lub ważnego ponosi odpowiedzialność za wykonywanie obowiązków określonych m.in. w art. 7c, art. 8, art. 8d, art. 8e, art. 9–12b, art. 14 i art. 15. Jeżeli kierownikiem jest organ wieloosobowy i nie wskazano osoby odpowiedzialnej — odpowiedzialność ponoszą wszyscy członkowie tego organu (art. 8c ust. 2). Powierzenie obowiązków innej osobie za jej zgodą nie zwalnia kierownika z odpowiedzialności (art. 8c ust. 3). Art. 8d wymienia konkretne czynności kierownika: decyzje w zakresie SZBI, planowanie środków finansowych, przydzielanie zadań, zapewnienie świadomości personelu i zgodności działania. W praktyce zarząd wyznacza osobę zarządzającą cyberbezpieczeństwem (np. CISO, IBI, pełnomocnik ds. cyberbezpieczeństwa), ale ostatecznie kierownik podpisuje politykę bezpieczeństwa, akceptuje rejestr ryzyk i odpowiada za skuteczność systemu — także osobiście (kara art. 73a do 100%/300% wynagrodzenia).
25. Czy zarząd ponosi osobistą odpowiedzialność za brak SZBI?
Tak — i jest to jedna z najważniejszych zmian wprowadzonych przez NIS 2 do polskiego prawa. Art. 73a ust. 1 ustawy o KSC wprowadza karę pieniężną nakładaną bezpośrednio na kierownika podmiotu za niewykonywanie obowiązków z art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8e, art. 8f ust. 1 i 2, art. 9–12b, art. 14 i art. 15. Wymiar kary: do 300% rocznego wynagrodzenia (art. 73a ust. 4 — sektor prywatny i publiczny działający też w innym sektorze z zał. 1/2) lub do 100% rocznego wynagrodzenia (art. 73a ust. 5 — kierownik podmiotu publicznego niedziałającego w innym sektorze). Wyznaczenie jednego członka organu wieloosobowego odpowiedzialnego za cyberbezpieczeństwo nie zwalnia pozostałych, chyba że wskazano osobę odpowiedzialną (art. 8c ust. 2). Dodatkowo, niezależnie od kary z art. 73a, kierownik może podlegać karze z art. 73 ust. 1 (na podmiot) — art. 73a ust. 3.
26. Czy audyt SZBI jest obowiązkowy i kogo dotyczy?
Audyt bezpieczeństwa systemu informacyjnego jest obowiązkowy dla podmiotów kluczowych (art. 15 ust. 1 ustawy o KSC w brzmieniu nadanym nowelizacją): podmiot kluczowy przeprowadza, na własny koszt, co najmniej raz na 3 lata audyt — licząc od dnia sporządzenia i podpisania przez audytorów raportu z ostatniego audytu. Wykonuje go akredytowany podmiot lub osoba z uprawnieniami określonymi w art. 15 ust. 2. Audyt nie może być przeprowadzony przez osobę realizującą w podmiocie audytowanym zadania z art. 8 lub art. 9–13, ani przez osobę, która realizowała te zadania w okresie roku przed dniem rozpoczęcia audytu (art. 15 ust. 2a). Pierwszy audyt: dla podmiotów kluczowych istniejących 3.04.2026 — w terminie 24 miesięcy od dnia wejścia ustawy w życie, czyli do 3.04.2028 (art. 33 ust. 2 ustawy nowelizującej). Dla operatorów usług kluczowych (OUK), którzy wykonali audyt zgodnie z poprzednią wersją ustawy, nie stosuje się przepisu art. 33 ust. 2 nowelizacji (art. 25 nowelizacji). Podmioty ważne nie mają obowiązkowego audytu zewnętrznego — wystarczy regularny przegląd zarządczy SZBI.
27. Co ile lat trzeba przeprowadzać audyt SZBI?
Co najmniej raz na 3 lata dla podmiotów kluczowych (art. 15 ust. 1). Liczenie biegnie od daty sporządzenia i podpisania raportu z poprzedniego audytu — nie od początku roku kalendarzowego. Niezależnie, organ właściwy do spraw cyberbezpieczeństwa może w drodze decyzji nakazać przeprowadzenie zewnętrznego audytu, określić zakres i termin (art. 15 ust. 1b). Niezależnie od audytu, ustawa wymaga corocznego szkolenia kierownika podmiotu i osoby, której powierzono jego obowiązki w zakresie cyberbezpieczeństwa (art. 8e ust. 1) oraz dokumentowania udziału w szkoleniu (ust. 3).
