Samorejestracja w wykazie podmiotów kluczowych i ważnych KSC — pułapki art. 7c, których lepiej uniknąć

Procedura wpisu do wykazu podmiotów kluczowych i ważnych — kategorii podmiotów wprowadzonej do polskiego prawa w toku transpozycji dyrektywy 2022/2555 (NIS2) — jest dla każdego podmiotu objętego ustawą o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 20 t.j.) pierwszym formalnym kontaktem z systemem KSC. Brzmi prozaicznie — wpis w elektronicznym formularzu — ale praktyka pokazuje, że to właśnie tu rodzą się pierwsze realne ryzyka prawne. Oświadczenie kierownika składa się pod rygorem odpowiedzialności karnej z art. 233 § 6 Kodeksu karnego, organ ma prawo weryfikować zgodność danych ze stanem faktycznym (art. 7k KSC), a brak rejestracji nie zwalnia z odpowiedzialności za naruszenie obowiązków, które ciążą od dnia spełnienia przesłanek (art. 5 KSC). W tym tekście tłumaczymy, jak prawidłowo przejść przez procedurę z art. 7c–7m KSC i czego unikać.

Termin: 6 miesięcy, ale nie zawsze od 3 kwietnia 2026 r.

Art. 7c ust. 1 KSC — przepis wprowadzony w celu wykonania obowiązku rejestracji znanego z art. 3 ust. 4 dyrektywy NIS2 — wskazuje wprost: podmiot kluczowy lub podmiot ważny składa wniosek o wpis do wykazu w terminie 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny.

W praktyce dla podmiotów istniejących 3 kwietnia 2026 r. (czyli w dniu wejścia w życie nowelizacji) termin biegnie od tego dnia — graniczna data złożenia wniosku to ok. 3 października 2026 r. Ale dla podmiotów powstających po wejściu w życie ustawy oraz dla tych, które dopiero w kolejnych miesiącach przekroczą progi wielkościowe z rozporządzenia 651/2014/UE (np. zatrudnią 250. pracownika, przekroczą 50 mln EUR obrotu, lub jako MSSP zatrudnią 10. pracownika) — termin biegnie od dnia spełnienia przesłanek. To istotna różnica, którą trzeba mieć na uwadze przy planowaniu rozwoju organizacji.

Co więcej, podmiot, który w trakcie roku zmienia profil działalności (np. dotychczasowy dostawca usług IT zaczyna świadczyć usługi MSSP w rozumieniu art. 2 pkt 4j KSC), staje się podmiotem objętym ustawą w momencie spełnienia przesłanek — i od tego dnia liczy się 6-miesięczny termin na rejestrację.

Co zawiera wniosek o wpis (art. 7 ust. 2 KSC)

Wniosek o wpis do wykazu nie jest formalnym pismem, ale dokumentem elektronicznym składanym za pośrednictwem systemu teleinformatycznego, o którym mowa w art. 46 ust. 1 KSC (zwanego dalej „systemem S46", który jest udostępniany przez NASK). Zgodnie z art. 7c ust. 2 KSC wniosek zawiera dane określone w art. 7 ust. 2 pkt 1–18 ustawy. W praktyce są to:

• Dane identyfikacyjne podmiotu — nazwa (firma), forma prawna, numery z właściwych rejestrów (KRS, REGON, NIP), siedziba i adres;
• Sektor i podsektor zgodnie z załącznikami nr 1 lub 2 do ustawy oraz rodzaj działalności prowadzonej w tym sektorze;
• Dane techniczne — zakresy adresów IP używanych przez podmiot oraz nazwy domen wykorzystywanych do świadczenia usług;
• Dane co najmniej dwóch osób kontaktowych odpowiedzialnych za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa (mikro- lub mały przedsiębiorca — co najmniej jedna osoba) — imię, nazwisko, stanowisko, numer telefonu służbowego oraz adres służbowej poczty elektronicznej. W praktyce rekomendujemy, aby jedna osoba odpowiadała za sprawy administracyjne (compliance, prawnik), a druga — za sprawy techniczne (CISO, security officer);
• Informacje o dostawcy usług zarządzanych w cyberbezpieczeństwie (jeżeli podmiot zlecił takie zadania na zewnątrz) — pkt 16 art. 7 ust. 2 KSC;
• Oświadczenie kierownika złożone pod rygorem odpowiedzialności karnej (art. 7c ust. 5 KSC).

