# Rejestracja w wykazie podmiotów kluczowych i ważnych

Ostatnia aktualizacja: 2026-07-12
Wersja HTML (kanoniczna): https://szbihub.pl/wiedza/rejestracja-w-wykazie/

---

## TL;DR

- Podmiot, który 3.04.2026 r. spełniał przesłanki uznania za podmiot kluczowy lub ważny, składa wniosek o wpis do wykazu najpóźniej do 3.10.2026 r. (art. 33 ust. 3 i art. 34 ust. 3 ustawy z 23.01.2026 r., Dz. U. poz. 252; harmonogram: komunikat Ministra Cyfryzacji z 8.04.2026 r., Dz. Urz. MC poz. 7).
- Samorejestracja trwa od 7.05.2026 r. i odbywa się elektronicznie w systemie S46 (portal wykaz-ksc.gov.pl), z podpisem kwalifikowanym, zaufanym albo osobistym oraz oświadczeniem o odpowiedzialności karnej (art. 7c ust. 5-6 ustawy o KSC).
- Reguła ciągła: kto spełni przesłanki później, składa wniosek w 6 miesięcy od ich spełnienia (art. 7c ust. 1); zmianę danych zgłasza się w 14 dni (art. 7c ust. 3).
- Według szacunków Ministerstwa Cyfryzacji ustawa może objąć około 38 tysięcy podmiotów, w tym około 27 tysięcy podmiotów publicznych (gov.pl, 20.04.2026).
- Kara za niezłożenie wniosku może być nakładana od 3.04.2028 r. (art. 73 ust. 1a pkt 1 w zw. z art. 35 ustawy zmieniającej) - ale wpis warunkuje dostęp do S46, którym zgłasza się incydenty. Praktycznie: bez wpisu nie wykonasz obowiązku 24 h przy pierwszym poważnym incydencie.

## Terminy: skąd się bierze data 3.10.2026

| Data          | Co się dzieje                                                                                 | Podstawa                                                          |
| ------------- | --------------------------------------------------------------------------------------------- | ----------------------------------------------------------------- |
| 3.04.2026     | Wejście w życie nowelizacji; start obowiązków rejestracyjnych i środków nadzorczych (art. 53) | art. 49 ustawy zmieniającej                                       |
| 13.04.2026    | Uruchomienie wykazu; 13.04-6.05: wpisy z urzędu                                               | komunikat MC z 8.04.2026 (Dz. Urz. MC 2026 poz. 7)                |
| 7.05.2026     | Start samorejestracji                                                                         | komunikat MC j.w.                                                 |
| **3.10.2026** | Koniec okna: wniosek obowiązkowo złożony                                                      | art. 33 ust. 3 + art. 34 ust. 3 ustawy zmieniającej; komunikat MC |
| na bieżąco    | Nowe podmioty: wniosek w 6 miesięcy od spełnienia przesłanek                                  | art. 7c ust. 1                                                    |
| na bieżąco    | Zmiana danych: zgłoszenie w 14 dni                                                            | art. 7c ust. 3                                                    |

Uwaga: harmonogram pochodzi z komunikatu ministra i może być zmieniany z powodów technicznych lub organizacyjnych (art. 34 ust. 5 ustawy zmieniającej). Stan na 11.07.2026: obowiązuje komunikat z 8.04.2026.

## Krok 0: ustal, czy w ogóle podlegasz (art. 5)

Status wynika z macierzy: rodzaj działalności (załącznik nr 1 albo nr 2 do ustawy) x wielkość przedsiębiorstwa (progi z art. 2 zał. I rozporządzenia 651/2014/UE), plus kategorie szczególne niezależne od wielkości:

- zał. 1 + duże przedsiębiorstwo = podmiot kluczowy (art. 5 ust. 1 pkt 1),
- zał. 1 + średnie = podmiot ważny (art. 5 ust. 2 pkt 1),
- zał. 2 + średnie lub duże = podmiot ważny (art. 5 ust. 2 pkt 2),
- kategorie szczególne (m.in. dostawcy DNS, kwalifikowani dostawcy usług zaufania, dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa już od statusu MAŁEGO, wskazane podmioty publiczne) - niezależnie od standardowych progów (art. 5 ust. 1 pkt 2-4, ust. 2 pkt 3-8, ust. 8),
- przy zbiegu statusów wygrywa kluczowy (art. 5 ust. 4).

Wielkość liczy się łącznie z przedsiębiorstwami partnerskimi i powiązanymi (art. 6 zał. I 651/2014), według stanu na dzień sporządzenia sprawozdania finansowego (art. 5 ust. 5). Na granicy progów i w grupach kapitałowych - skonsultuj status z prawnikiem (ustawa przewiduje wyjątki, m.in. art. 5 ust. 6-7, których samoobsługowy kwalifikator nie rozstrzygnie).

