Baza wiedzy - obowiązek KSC
Rejestracja w wykazie podmiotów kluczowych i ważnych
Jak zarejestrować podmiot w wykazie podmiotów kluczowych i ważnych (KSC/NIS2): terminy (samorejestracja do 3.10.2026), system S46 i wykaz-ksc.gov.pl, wymagane podpisy, aktualizacja danych w 14 dni.
Status tej treści
TODO-CONTENT/TODO-LEGAL-REVIEW to otwarte pytania i decyzje, których nie wypełniamy domysłem.TL;DR
- Podmiot, który 3.04.2026 r. spełniał przesłanki uznania za podmiot kluczowy lub ważny, składa wniosek o wpis do wykazu najpóźniej do 3.10.2026 r. (art. 33 ust. 3 i art. 34 ust. 3 ustawy z 23.01.2026 r., Dz. U. poz. 252; harmonogram: komunikat Ministra Cyfryzacji z 8.04.2026 r., Dz. Urz. MC poz. 7).
- Samorejestracja trwa od 7.05.2026 r. i odbywa się elektronicznie w systemie S46 (portal wykaz-ksc.gov.pl), z podpisem kwalifikowanym, zaufanym albo osobistym oraz oświadczeniem o odpowiedzialności karnej (art. 7c ust. 5-6 ustawy o KSC).
- Reguła ciągła: kto spełni przesłanki później, składa wniosek w 6 miesięcy od ich spełnienia (art. 7c ust. 1); zmianę danych zgłasza się w 14 dni (art. 7c ust. 3).
- Według szacunków Ministerstwa Cyfryzacji ustawa może objąć około 38 tysięcy podmiotów, w tym około 27 tysięcy podmiotów publicznych (gov.pl, 20.04.2026).
- Kara za niezłożenie wniosku może być nakładana od 3.04.2028 r. (art. 73 ust. 1a pkt 1 w zw. z art. 35 ustawy zmieniającej) - ale wpis warunkuje dostęp do S46, którym zgłasza się incydenty. Praktycznie: bez wpisu nie wykonasz obowiązku 24 h przy pierwszym poważnym incydencie.
Terminy: skąd się bierze data 3.10.2026
| Data | Co się dzieje | Podstawa |
|---|---|---|
| 3.04.2026 | Wejście w życie nowelizacji; start obowiązków rejestracyjnych i środków nadzorczych (art. 53) | art. 49 ustawy zmieniającej |
| 13.04.2026 | Uruchomienie wykazu; 13.04-6.05: wpisy z urzędu | komunikat MC z 8.04.2026 (Dz. Urz. MC 2026 poz. 7) |
| 7.05.2026 | Start samorejestracji | komunikat MC j.w. |
| 3.10.2026 | Koniec okna: wniosek obowiązkowo złożony | art. 33 ust. 3 + art. 34 ust. 3 ustawy zmieniającej; komunikat MC |
| na bieżąco | Nowe podmioty: wniosek w 6 miesięcy od spełnienia przesłanek | art. 7c ust. 1 |
| na bieżąco | Zmiana danych: zgłoszenie w 14 dni | art. 7c ust. 3 |
Uwaga: harmonogram pochodzi z komunikatu ministra i może być zmieniany z powodów technicznych lub organizacyjnych (art. 34 ust. 5 ustawy zmieniającej). Stan na 11.07.2026: obowiązuje komunikat z 8.04.2026.
Krok 0: ustal, czy w ogóle podlegasz (art. 5)
Status wynika z macierzy: rodzaj działalności (załącznik nr 1 albo nr 2 do ustawy) x wielkość przedsiębiorstwa (progi z art. 2 zał. I rozporządzenia 651/2014/UE), plus kategorie szczególne niezależne od wielkości:
- zał. 1 + duże przedsiębiorstwo = podmiot kluczowy (art. 5 ust. 1 pkt 1),
- zał. 1 + średnie = podmiot ważny (art. 5 ust. 2 pkt 1),
- zał. 2 + średnie lub duże = podmiot ważny (art. 5 ust. 2 pkt 2),
- kategorie szczególne (m.in. dostawcy DNS, kwalifikowani dostawcy usług zaufania, dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa już od statusu MAŁEGO, wskazane podmioty publiczne) - niezależnie od standardowych progów (art. 5 ust. 1 pkt 2-4, ust. 2 pkt 3-8, ust. 8),
- przy zbiegu statusów wygrywa kluczowy (art. 5 ust. 4).
Wielkość liczy się łącznie z przedsiębiorstwami partnerskimi i powiązanymi (art. 6 zał. I 651/2014), według stanu na dzień sporządzenia sprawozdania finansowego (art. 5 ust. 5). Na granicy progów i w grupach kapitałowych - skonsultuj status z prawnikiem (ustawa przewiduje wyjątki, m.in. art. 5 ust. 6-7, których samoobsługowy kwalifikator nie rozstrzygnie).
Do wstępnej samooceny służy nasz kalkulator kwalifikacji (liczy w przeglądarce, dane nie opuszczają komputera): /narzedzia/kwalifikacja. Wynik ma charakter informacyjny i nie zastępuje oceny prawnej.