Przy wniosku trzeba też pamiętać o art. 7c ust. 6 KSC: wniosek sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym, podpisem zaufanym, podpisem osobistym kierownika podmiotu lub osoby przez niego upoważnionej, albo kwalifikowaną pieczęcią elektroniczną ze wskazaniem osoby opatrującej pismo pieczęcią.

Oświadczenie kierownika — art. 233 § 6 KK na pierwszej stronie wniosku

Najczęściej niedoceniany element procedury rejestracyjnej. Art. 7c ust. 5 KSC wymaga, aby wniosek o wpis (a także o zmianę wpisu albo o wykreślenie z wykazu) zawierał oświadczenie kierownika podmiotu kluczowego lub ważnego o następującej treści:

„Świadomy odpowiedzialności karnej za złożenie fałszywego oświadczenia wynikającej z art. 233 § 6 ustawy z dnia 6 czerwca 1997 r. - Kodeks karny oświadczam, że dane zawarte we wniosku są zgodne z prawdą."

Klauzula ta zastępuje pouczenie o odpowiedzialności karnej i — co kluczowe — odpowiedzialność karna za złożenie fałszywego oświadczenia ma realny wymiar. Art. 233 § 1 Kodeksu karnego przewiduje karę pozbawienia wolności od 6 miesięcy do lat 8, a art. 233 § 6 rozszerza ten przepis na oświadczenia, w których ustawa nakłada obowiązek prawdomówności pod rygorem odpowiedzialności karnej.

W treści wniosku jest tylko jeden, ale istotny wyjątek z art. 7c ust. 5 zdanie ostatnie KSC: odpowiedzialność karna za fałszywe oświadczenie nie obejmuje podania zakresów adresów IP oraz zakresów nazw domenowych. To rozsądny wyjątek — adresy IP i domeny zmieniają się dynamicznie, a kierownik podmiotu nie jest w stanie pod groźbą sankcji karnych gwarantować ich aktualności. Wszystkie pozostałe elementy wniosku — dane identyfikacyjne, sektor, dane osób kontaktowych, oświadczenia o sektorze działalności — objęte są jednak pełnym rygorem.

W praktyce rekomendujemy, aby treść wniosku — przed jego podpisaniem przez kierownika — została zweryfikowana przez compliance lub dział prawny. Pomyłka w sektorze, błędna deklaracja o korzystaniu z usług MSSP czy wskazanie nieprawdziwych osób kontaktowych są podstawą do prowadzenia postępowania karnego z art. 233 § 6 KK, a nie tylko sankcji administracyjnej.

Wpis ma charakter deklaratoryjny — co to znaczy w praktyce

Art. 7d ust. 1 KSC stanowi, że wpisu podmiotu do wykazu dokonuje się z chwilą złożenia wniosku w systemie teleinformatycznym S46. Nie ma decyzji administracyjnej, nie ma postępowania, nie ma weryfikacji wstępnej (poza sprawdzeniem kompletności danych). Wpis dokonuje się automatycznie.

Art. 7d ust. 5 KSC dodaje: wpis, zmiana wpisu oraz wykreślenie wpisu z wykazu jest czynnością materialno-techniczną i ma charakter deklaratoryjny. To kluczowa kategoria prawna — oznacza, że wpis nie kreuje statusu podmiotu kluczowego lub ważnego, a jedynie potwierdza istniejący stan rzeczy.

