ICT8 min czytania

KSC dla ICT — MSSP, chmura, DNS, kwalifikowani dostawcy

Które podmioty ICT podlegają KSC

Sektor ICT (technologie informacyjne i komunikacyjne) jest objęty ustawą o KSC w dwóch kategoriach: infrastruktura cyfrowa i zarządzanie usługami ICT (zał. 1) oraz dostawcy usług cyfrowych (zał. 2). Dodatkowo art. 5 ust. 1 pkt 3 i 4 KSC wymienia kategorie podmiotów podlegających KSC niezależnie od wielkości przedsiębiorstwa — to wyjątek istotny przede wszystkim dla branży ICT.

Wyjątki bez progu wielkości

Typ usługi ICTPróg wielkościStatusPodstawa prawna
Dostawca usług DNS (poza operatorem TLD)Brak — każda wielkośćPKart. 5 ust. 1 pkt 4 lit. a
Kwalifikowany dostawca usług zaufania (QTSP wg eIDAS)Brak — każda wielkośćPKart. 5 ust. 1 pkt 4 lit. b
Rejestr nazw domeny najwyższego poziomu (TLD, np. .pl, .com)Brak — każda wielkośćPKart. 5 ust. 1 pkt 4 lit. i
Podmiot świadczący usługi rejestracji nazw domen (akredytowany rejestrator)Brak — każda wielkośćPKart. 5 ust. 1 pkt 4 lit. j
Dostawca usług zarządzanych ds. cyberbezpieczeństwa (MSSP)Od małego przedsiębiorcy (mikro wyłączony)PKart. 5 ust. 1 pkt 3
Niekwalifikowany dostawca usług zaufania (mikro/mały/średni)Mikro, mały, średniPWart. 5 ust. 2 pkt 3
Przedsiębiorca telekomunikacyjny — średni/dużyŚredni i dużyPKart. 5 ust. 1 pkt 2
Przedsiębiorca telekomunikacyjny — mikro/małyMikro i małyPWart. 5 ust. 2 pkt 4

Klasyfikacja typów usług ICT

Typ usługi ICT (standardowy próg)SektorStatus (średni)Status (duży)
Dostawca chmury obliczeniowej (IaaS / PaaS / SaaS)Zał. 1 — Infrastruktura cyfrowaPWPK
Dostawca usług centrum przetwarzania danychZał. 1 — Infrastruktura cyfrowaPWPK
Dostawca sieci dostarczania treści (CDN)Zał. 1 — Infrastruktura cyfrowaPWPK
Dostawca usług zarządzanych (MSP, bez "cyber")Zał. 1 — Zarządzanie usługami ICTPWPK
Internetowy portal marketplace, wyszukiwarka, sieć społ.Zał. 2 — Dostawcy usług cyfrowychPWPW

Zakres usługi

  • Klasyfikacja podmiotu wg art. 5 KSC + zał. 1 i 2 — szczególna uwaga na wyjątki bez progu z pkt 3 i 4
  • Rejestracja w wykazie S46 (art. 7c)
  • Wdrożenie SZBI z 14 obszarów art. 8 ust. 1 pkt 2 lit. a–n — dostosowane do typu usługi cyfrowej
  • Procedury reagowania na incydenty (art. 11–12b) z integracją z CSIRT NASK
  • Dla MSSP — wdrożenie obowiązków informacyjnych z art. 8g (publikacja informacji na stronie internetowej)
  • Coroczne szkolenie kierownika (art. 8e ust. 1)
  • Audyt bezpieczeństwa (PK) — pierwszy do 3.04.2028 r.
  • Klauzule umowne dla klientów PK (zarządzanie ryzykiem łańcucha dostaw — art. 8 ust. 1 pkt 2 lit. e)

Terminy wdrożenia

EtapTerminPodstawa prawna
Rejestracja w S466 miesięcy od spełnienia przesłanek (nowe podmioty) lub harmonogram MC (istniejące)art. 7c ust. 1 + art. 33 ust. 3 ust. nowel.
Wdrożenie SZBIdo 3 kwietnia 2027 r. (istniejący) lub 12 mies. od kwalifikacji (nowy)art. 33 ust. 1 + art. 16 pkt 1
Pierwszy audyt (PK)do 3 kwietnia 2028 r. lub 24 mies. od kwalifikacjiart. 33 ust. 2 + art. 16 pkt 2
Coroczne szkolenie kierownikaRaz w roku kalendarzowymart. 8e ust. 1

MSSP — szczególne obowiązki

Dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa (MSSP) — czyli podmioty świadczące usługi typu SOC-as-a-Service, MDR (Managed Detection & Response), Incident Response, threat intelligence — to podmioty kluczowe od poziomu małego przedsiębiorcy (art. 5 ust. 1 pkt 3 KSC, mikroprzedsiębiorca wyłączony). To bardzo niski próg w porównaniu do innych sektorów. Dodatkowo MSSP świadczący usługę obsługi incydentów ma szczególne obowiązki informacyjne z art. 8g KSC.

