Po wejściu w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 252) z dnia 3 kwietnia 2026 r. — która stanowi transpozycję dyrektywy 2022/2555 (NIS2) do polskiego prawa — każda firma działająca w sektorach z załączników nr 1 i 2 do ustawy musi zadać sobie podstawowe pytanie: czy jestem podmiotem kluczowym, podmiotem ważnym, czy w ogóle nie jestem objęty ustawą? Od tej odpowiedzi zależy katalog obowiązków, sposób nadzoru, wysokość potencjalnej kary, a nawet tryb procedury, którą stosuje wobec firmy organ właściwy. Klasyfikacja jest punktem startu całego projektu wdrożeniowego — dlatego warto zrobić ją porządnie. W tym tekście tłumaczymy, jak art. 5 i art. 5a KSC działają w praktyce.

Dwie kategorie, jeden sposób myślenia: sektor + wielkość

Logika KSC jest prosta: o tym, czy jesteś podmiotem kluczowym lub ważnym, decydują dwa kryteria łącznie — sektorowe i wielkościowe. Sektor wynika z załączników nr 1 i 2 do ustawy, wielkość — z rozporządzenia Komisji (UE) nr 651/2014 (tzw. „rozporządzenie 651/2014/UE"), które ustawa wprost przywołuje w art. 5 ust. 1 pkt 1 i art. 5 ust. 2 pkt 1.

Załącznik nr 1 do ustawy obejmuje sektory uznane za szczególnie istotne dla funkcjonowania państwa i gospodarki: energia, transport, bankowość i infrastruktura rynków finansowych, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa (data center, DNS, CDN), zarządzanie usługami ICT i ICT Security, administracja publiczna oraz przestrzeń kosmiczna.

Załącznik nr 2 to sektory ważne, ale o niższej krytyczności: poczta i usługi kurierskie, gospodarka odpadami, chemia, produkcja i przetwórstwo żywności, produkcja w wybranych branżach, dostawcy usług cyfrowych (platformy handlowe, wyszukiwarki, sieci społecznościowe), działalność badawcza.

Przedsiębiorstwa klasyfikuje się natomiast według czterech kategorii wynikających z załącznika I do rozporządzenia 651/2014/UE:

  • mikroprzedsiębiorstwo — zatrudnienie poniżej 10 osób oraz roczny obrót lub suma bilansowa nieprzekraczające 2 mln EUR;
  • małe przedsiębiorstwo — zatrudnienie poniżej 50 osób oraz roczny obrót lub suma bilansowa nieprzekraczające 10 mln EUR;
  • średnie przedsiębiorstwo — zatrudnienie poniżej 250 osób oraz roczny obrót nieprzekraczający 50 mln EUR lub suma bilansowa nieprzekraczająca 43 mln EUR;
  • duże przedsiębiorstwo — wszystko, co przekracza progi średniego przedsiębiorstwa.

W praktyce: bierzesz swój sektor (załącznik), nakładasz wielkość (rozporządzenie), a wynik mówi Ci, czy jesteś poza ustawą, podmiotem ważnym, czy podmiotem kluczowym.

Kiedy jestem podmiotem kluczowym?

Art. 5 ust. 1 KSC wskazuje, że podmiotem kluczowym jest:

  1. osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej wskazana w załączniku nr 1 do ustawy, która przewyższa wymogi dla średniego przedsiębiorstwa określone w rozporządzeniu 651/2014/UE — czyli z grubsza: ma 250+ osób zatrudnienia lub obrót powyżej 50 mln EUR;
  2. przedsiębiorca komunikacji elektronicznej, który co najmniej spełnia wymogi dla średniego przedsiębiorcy lub je przewyższa;
  3. dostawca usług zarządzanych w zakresie cyberbezpieczeństwa (MSSP), który co najmniej spełnia wymogi dla małego albo średniego przedsiębiorcy lub je przewyższa — to bardzo istotny niższy próg (poniżej standardowego progu „średni przedsiębiorca" z dyrektywy NIS2), do którego wracamy poniżej;
  4. niezależnie od wielkości — m.in. dostawca usług DNS, kwalifikowany dostawca usług zaufania, podmiot krytyczny w rozumieniu dyrektywy 2022/2557, podmiot publiczny wskazany w załączniku nr 1, państwowa osoba prawna uznana decyzją na podstawie art. 7m, podmiot będący operatorem obiektu energetyki jądrowej, rejestr nazw domen najwyższego poziomu (TLD) i podmiot świadczący usługi rejestracji nazw domen.

W praktyce dla większości firm rynkowych liczy się pkt 1 — duży podmiot z sektora załącznika nr 1 — oraz pkt 3, czyli MSSP od progu małego przedsiębiorcy.