Konsekwencje praktyczne są dwie:

• obowiązki rozdziału 3 ustawy (system zarządzania bezpieczeństwem, dokumentacja, raportowanie incydentów, audyt) ciążą od dnia spełnienia przesłanek z art. 5, a nie od dnia wpisu. Czekanie z rejestracją nie odracza obowiązków;
• jeżeli organ uzna, że przesłanki nie są spełnione, może wykreślić podmiot z wykazu (art. 7f). I odwrotnie — jeżeli podmiot nie złożył wniosku, a spełnia przesłanki, organ może wpisać go z urzędu (art. 7j).

Z naszego doświadczenia wielokrotnie spotykaliśmy się z przekonaniem, że „jeszcze nas nie wpisali, więc obowiązki nas nie dotyczą". To niebezpieczne uproszczenie. Odpowiedzialność biegnie od momentu, w którym podmiot stał się kluczowy lub ważny — i organ może badać ten fakt nawet kilka lat wstecz.

Pułapka pierwsza: zły sektor we wniosku

Art. 7d ust. 2 KSC dopuszcza, że podmiot prowadzący kilka rodzajów działalności wykazuje je odrębnie we wniosku. To istotne dla podmiotów z grupy ICT, które jednocześnie świadczą np. usługi outsourcingu IT (sektor zarządzanie usługami ICT, załącznik nr 1), usługi MSSP (oddzielny rodzaj działalności w tym samym sektorze) oraz są dostawcą centrum przetwarzania danych (osobna kategoria zgodnie z art. 2 pkt 4f KSC).

Zły sektor we wniosku to nie tylko formalny błąd — to także zła klasyfikacja organu właściwego do nadzoru. Inny organ nadzoruje sektor zarządzania usługami ICT (Minister Cyfryzacji), inny — sektor bankowości (KNF). Wpis w niewłaściwym sektorze może w przyszłości skutkować dwoma równoległymi postępowaniami nadzorczymi.

Na to nakłada się art. 7k ust. 1 KSC, który pozwala organowi właściwemu dokonywać czynności sprawdzających mających na celu weryfikację zgodności ze stanem faktycznym danych zawartych w wykazie. W przypadku stwierdzenia niezgodności, organ wzywa podmiot do zmiany wpisu w terminie 7 dni od dnia doręczenia wezwania, pod rygorem nałożenia kary pieniężnej (art. 7k ust. 2 KSC). 7 dni — to bardzo krótki termin i w praktyce oznacza, że dział compliance musi reagować w trybie roboczym, bez czasu na poszukiwanie konsultanta.

Pułapka druga: niepełne dane techniczne

Art. 7 ust. 2 pkt 9 i pkt 10 KSC wymagają wskazania zakresów adresów IP i nazw domen wykorzystywanych przez podmiot. To dane, których z reguły nie posiada zarząd ani prawnik — leżą po stronie zespołu IT. W praktyce widzimy, że to często etap procesu, w którym wniosek się „zatyka" na 2–3 tygodnie, bo zespół IT musi przygotować zestawienie zakresów, a nie ma do tego ani gotowego procesu, ani szablonu.

Art. 7d ust. 3 KSC stanowi, że wpisu do wykazu nie dokonuje się, jeżeli wniosek nie zawiera danych podlegających wpisowi zgodnie z art. 7 ust. 2 pkt 1–18. Innymi słowy: niepełny wniosek nie jest skuteczny. System S46 prawdopodobnie nie pozwoli go nawet wysłać, ale gdyby z jakichś przyczyn został przyjęty — wpis się nie skutkuje, a 6-miesięczny termin biegnie dalej. Jeżeli upłynie bez prawidłowego wniosku, ryzykujemy art. 7j (wpis z urzędu) i karę z art. 73 ust. 1a pkt 1 KSC.