Do wstępnej samooceny służy nasz kalkulator kwalifikacji (liczy w przeglądarce, dane nie opuszczają komputera): [/narzedzia/kwalifikacja](/narzedzia/kwalifikacja). Wynik ma charakter informacyjny i nie zastępuje oceny prawnej.

## Kroki 1-6: rejestracja w praktyce

1. **Zbierz dane wniosku.** Katalog danych określa ustawa - TODO-CONTENT: dokładna lista pól wniosku (art. 7b) do uzupełnienia po weryfikacji na tekście ustawy / formularzu wykaz-ksc.gov.pl; nie wypisujemy jej tu z pamięci. Praktycznie przygotuj co najmniej: dane identyfikacyjne podmiotu, określenie sektora/podsektora i rodzaju podmiotu wg załącznika, dane osób do kontaktu (pamiętaj o obowiązku wyznaczenia osób kontaktowych - art. 9).
2. **Zapewnij podpis.** Wniosek podpisuje kierownik lub osoba upoważniona: podpisem kwalifikowanym, zaufanym albo osobistym (art. 7c ust. 5-6). Jeżeli zarząd nie ma żadnego z nich - załatw to PRZED ostatnim tygodniem września.
3. **Złóż wniosek w S46.** Portal: wykaz-ksc.gov.pl (część systemu, o którym mowa w art. 46 ust. 1). Wniosek zawiera oświadczenie o odpowiedzialności karnej za podanie nieprawdziwych danych (art. 7c ust. 6).
4. **Zachowaj potwierdzenie.** Urzędowe poświadczenie złożenia + kopia treści wniosku trafiają do dokumentacji (art. 10 ust. 4 - zapisy operacyjne).
5. **Wpisz do kalendarza regułę 14 dni.** Każda zmiana danych objętych wpisem = zgłoszenie w 14 dni (art. 7c ust. 3). Zmiana zarządu, adresu, osób kontaktowych - to wszystko są wyzwalacze.
6. **Zaplanuj resztę zobowiązań.** Wpis to początek: obowiązki z rozdziału 3 (w tym SZBI) - do 3.04.2027 r. dla kohorty z 3.04.2026 (art. 33 ust. 1 ustawy zmieniającej), coroczne szkolenie kierownika (art. 8e), a dla podmiotów kluczowych pierwszy audyt do 3.04.2028 r. (art. 33 ust. 2). Generator terminów: [/narzedzia/terminy](/narzedzia/terminy).

## Najczęstsze błędy

1. **"Kary są od 2028, więc rejestracja poczeka".** Kara za brak wniosku faktycznie może być nałożona od 3.04.2028 r. (art. 73 ust. 1a pkt 1 w zw. z art. 35 ustawy zmieniającej). Ale: środki nadzorcze działają od 3.04.2026 (art. 53), a bez wpisu nie masz dostępu do S46 - czyli przy pierwszym incydencie poważnym nie wykonasz zgłoszenia w 24 h (art. 11 ust. 1 pkt 4). Ryzykujesz naruszenie, którego nie da się nadrobić wstecz.
2. **Samoocena "na nazwę sektora".** O objęciu decyduje rodzaj podmiotu wskazany w treści załącznika, nie sama nazwa sektora. Trzeba czytać pozycje załącznika nr 1/nr 2, nie nagłówki.
3. **Pominięcie agregacji z grupą.** Progi wielkości liczy się łącznie z przedsiębiorstwami partnerskimi i powiązanymi (art. 5 ust. 5; art. 6 zał. I 651/2014) - spółka "za mała" samodzielnie może być objęta przez grupę.
4. **Firma IT zakłada, że jej nie dotyczy.** Dostawca usług zarządzanych w zakresie cyberbezpieczeństwa jest podmiotem kluczowym już od statusu małego przedsiębiorstwa (art. 5 ust. 1 pkt 3). Definicje z art. 2 pkt 4i-4j są szerokie; typowy MSP administrujący zdalnie systemami klientów powinien zbadać własny status.
5. **Wniosek złożony, reguła 14 dni zapomniana.** Art. 7c ust. 3 działa bezterminowo - to obowiązek utrzymaniowy, nie jednorazowy.
6. **Odkładanie na wrzesień.** Okno działa od 7.05.2026. Wąskie gardło końcówki: podpisy (profil zaufany zarządu), ustalenie statusu w grupach kapitałowych i przeciążenie systemu w ostatnich dniach - fala 38 tysięcy podmiotów ma jeden deadline.