Kroki 1-6: rejestracja w praktyce
- Zbierz dane wniosku. Katalog danych określa ustawa - TODO-CONTENT: dokładna lista pól wniosku (art. 7b) do uzupełnienia po weryfikacji na tekście ustawy / formularzu wykaz-ksc.gov.pl; nie wypisujemy jej tu z pamięci. Praktycznie przygotuj co najmniej: dane identyfikacyjne podmiotu, określenie sektora/podsektora i rodzaju podmiotu wg załącznika, dane osób do kontaktu (pamiętaj o obowiązku wyznaczenia osób kontaktowych - art. 9).
- Zapewnij podpis. Wniosek podpisuje kierownik lub osoba upoważniona: podpisem kwalifikowanym, zaufanym albo osobistym (art. 7c ust. 5-6). Jeżeli zarząd nie ma żadnego z nich - załatw to PRZED ostatnim tygodniem września.
- Złóż wniosek w S46. Portal: wykaz-ksc.gov.pl (część systemu, o którym mowa w art. 46 ust. 1). Wniosek zawiera oświadczenie o odpowiedzialności karnej za podanie nieprawdziwych danych (art. 7c ust. 6).
- Zachowaj potwierdzenie. Urzędowe poświadczenie złożenia + kopia treści wniosku trafiają do dokumentacji (art. 10 ust. 4 - zapisy operacyjne).
- Wpisz do kalendarza regułę 14 dni. Każda zmiana danych objętych wpisem = zgłoszenie w 14 dni (art. 7c ust. 3). Zmiana zarządu, adresu, osób kontaktowych - to wszystko są wyzwalacze.
- Zaplanuj resztę zobowiązań. Wpis to początek: obowiązki z rozdziału 3 (w tym SZBI) - do 3.04.2027 r. dla kohorty z 3.04.2026 (art. 33 ust. 1 ustawy zmieniającej), coroczne szkolenie kierownika (art. 8e), a dla podmiotów kluczowych pierwszy audyt do 3.04.2028 r. (art. 33 ust. 2). Generator terminów: /narzedzia/terminy.
Najczęstsze błędy
- “Kary są od 2028, więc rejestracja poczeka”. Kara za brak wniosku faktycznie może być nałożona od 3.04.2028 r. (art. 73 ust. 1a pkt 1 w zw. z art. 35 ustawy zmieniającej). Ale: środki nadzorcze działają od 3.04.2026 (art. 53), a bez wpisu nie masz dostępu do S46 - czyli przy pierwszym incydencie poważnym nie wykonasz zgłoszenia w 24 h (art. 11 ust. 1 pkt 4). Ryzykujesz naruszenie, którego nie da się nadrobić wstecz.
- Samoocena “na nazwę sektora”. O objęciu decyduje rodzaj podmiotu wskazany w treści załącznika, nie sama nazwa sektora. Trzeba czytać pozycje załącznika nr 1/nr 2, nie nagłówki.
- Pominięcie agregacji z grupą. Progi wielkości liczy się łącznie z przedsiębiorstwami partnerskimi i powiązanymi (art. 5 ust. 5; art. 6 zał. I 651/2014) - spółka “za mała” samodzielnie może być objęta przez grupę.
- Firma IT zakłada, że jej nie dotyczy. Dostawca usług zarządzanych w zakresie cyberbezpieczeństwa jest podmiotem kluczowym już od statusu małego przedsiębiorstwa (art. 5 ust. 1 pkt 3). Definicje z art. 2 pkt 4i-4j są szerokie; typowy MSP administrujący zdalnie systemami klientów powinien zbadać własny status.
- Wniosek złożony, reguła 14 dni zapomniana. Art. 7c ust. 3 działa bezterminowo - to obowiązek utrzymaniowy, nie jednorazowy.
- Odkładanie na wrzesień. Okno działa od 7.05.2026. Wąskie gardło końcówki: podpisy (profil zaufany zarządu), ustalenie statusu w grupach kapitałowych i przeciążenie systemu w ostatnich dniach - fala 38 tysięcy podmiotów ma jeden deadline.
Checklista do odhaczenia
- Przeszedłem kwalifikację (art. 5) i mam udokumentowany wynik z uzasadnieniem
- Sprawdziłem agregację z podmiotami partnerskimi/powiązanymi (art. 5 ust. 5)
- Ustaliłem sektor/podsektor i rodzaj podmiotu wg treści załącznika nr 1/nr 2
- Kierownik lub osoba upoważniona ma działający podpis (kwalifikowany/zaufany/osobisty)
- Wniosek złożony w wykaz-ksc.gov.pl przed 3.10.2026 (art. 33 ust. 3 + art. 34 ust. 3 ustawy zmieniającej)
- Potwierdzenie złożenia zarchiwizowane (art. 10 ust. 4)
- Reguła 14 dni na zmiany danych wpisana w proces (art. 7c ust. 3)
- Zaplanowane kolejne terminy: SZBI do 3.04.2027 (art. 33 ust. 1), szkolenie kierownika co rok (art. 8e), pierwszy audyt podmiotu kluczowego do 3.04.2028 (art. 33 ust. 2)
Pytania i odpowiedzi
Ilu podmiotów dotyczy rejestracja? Według szacunków Ministerstwa Cyfryzacji ustawa może objąć około 38 tysięcy podmiotów, w tym około 27 tysięcy podmiotów publicznych (gov.pl, “Nowelizacja ustawy o KSC - kogo obejmuje?”, 20.04.2026).