W naszej rekomendacji: rozpoczęcie zbierania danych technicznych powinno być pierwszym krokiem operacyjnym po podjęciu decyzji o klasyfikacji. Najpóźniej 3–4 miesiące przed planowanym złożeniem wniosku zespół IT musi mieć zatwierdzony, kompletny zakres adresów IP i listę domen.

Pułapka trzecia: „poczekamy, aż nas wpiszą z urzędu"

Art. 7j KSC pozwala organowi właściwemu wpisać podmiot do wykazu, jeżeli ten nie złożył wniosku w terminie. Procedura wygląda tak:

• organ właściwy korzysta z danych w publicznie dostępnych rejestrach (KRS, REGON, CEIDG) oraz informacji uzyskanych od podmiotu na podstawie art. 43 ust. 1 KSC;
• zawiadamia podmiot o wpisie z urzędu i wzywa do uzupełnienia brakujących danych w wykazie w terminie 6 miesięcy pod rygorem nałożenia kary pieniężnej (art. 7j ust. 3 KSC);
• wpis z urzędu jest inną czynnością z zakresu administracji publicznej, na którą przysługuje skarga do sądu administracyjnego (art. 7j ust. 5 KSC).

Co istotne — wpis z urzędu w praktyce rzadko jest „prewencyjny". Z naszego doświadczenia organy częściej dokonują takiego wpisu w trybie reaktywnym — po wykryciu incydentu, po skardze użytkownika, po publikacji w mediach. A wtedy mamy sytuację, w której podmiot „złapany" przez organ ma już problem techniczny (incydent), problem reputacyjny (organ wszedł z kontrolą), oraz dwa problemy regulacyjne — brak rejestracji i brak wdrożonego systemu z art. 8.

Art. 73 ust. 1a pkt 1 KSC dopuszcza karę pieniężną, jeżeli podmiot nie złożył w terminie wniosku o wpis do wykazu, a organ uzna, że waga i znaczenie naruszonych przepisów uzasadnia jej nałożenie. Połączenie wpisu z urzędu z karą administracyjną oraz z konsekwencjami niewdrożenia systemu z art. 8 KSC tworzy bardzo niekorzystną pozycję wyjściową w postępowaniu nadzorczym.

Co można uzyskać dzięki rejestracji?

Rejestracja to nie tylko obowiązek — daje też konkretne narzędzia. Po wpisie do wykazu, zgodnie z art. 9 ust. 1 pkt 4 KSC, podmiot rozpoczyna korzystanie z systemu teleinformatycznego S46. Daje to:

• dostęp do informacji o cyberzagrożeniach wymienianych w ramach art. 8h KSC — w formacie strukturalnym, bezpośrednio od CSIRT-ów i organów właściwych;
• wsparcie CSIRT sektorowego w trakcie obsługi incydentu poważnego, w tym możliwość uzyskania wytycznych do wczesnego ostrzeżenia (art. 12 ust. 2 KSC) — CSIRT nie później niż w ciągu 24 godzin przekazuje podmiotowi zgłaszającemu wytyczne dotyczące wdrożenia środków lub udziela dodatkowego wsparcia technicznego;
• bezpieczny kanał komunikacji z organem właściwym do spraw cyberbezpieczeństwa, wykorzystywany do raportowania incydentów (art. 11), aktualizacji danych w wykazie (art. 7c ust. 3) oraz dobrowolnej wymiany informacji z CSIRT (art. 13).

Z naszego doświadczenia Klienci, którzy mają dostęp do S46 i aktywnie korzystają z wymiany informacji z CSIRT, znacznie szybciej reagują na incydenty i lepiej argumentują swoje stanowisko w postępowaniach administracyjnych. Mechanizm wymiany informacji jest też wprost przewidziany w art. 29 dyrektywy NIS2 jako element ekosystemu cyberbezpieczeństwa UE — polska implementacja w art. 8h KSC i art. 13 KSC realizuje ten obowiązek.