## Checklista do odhaczenia

- [ ] Przeszedłem kwalifikację (art. 5) i mam udokumentowany wynik z uzasadnieniem
- [ ] Sprawdziłem agregację z podmiotami partnerskimi/powiązanymi (art. 5 ust. 5)
- [ ] Ustaliłem sektor/podsektor i rodzaj podmiotu wg treści załącznika nr 1/nr 2
- [ ] Kierownik lub osoba upoważniona ma działający podpis (kwalifikowany/zaufany/osobisty)
- [ ] Wniosek złożony w wykaz-ksc.gov.pl przed 3.10.2026 (art. 33 ust. 3 + art. 34 ust. 3 ustawy zmieniającej)
- [ ] Potwierdzenie złożenia zarchiwizowane (art. 10 ust. 4)
- [ ] Reguła 14 dni na zmiany danych wpisana w proces (art. 7c ust. 3)
- [ ] Zaplanowane kolejne terminy: SZBI do 3.04.2027 (art. 33 ust. 1), szkolenie kierownika co rok (art. 8e), pierwszy audyt podmiotu kluczowego do 3.04.2028 (art. 33 ust. 2)

## Pytania i odpowiedzi

**Ilu podmiotów dotyczy rejestracja?**
Według szacunków Ministerstwa Cyfryzacji ustawa może objąć około 38 tysięcy podmiotów, w tym około 27 tysięcy podmiotów publicznych (gov.pl, "Nowelizacja ustawy o KSC - kogo obejmuje?", 20.04.2026).

**Co jeśli spełnię przesłanki dopiero w 2027 roku?**
Obowiązuje reguła ciągła: wniosek w 6 miesięcy od dnia spełnienia przesłanek (art. 7c ust. 1), obowiązki rozdziału 3 w 12 miesięcy, a pierwszy audyt (podmiot kluczowy) w 24 miesiące (art. 16).

**Czy mogę zarejestrować się "na zapas", jeśli nie jestem pewien statusu?**
Wniosek zawiera oświadczenie o odpowiedzialności karnej (art. 7c ust. 6), więc deklaracja musi odpowiadać rzeczywistości. Przy realnej niepewności właściwa kolejność to analiza prawna statusu, nie rejestracja profilaktyczna. TODO-LEGAL-REVIEW: praktyka organu wobec wpisów "ostrożnościowych" do potwierdzenia.

**Kto składa wniosek za jednostkę samorządową?**
Wniosek podpisuje kierownik podmiotu lub osoba upoważniona (art. 7c ust. 5-6). W strukturach JST kluczowe jest poprawne ustalenie, który podmiot (urząd, jednostka budżetowa, spółka komunalna) jest podmiotem objętym - samorządowe jednostki organizacyjne mają własne pozycje w załącznikach (art. 5 ust. 2 pkt 8 i zał. nr 2).

**Czy po rejestracji trzeba coś robić z wpisem?**
Tak: aktualizować dane w 14 dni od zmiany (art. 7c ust. 3). Poza tym wpis otwiera dostęp do S46, w którym zgłasza się incydenty poważne (art. 11 ust. 2).

## Źródła

- Ustawa o KSC - tekst ujednolicony Kancelarii Sejmu z 2026-07-07: [isap.sejm.gov.pl (PDF)](https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20180001560/U/D20181560Lj.pdf)
- Ustawa z 23.01.2026 r. (Dz. U. 2026 poz. 252): [ISAP](https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20260000252), [ELI](https://eli.gov.pl/eli/DU/2026/252/ogl)
- Komunikat Ministra Cyfryzacji z 8.04.2026 r. (Dz. Urz. MC 2026 poz. 7) - harmonogram wpisów: [cyberpolicy.nask.pl](https://cyberpolicy.nask.pl/aktualnosci/wykaz-podmiotow-kluczowych-i-podmiotow-waznych-komunikat-ministra-cyfryzacji/)
- Samorejestracja - instrukcja MC: [gov.pl](https://www.gov.pl/web/cyfryzacja/nowelizacja-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-ksc--uruchamiamy-samorejestracje-w-wykazie-podmiotow-kluczowych-i-podmiotow-waznych-sprawdz-jak-dokonac-wpisu)
- Szacunek 38 tys. podmiotów: [gov.pl - "kogo obejmuje?" (20.04.2026)](https://www.gov.pl/web/cyfryzacja/nowelizacja-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-ksc---kogo-obejmuje)
- Rozporządzenie 651/2014/UE, zał. I (progi wielkości): [EUR-Lex](https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32014R0651)

---

_Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Status treści: 0.9-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW)._