Kiedy jestem podmiotem ważnym?

Art. 5 ust. 2 KSC wskazuje, że podmiotem ważnym jest m.in.:

  1. podmiot z załącznika nr 1, który spełnia wymogi dla średniego przedsiębiorcy (a nie przewyższa ich), o ile nie jest jednocześnie kluczowym;
  2. podmiot z załącznika nr 2, który spełnia wymogi dla średniego przedsiębiorcy lub je przewyższa, o ile nie jest kluczowym;
  3. niekwalifikowany dostawca usług zaufania będący mikro-, małym lub średnim przedsiębiorcą;
  4. przedsiębiorca komunikacji elektronicznej będący mikro- lub małym przedsiębiorcą;
  5. dalsze, węższe kategorie wymienione w pozostałych punktach art. 5 ust. 2.

Skrótowo: jeżeli jesteś w załączniku nr 1, ale jesteś średnim przedsiębiorcą, jesteś podmiotem ważnym. Jeżeli jesteś w załączniku nr 2 i jesteś średnim lub większym przedsiębiorcą — też jesteś podmiotem ważnym.

MSSP — szczególny przypadek, czyli próg „małego przedsiębiorcy"

Z naszego doświadczenia największym zaskoczeniem wśród Klientów jest art. 5 ust. 1 pkt 3 KSC. Przepis ten obejmuje dostawcę usług zarządzanych w zakresie cyberbezpieczeństwa — w rozumieniu art. 2 pkt 4j KSC, czyli podmiot świadczący usługi związane z zarządzaniem ryzykiem w cyberbezpieczeństwie, w tym obsługę incydentów, testy bezpieczeństwa, audyty systemów informacyjnych i doradztwo. To kategoria SOC-as-a-Service, dostawcy SIEM, pen-testów, zewnętrznych CISO, audytów ISO 27001 i tego typu wyspecjalizowanych usług.

MSSP, który spełnia wymogi małego przedsiębiorcy lub większego, automatycznie podlega ustawie. Status kluczowy/ważny zależy wówczas od dokładnej wielkości:

  • duży MSSP (powyżej progów średniego, czyli 250+ osób lub powyżej 50 mln EUR obrotu) — podmiot kluczowy;
  • średni MSSP (50–249 osób lub 10–50 mln EUR obrotu) — podmiot ważny;
  • mały MSSP (10–49 osób i 2–10 mln EUR obrotu) — objęty KSC, podmiot ważny;
  • mikro MSSP (poniżej 10 osób, poniżej 2 mln EUR) — co do zasady poza ustawą, ale organ właściwy może wyznaczyć go decyzją na podstawie art. 7l KSC.

Tym samym wielu mniejszych dostawców usług cyber, którzy do tej pory nie mierzyli się z taką regulacją, od 3 kwietnia 2026 r. wpada w pełen reżim KSC. Dotyczy ich nie tylko obowiązek samorejestracji w wykazie podmiotów (art. 7c), ale również art. 8g — obowiązek publicznego ujawnienia na stronie internetowej informacji o świadczonej usłudze.

Próg „przewyższenia" — co dokładnie liczy się jako duże przedsiębiorstwo?

Reguła z rozporządzenia 651/2014/UE jest następująca: o klasyfikacji decyduje liczba zatrudnionych plus obrót roczny lub suma bilansowa. Wystarczy spełnienie kryterium zatrudnienia oraz jednego z dwóch pozostałych progów.

Podmiotem kluczowym według art. 5 ust. 1 pkt 1 KSC jest podmiot, który przewyższa wymogi średniego przedsiębiorstwa — czyli zatrudnia 250 osób lub więcej, oraz osiąga obrót powyżej 50 mln EUR lub sumę bilansową powyżej 43 mln EUR.

Spotykamy się z pytaniem, jak liczyć osoby zatrudnione i obrót w przypadku grup kapitałowych. Tu odpowiedź podpowiada art. 6 ust. 2 załącznika I do rozporządzenia 651/2014/UE — uwzględnia się dane przedsiębiorstwa partnerskiego i powiązanego, w odpowiednich proporcjach. To istotne dla podmiotów polskich będących częścią międzynarodowych grup, gdzie polska spółka może być formalnie „mała", a w skali grupy — duża. Z naszego doświadczenia w takich przypadkach rekomendujemy ostrożne podejście do klasyfikacji — i konsultację z organem właściwym, jeżeli wynik jest niejednoznaczny.