Aktualizacja danych — termin 14 dni

Często pomijany przepis — art. 7c ust. 3 KSC: podmiot kluczowy lub podmiot ważny składa wniosek o zmianę wpisu w wykazie w zakresie danych z art. 7 ust. 2 pkt 1–18 w terminie 14 dni od dnia ich zmiany.

14 dni — to znowu termin krótki. Zmiana siedziby, zmiana w zarządzie, zmiana osób kontaktowych, zmiana zakresu adresów IP, dodanie nowego rodzaju działalności w sektorze — wszystko to wymaga wniosku o zmianę. Organ może w toku czynności sprawdzających (art. 7k) zweryfikować aktualność danych, a niezgodność może skutkować karą z art. 73 ust. 1 pkt 1 KSC.

Praktyczna rekomendacja: w ramach systemu zarządzania bezpieczeństwem informacji warto wprowadzić proces aktualizacji danych w wykazie KSC — z określonymi triggerami (zmiana w KRS, zmiana w polityce IT, rotacja osób kontaktowych) i procedurą obsługi w 14-dniowym oknie.

Wykreślenie z wykazu — kiedy i jak

Art. 7f KSC pozwala wykreślić podmiot z wykazu, jeżeli przestał spełniać przesłanki uznania za podmiot kluczowy lub ważny. Dwie ścieżki:

• Wniosek samego podmiotu (art. 7f ust. 3) — składany za pośrednictwem systemu S46, z uzasadnieniem. Organ rozpatruje wniosek w terminie miesiąca od dnia jego złożenia (art. 7f ust. 4) i informuje o wykreśleniu albo odmowie;
• Wykreślenie z urzędu (art. 7f ust. 1 i 2) — przez ministra właściwego do spraw informatyzacji po uzyskaniu informacji o wykreśleniu z REGON, KRS lub CEIDG, albo przez organ właściwy w razie utraty statusu podmiotu kluczowego lub ważnego.

Co ważne, art. 7f ust. 5 KSC daje organowi prawo odmówić wykreślenia, jeżeli podmiot nadal spełnia przesłanki. Odmowa jest inną czynnością z zakresu administracji publicznej, na którą przysługuje skarga do sądu administracyjnego (art. 7f ust. 6). Brak rozpatrzenia wniosku w terminie miesiąca — zgodnie z art. 7f ust. 7 — skutkuje wykreśleniem podmiotu z wykazu.

Jak możemy Ci pomóc?

Procedura samorejestracji w wykazie KSC wygląda na prostą, ale w praktyce wiąże się z trzema realnymi ryzykami: pomyłką w klasyfikacji sektorowej (i karą z art. 7k ust. 2), niepełnym wnioskiem (i niewpisaniem do wykazu mimo upływu 6-miesięcznego terminu) oraz nieprawidłowym oświadczeniem kierownika składanym pod rygorem art. 233 § 6 KK. Wszystko to są ryzyka, które łatwiej rozpoznać przed złożeniem wniosku niż po.

W Legal Geek wspieramy klientów na każdym etapie procedury wpisu do wykazu — od analizy klasyfikacyjnej, przez kompletowanie danych z art. 7 ust. 2, weryfikację treści oświadczenia kierownika, aż po przygotowanie procedury aktualizacji danych w 14-dniowym oknie z art. 7c ust. 3 KSC. Jeżeli stoisz przed wnioskiem i chcesz upewnić się, że nie zostawiasz w nim luk — napisz do nas.

W kolejnym wpisie cyklu omawiamy jedno z najważniejszych pojęć całej nowelizacji KSC — osobistą odpowiedzialność kierownika podmiotu z art. 8c–8f, która od 3 kwietnia 2026 r. zmieniła się gruntownie.

Co dalej w cyklu?

• Odpowiedzialność zarządu w KSC (art. 8c–8f)
• 14 obszarów art. 8 KSC w praktyce
• Zgłaszanie incydentów: 24h, 72h, 1 miesiąc
• Audyt bezpieczeństwa z art. 15 KSC
• Kary i nadzór w KSC