Co jeśli spełnię przesłanki dopiero w 2027 roku? Obowiązuje reguła ciągła: wniosek w 6 miesięcy od dnia spełnienia przesłanek (art. 7c ust. 1), obowiązki rozdziału 3 w 12 miesięcy, a pierwszy audyt (podmiot kluczowy) w 24 miesiące (art. 16).
Czy mogę zarejestrować się “na zapas”, jeśli nie jestem pewien statusu? Wniosek zawiera oświadczenie o odpowiedzialności karnej (art. 7c ust. 6), więc deklaracja musi odpowiadać rzeczywistości. Przy realnej niepewności właściwa kolejność to analiza prawna statusu, nie rejestracja profilaktyczna. TODO-LEGAL-REVIEW: praktyka organu wobec wpisów “ostrożnościowych” do potwierdzenia.
Kto składa wniosek za jednostkę samorządową? Wniosek podpisuje kierownik podmiotu lub osoba upoważniona (art. 7c ust. 5-6). W strukturach JST kluczowe jest poprawne ustalenie, który podmiot (urząd, jednostka budżetowa, spółka komunalna) jest podmiotem objętym - samorządowe jednostki organizacyjne mają własne pozycje w załącznikach (art. 5 ust. 2 pkt 8 i zał. nr 2).
Czy po rejestracji trzeba coś robić z wpisem? Tak: aktualizować dane w 14 dni od zmiany (art. 7c ust. 3). Poza tym wpis otwiera dostęp do S46, w którym zgłasza się incydenty poważne (art. 11 ust. 2).
Źródła
- Ustawa o KSC - tekst ujednolicony Kancelarii Sejmu z 2026-07-07: isap.sejm.gov.pl (PDF)
- Ustawa z 23.01.2026 r. (Dz. U. 2026 poz. 252): ISAP, ELI
- Komunikat Ministra Cyfryzacji z 8.04.2026 r. (Dz. Urz. MC 2026 poz. 7) - harmonogram wpisów: cyberpolicy.nask.pl
- Samorejestracja - instrukcja MC: gov.pl
- Szacunek 38 tys. podmiotów: gov.pl - “kogo obejmuje?” (20.04.2026)
- Rozporządzenie 651/2014/UE, zał. I (progi wielkości): EUR-Lex
Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Status treści: 0.9-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW).
Podstawa prawna
- Według szacunków Ministerstwa Cyfryzacji ustawa o KSC może objąć około 38 000 podmiotów (w tym ok. 27 000 podmiotów publicznych); podmioty spełniające przesłanki 3.04.2026 składają wniosek o wpis do wykazu do 3.10.2026.
ref
gov.pl, "Nowelizacja ustawy o KSC - kogo obejmuje?" (20.04.2026); Dz.U. 2026 poz. 252
termin: art. 33 ust. 3 i art. 34 ust. 3 ustawy z 23.01.2026 r. (Dz.U. 2026 poz. 252) oraz komunikat Ministra Cyfryzacji z 8.04.2026 r. (Dz. Urz. MC 2026 poz. 7); liczba: szacunek Ministerstwa Cyfryzacji
Zobacz źródło →TODO-LEGAL-REVIEW - Kary administracyjne za naruszenie obowiązków ustawy o KSC obowiązują od 3.04.2028, z wyjątkiem art. 73 ust. 5.
ref
Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252
art. 35 ustawy z 23.01.2026 r. (odroczenie kar z art. 73 ust. 1-4, art. 73a-73c i art. 76b do 3.04.2028); wyjątek: art. 73 ust. 5 (kara do 100 mln zł za naruszenia powodujące bezpośrednie i poważne zagrożenie - obowiązuje od 3.04.2026, nieobjęta odroczeniem)
TODO-LEGAL-REVIEW - Kontrole i nakazy organu właściwego wobec podmiotów kluczowych i ważnych (art. 53 ustawy o KSC) obowiązują od 3.04.2026 r. (wejście w życie noweli, art. 49) - nie czekają na 3.04.2028.
ref
Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252
art. 53 w zw. z art. 49 (wejście w życie) ustawy z 23.01.2026 r.
TODO-LEGAL-REVIEW
Powiązane narzędzia
- Kalkulator kwalifikacji KSC - sprawdź, czy ten obowiązek dotyczy Twojego klienta.
- Generator terminów .ics - pobierz ustawowe terminy KSC do kalendarza.
Powiązane artykuły
Pełny rejestr zmian prawnych i "stan prawny treści" czyta ten sam źródło co sekcja "Prawo" dokumentacji.