Sektor finansowy — uwaga na pułapkę instytucji płatniczej

W kontekście sektora finansowego jest jeden subtelny, ale praktycznie ważny detal. Załącznik nr 1 do ustawy wymienia w sektorze „bankowość i infrastruktura rynków finansowych" konkretne kategorie podmiotów: instytucje kredytowe, banki krajowe, oddziały banków zagranicznych, spółdzielcze kasy oszczędnościowo-kredytowe, podmioty prowadzące rynek regulowany, kontrahentów centralnych, podmioty rozliczające, podmioty prowadzące ASO i OTF, administratorów kluczowych wskaźników referencyjnych, izby rozliczeniowe i izby rozrachunkowe, dostawców usług udostępniania informacji skonsolidowanych.

Co istotne — instytucje płatnicze (KIP, MIP, BUP), dostawcy usług dostępu do informacji o rachunku (AISP), instytucje pieniądza elektronicznego, dostawcy usług kryptoaktywów oraz emitenci tokenów — nie są wprost wymienione w sektorze bankowości i infrastruktury rynków finansowych w załączniku nr 1 do ustawy o KSC. Te podmioty objęte są jednak w pełni rozporządzeniem 2022/2554 (DORA) i jako podmioty finansowe podlegają jego rygorom — co potwierdza definicja podmiotu finansowego w art. 2 pkt 11a KSC.

Konsekwencja tej konstrukcji: art. 8i ust. 1 KSC, który wyłącza w stosunku do podmiotów z sektora bankowości i infrastruktury rynków finansowych szereg obowiązków KSC (zastępując je odpowiednikami z DORA), nie ma wprost zastosowania do instytucji płatniczej — bo IP nie jest w katalogu sektora bankowości i infrastruktury rynków finansowych w załączniku nr 1. To kontrowersyjny i wciąż dyskutowany w doktrynie obszar implementacji NIS2 do polskiego prawa. Praktyczne znaczenie tej kwestii omawiamy w odrębnym wpisie naszego cyklu o art. 8i KSC i lex specialis.

Warunek terytorialny — art. 5a KSC

Sama klasyfikacja sektorowo-wielkościowa to nie wszystko. Art. 5a ust. 1 KSC wprowadza dodatkowy warunek — podmiot kluczowy lub ważny podlega obowiązkom określonym w ustawie, jeżeli:

  • ma siedzibę lub oddział na terytorium Rzeczypospolitej Polskiej (osoby fizyczne — miejsce zamieszkania w RP), lub
  • prowadzi działalność na terytorium RP, w tym działalność transgraniczną obejmującą terytorium RP.

Dla podmiotów świadczących usługi transgraniczne w UE szczególne znaczenie ma art. 5a ust. 4–6 KSC, który określa trzy kryteria ustalania głównego miejsca prowadzenia działalności (stosowane kaskadowo):

  1. kryterium podstawowe — siedziba kierownika systemu zarządzania bezpieczeństwem informacji, czyli miejsce, gdzie podejmowane są główne decyzje dotyczące cyberbezpieczeństwa;
  2. kryterium subsydiarne — miejsce realizacji zadań związanych z zarządzaniem bezpieczeństwem informacji, jeżeli kryterium podstawowe nie daje jednoznacznej odpowiedzi;
  3. kryterium uzupełniające — siedziba podmiotu zatrudniającego najliczniejszą grupę pracowników w RP, jeżeli oba poprzednie kryteria nie pozwoliły rozstrzygnąć sprawy.

Dla podmiotu zagranicznego mającego oddział lub spółkę zależną w Polsce, ale prowadzącego główną działalność w innym państwie UE, oznacza to, że może podlegać organowi właściwemu w innym państwie członkowskim, a nie w Polsce.

Kiedy organ może uznać podmiot za kluczowy mimo braku przesłanek?

Art. 7l ust. 1 KSC daje organowi właściwemu narzędzie, którym może objąć ustawą podmioty, które nie spełniają standardowych progów — jeżeli spełnione są dwa warunki łącznie:

  • podmiot jest objęty zakresem załącznika nr 1 lub 2 do ustawy;
  • spełnia co najmniej jedną z czterech przesłanek szczegółowych:
    • jako jedyny świadczy usługę kluczową dla utrzymania działalności społecznej lub gospodarczej;
    • zakłócenie usługi może spowodować poważne zagrożenie dla bezpieczeństwa państwa, porządku publicznego lub zdrowia publicznego;
    • zakłócenie usługi może powodować ryzyko systemowe zaprzestania świadczenia usług przez inne podmioty kluczowe lub ważne;
    • usługa ma istotne znaczenie na poziomie wojewódzkim, krajowym lub w dwóch lub więcej sektorach.

Decyzja o uznaniu podlega natychmiastowemu wykonaniu (art. 7l ust. 5). Określa sektor i podsektor, do którego podmiot zostaje przypisany, oraz wzywa do uzupełnienia danych w wykazie w terminie 6 miesięcy pod rygorem nałożenia kary pieniężnej (art. 7l ust. 3 pkt 2).