28. Jakie kary grożą za brak SZBI?
Maksymalne kary administracyjne: dla podmiotu kluczowego — do 10 000 000 EUR lub 2% rocznych przychodów z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary (zastosowanie wyższej kwoty, minimum 20 000 zł — art. 73 ust. 3); dla podmiotu ważnego — do 7 000 000 EUR lub 1,4% rocznych przychodów (minimum 15 000 zł — art. 73 ust. 4). Niezależnie, jeżeli podmiot powoduje bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, porządku publicznego lub życia i zdrowia ludzi — organ nakłada karę do 100 000 000 zł (art. 73 ust. 5). Dodatkowo kara osobista dla kierownika podmiotu — do 300% rocznego wynagrodzenia (sektor prywatny i podmiot publiczny działający w innym sektorze z zał. 1/2 — art. 73a ust. 4) lub do 100% (kierownik podmiotu publicznego — art. 73a ust. 5). Praktyczna kalkulacja: dla średniej polskiej firmy z przychodami 100 mln EUR maksymalna kara dla PK to 2 mln EUR — to powyżej rocznego budżetu typowego działu IT.
29. Od kiedy będą egzekwowane kary KSC?
Art. 35 ustawy nowelizującej z 23.01.2026 (Dz.U. 2026 poz. 252) stanowi: kary pieniężne, o których mowa w art. 73 ust. 1–4 oraz art. 73a–73c i art. 76b ustawy o KSC w brzmieniu nowym, mogą być po raz pierwszy nałożone po upływie 2 lat od dnia wejścia ustawy w życie — czyli od 3 kwietnia 2028 r. Nie oznacza to jednak bezkarności do tego momentu: (1) kara za bezpośrednie i poważne cyberzagrożenie z art. 73 ust. 5 (do 100 mln zł) nie jest objęta art. 35 i może być nakładana wcześniej, (2) odpowiedzialność cywilna wobec klientów i kontrahentów (np. za naruszenie umowy SLA z powodu braku zabezpieczeń) jest niezależna od KSC, (3) odpowiedzialność karna z innych ustaw (np. za nieumyślne ujawnienie danych osobowych) działa niezależnie. Dwuletni okres przejściowy ma umożliwić podmiotom dotrzymanie terminu wdrożenia SZBI (3.04.2027) i pierwszego audytu (3.04.2028) bez ryzyka kary za sam fakt opóźnienia we wdrożeniu.
30. Jak SZBI ma się do RODO, ISO 27001, DORA i KRI?
Wszystkie cztery reżimy się nakładają i należy je traktować jako warstwy wymagań: (1) RODO — chroni dane osobowe; SZBI z KSC obejmuje wszystkie aktywa informacyjne, więc dobrze zaprojektowany SZBI pokrywa wymogi RODO w obszarze art. 32 (techniczne i organizacyjne środki bezpieczeństwa); (2) ISO/IEC 27001 — to dobrowolny standard zgodny z SZBI z KSC; certyfikat ISO przyspiesza wdrożenie KSC, ale go nie zastępuje; (3) DORA — rozporządzenie (UE) 2022/2554 dla sektora finansowego (banki, ubezpieczyciele, domy maklerskie); art. 8i ustawy o KSC stanowi, że do podmiotów kluczowych lub ważnych z sektora bankowości i infrastruktury rynków finansowych — gdy są jednocześnie objęte DORA — w zakresie zarządzania ryzykiem ICT, zgłaszania incydentów, ciągłości działania i testowania ICT stosuje się DORA jako lex specialis; (4) KRI — rozporządzenie o Krajowych Ramach Interoperacyjności obowiązuje urzędy; wymagania KRI w zakresie bezpieczeństwa są podzbiorem SZBI z KSC i Załącznika nr 4 (dla podmiotów publicznych PW). Praktyczna rekomendacja: zbuduj jeden zintegrowany SZBI obejmujący wszystkie reżimy, z mapą zgodności pokazującą, który wymóg z którego aktu jest spełniony przez którą procedurę.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.