  • Status PK od 10 osób / obrotu 2 mln EUR (próg małego przedsiębiorcy) — art. 5 ust. 1 pkt 3
  • Pełne 14 obszarów SZBI (art. 8 ust. 1 pkt 2 lit. a–n) — bez uproszczeń
  • Audyt co 3 lata (art. 15 ust. 1)
  • Obowiązek publikacji informacji na stronie WWW (art. 8g KSC) — nazwa, adres, dane kontaktowe, opis usług, model 24/7 lub harmonogram dostępności
  • Klauzule umowne z klientami obejmujące zakres usług, SLA, poufność, raportowanie incydentów
  • Klasyfikacja jako MSSP (a nie zwykły MSP) wymaga jasnej oferty cyberbezpieczeństwa — Q&A 1.7

Cena i konsultacja

Bezpłatna konsultacja obejmuje klasyfikację (PK/PW + ewentualne wyjątki bez progu), mapę usług cyfrowych i identyfikację specyficznych wymogów dla danego typu działalności (MSSP, chmura, DNS, telekom). Wycena indywidualna w zależności od typu usługi, skali infrastruktury i lokalizacji. Lokalna obecność na Pomorzu — dla pomorskich firm IT i klastrów (Pomorski Klaster ICT „Interizon") dostępność on-site bez kosztów delegacji. Patrz: Dostawca chmury w KSC.
FAQ5 pytań

Najczęstsze pytania

Czy moja mała firma IT podlega KSC?
Co do zasady mała firma (poniżej 50 prac. lub obrotu poniżej 10 mln EUR) jest poza KSC — z istotnymi wyjątkami. Mała firma IT podlega KSC, jeśli: (1) jest dostawcą usług DNS (PK z art. 5 ust. 1 pkt 4 lit. a, każda wielkość), (2) jest kwalifikowanym dostawcą usług zaufania (PK z lit. b), (3) jest rejestratorem domen lub operatorem TLD (PK z lit. i, j), (4) jest MSSP świadczącym usługi zarządzane ds. cyberbezpieczeństwa (PK od poziomu małego przedsiębiorcy — art. 5 ust. 1 pkt 3), (5) jest niekwalifikowanym dostawcą usług zaufania mikro/małym/średnim (PW z art. 5 ust. 2 pkt 3), (6) jest przedsiębiorcą telekomunikacyjnym mikro/małym (PW z art. 5 ust. 2 pkt 4), (7) zostanie indywidualnie wskazana jako PK lub PW decyzją organu (art. 7l).
Czym różni się MSP od MSSP w KSC?
MSP (Managed Service Provider — dostawca usług zarządzanych IT, bez specjalizacji w cyberbezpieczeństwie) podlega standardowym progom z zał. 1 sektor „Zarządzanie usługami ICT”: średni → PW, duży → PK (art. 5 ust. 1 pkt 1 lub ust. 2 pkt 1). MSSP (Managed Security Service Provider — dostawca usług zarządzanych w zakresie cyberbezpieczeństwa, np. SOC-as-a-Service, MDR, Incident Response, threat intel) podlega obniżonemu progowi z art. 5 ust. 1 pkt 3 KSC: PK od poziomu małego przedsiębiorcy (mikroprzedsiębiorca wyłączony). Klasyfikacja jako MSSP wymaga jasnej oferty cyberbezpieczeństwa w zakresie usług — Q&A 1.7 Ministerstwa Cyfryzacji.
Czy operator polskiej domeny (.pl, NASK) podlega KSC?
Tak — NASK jako operator rejestru polskiej domeny najwyższego poziomu .pl jest podmiotem kluczowym KSC niezależnie od wielkości (art. 5 ust. 1 pkt 4 lit. i — rejestr nazw domeny najwyższego poziomu, TLD). Akredytowani rejestratorzy domen .pl (firmy świadczące usługi rejestracji domen dla klientów końcowych) są również PK z art. 5 ust. 1 pkt 4 lit. j, niezależnie od wielkości. Dodatkowo NASK pełni rolę CSIRT NASK z art. 26 ust. 5 pkt 1 KSC — jednego z trzech CSIRT-ów poziomu krajowego.
Czy dostawca chmury (np. AWS, Azure) podlega KSC w Polsce?
Tak — dostawcy usług chmury obliczeniowej (IaaS, PaaS, SaaS) świadczący usługi w Polsce podlegają KSC w trybie zał. 1, sektor Infrastruktura cyfrowa. Klasyfikacja: średni przedsiębiorca → PW (art. 5 ust. 2 pkt 1); duży → PK (art. 5 ust. 1 pkt 1). Globalni hyperscalerzy (AWS, Azure, GCP) są PK ze względu na rozmiar. Dla podmiotów PK z UE niemających siedziby w Polsce stosuje się przepisy o jurysdykcji z dyrektywy NIS 2 — w praktyce główny zakład w Polsce lub przedstawiciel KSC w Polsce. Lokalni polscy dostawcy chmury klasyfikują się standardowo wg art. 5. Patrz: artykuł „Dostawca chmury w KSC”.
Co to jest art. 8g i kogo dotyczy?
Art. 8g KSC dotyczy podmiotów kluczowych będących dostawcami usług zarządzanych w zakresie cyberbezpieczeństwa (MSSP) świadczących usługę obsługi incydentów. Wprowadza obowiązek publikacji na stronie internetowej co najmniej następujących informacji: (1) nazwa (firma), (2) adres siedziby i adres do doręczeń, (3) dane kontaktowe (telefon, e-mail), (4) opis świadczonych usług (zakres, branże, technologie), (5) model dostępności (24/7 lub harmonogram). Cel: ułatwienie podmiotom kluczowym i ważnym wyboru zaufanego dostawcy usług cyberbezpieczeństwa. Brak publikacji jest naruszeniem ustawy z konsekwencjami z art. 73.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.