Po doręczeniu decyzji podmiot ma — zgodnie z art. 7l ust. 7 — 12 miesięcy na realizację obowiązków rozdziału 3 oraz 24 miesiące na pierwszy audyt z art. 15 ust. 1 KSC (jeżeli został uznany za kluczowy). Te terminy biegną od daty doręczenia decyzji, a nie od ogólnej daty wejścia w życie ustawy.

Kluczowe vs ważne — różnice w obowiązkach

Różnice między podmiotem kluczowym a ważnym sprowadzają się do trzech głównych obszarów: audytu, charakteru nadzoru i wysokości kar. Poniższa tabela zestawia je w jednym miejscu.

AspektPodmiot kluczowyPodmiot ważnyPodstawa
Audyt cyklicznyObowiązkowy co 3 lataNiewymagany; organ może nakazać po incydencieart. 15 ust. 1, 1b KSC
Charakter nadzoruPrewencyjny i następczyNastępczy (w razie podejrzenia naruszenia)art. 53 ust. 3 KSC
Maks. kara dla podmiotu10 mln EUR lub 2% przychodów7 mln EUR lub 1,4% przychodówart. 73 ust. 3 i 4 KSC
Min. kara20 000 zł15 000 złart. 73 ust. 3 i 4 KSC
Kara za naruszenie powodujące poważne cyberzagrożeniedo 100 mln złdo 100 mln złart. 73 ust. 5 KSC
Możliwe wstrzymanie działalnościTak (art. 53 ust. 9)Nieart. 53 ust. 9–10 KSC

Pozostałe obowiązki — system zarządzania bezpieczeństwem informacji (art. 8), obowiązki kierownika (art. 8c–8f), wyznaczenie osób kontaktowych (art. 9), dokumentacja (art. 10), zgłaszanie incydentów (art. 11), wewnętrzne struktury (art. 14) — w zasadzie są tożsame dla obu kategorii.

Co zrobić, jeżeli klasyfikacja jest niejednoznaczna?

Z naszego doświadczenia przy poprzednich dużych regulacjach (RODO, AML, MiCA) zarządy często stają przed dylematem: rejestrować się czy nie, jeżeli sprawa jest niejednoznaczna. Dla KSC odpowiedź jest praktycznie jedna — w razie wątpliwości rejestrować się. Dwa argumenty:

  • art. 7d ust. 5 KSC mówi wprost, że wpis ma charakter deklaratoryjny — czyli sam fakt złożenia wniosku nie stwarza statusu, a jedynie potwierdza, że podmiot tak się ocenia. Jeżeli organ właściwy uzna, że nie spełniasz przesłanek, może Cię wykreślić (art. 7f);
  • art. 7j ust. 1 KSC pozwala organowi na wpis z urzędu, jeżeli podmiot mimo spełnienia przesłanek nie złożył wniosku w terminie 6 miesięcy. Wpis z urzędu skutkuje wezwaniem do uzupełnienia danych w 6 miesięcy pod rygorem kary pieniężnej (art. 7j ust. 3) — i, co istotne, obowiązki ciążą od dnia spełnienia przesłanek z art. 5, a nie od dnia wpisu. Czekanie na wpis z urzędu nie zwalnia z odpowiedzialności za wcześniej niewdrożone obowiązki.

Innymi słowy: ryzyko nadrejestracji jest niewielkie (organ może wykreślić), ryzyko niedopełnienia obowiązków przy faktycznym statusie podmiotu kluczowego lub ważnego — bardzo wysokie.

Jak możemy Ci pomóc?

Klasyfikacja w KSC to nie zawsze jednoznaczna analiza. Z naszego doświadczenia najwięcej sytuacji granicznych pojawia się przy grupach kapitałowych, podmiotach świadczących wiele rodzajów usług, instytucjach płatniczych z dodatkową działalnością ICT oraz dostawcach outsourcingu IT, którzy „przy okazji" świadczą usługi z elementami cyberbezpieczeństwa. W Legal Geek wspieramy zespoły zarządcze i prawnicze w analizie klasyfikacyjnej, mapowaniu sektorów z załączników nr 1 i 2 oraz oceny progów wielkościowych z rozporządzenia 651/2014/UE. Jeżeli chcesz mieć pewność, czy podlegasz KSC, w jakim sektorze i z jakim statusem — napisz do nas.

W kolejnym wpisie cyklu przyjrzymy się szczegółowo procedurze samorejestracji w wykazie podmiotów kluczowych i ważnych (art. 7c–7m KSC) — w tym pułapkom oświadczenia kierownika składanego pod rygorem odpowiedzialności karnej z art. 233 § 6 Kodeksu karnego.

Co dalej w cyklu?