Narzędzia
Kalkulator kwalifikacji NIS2/KSC
Trzy pytania, wynik od razu. Liczy się w Twojej przeglądarce - nic z tego, co tu wpiszesz, nie jest nigdzie wysyłane ani zapisywane.
To nie jest porada prawna
Reguły kwalifikacji
Pełny zestaw pytań, odpowiedzi i wyników - do przeczytania
Ta sama logika, którą liczy formularz poniżej, wyłożona statycznie: każde pytanie, każda możliwa odpowiedź i klasyfikacja, którą ta odpowiedź wnosi do wyniku - bez wypełniania formularza. Dane pochodzą z tego samego pliku (`qualification.yaml`), którego używa platforma SZBIhub.
W którym załączniku do ustawy o KSC jest wymieniony rodzaj działalności organizacji? Załączniki nr 1 i 2 wskazują sektory, podsektory i konkretne rodzaje podmiotów (art. 5 ust. 1 pkt 1 i ust. 2 pkt 1-2 ustawy o KSC). Sprawdź rodzaj podmiotu w treści załącznika - sama nazwa sektora to za mało.
| Odpowiedź | Wynik klasyfikacji |
|---|---|
| W załączniku nr 1 (sektory kluczowe): energia; transport; bankowość i infrastruktura rynków finansowych; ochrona zdrowia; zaopatrzenie w wodę pitną i jej dystrybucja; zbiorowe odprowadzanie ścieków; infrastruktura cyfrowa (w tym komunikacja elektroniczna); zarządzanie usługami ICT; przestrzeń kosmiczna; podmioty publiczne wskazane w zał. 1 | Nieokreślony |
| Wyłącznie w załączniku nr 2 (sektory ważne): usługi pocztowe; inwestycje energetyki jądrowej; gospodarowanie odpadami; produkcja, wytwarzanie i dystrybucja chemikaliów; produkcja, przetwarzanie i dystrybucja żywności; produkcja (m.in. wyroby medyczne, elektronika, urządzenia elektryczne, maszyny, pojazdy); dostawcy usług cyfrowych; badania naukowe; podmioty publiczne wskazane w zał. 2 (samorządowe jednostki organizacyjne) | Nieokreślony |
| W żadnym - rodzaj działalności organizacji nie występuje ani w załączniku nr 1, ani nr 2, organizacja nie należy do żadnej kategorii szczególnej z dalszych pytań i nie doręczono jej decyzji o uznaniu za podmiot kluczowy lub ważny | Poza zakresem |
Czy organizacja należy do co najmniej jednej z kategorii uznawanych za podmiot KLUCZOWY na szczególnych zasadach, niezależnie od standardowego progu wielkości (art. 5 ust. 1 pkt 2-4 i ust. 8 pkt 2 ustawy o KSC): dostawca usług DNS; rejestr nazw domen najwyższego poziomu (TLD); podmiot świadczący usługi rejestracji nazw domen; kwalifikowany dostawca usług zaufania; podmiot krytyczny; operator obiektu energetyki jądrowej; podmiot publiczny wskazany w załączniku nr 1 (m.in. starostwa powiatowe, urzędy gmin zatrudniające co najmniej 50 osób według stanu na 1 stycznia, jednostki budżetowe i zakłady budżetowe samorządu województwa); podmiot niebędący przedsiębiorcą wskazany w zał. 1 z nazwy albo rodzaju; przedsiębiorca komunikacji elektronicznej co najmniej średni; dostawca usług zarządzanych w zakresie cyberbezpieczeństwa co najmniej mały; podmiot leczniczy niebędący przedsiębiorcą zatrudniający co najmniej 250 osób?
| Odpowiedź | Wynik klasyfikacji |
|---|---|
| Tak | Podmiot kluczowy |
| Nie | Nieokreślony |
Czy organizacja należy do co najmniej jednej z kategorii uznawanych za podmiot WAŻNY na szczególnych zasadach (art. 5 ust. 2 pkt 3-8 i ust. 8 pkt 1 ustawy o KSC): niekwalifikowany dostawca usług zaufania (mikro-, mały lub średni); przedsiębiorca komunikacji elektronicznej mikro- lub mały; inwestor obiektu energetyki jądrowej, który uzyskał decyzję zasadniczą; samorządowa jednostka budżetowa, samorządowy zakład budżetowy, samorządowa instytucja kultury albo spółka komunalna - jeżeli realizuje zadanie publiczne z wykorzystaniem systemów informacyjnych; podmiot leczniczy niebędący przedsiębiorcą zatrudniający od 50 do 249 osób; podmiot niebędący przedsiębiorcą wskazany w zał. 2 z nazwy albo rodzaju; podmiot, któremu doręczono decyzję o uznaniu za podmiot ważny (art. 7l ust. 2 pkt 2)?
| Odpowiedź | Wynik klasyfikacji |
|---|---|
| Tak | Podmiot ważny |
| Nie | Nieokreślony |
Jaka jest wielkość organizacji według progów z art. 2 załącznika I rozporządzenia 651/2014/UE? Dane licz łącznie z przedsiębiorstwami partnerskimi i powiązanymi (art. 6 zał. I), według stanu na dzień sporządzenia sprawozdania finansowego (art. 5 ust. 5 ustawy o KSC). Jeżeli w którymś pytaniu o kategorie szczególne zaznaczono "Tak", wybierz odpowiedź "Nie dotyczy".
| Odpowiedź | Wynik klasyfikacji |
|---|---|
| Mikro- lub małe przedsiębiorstwo (mniej niż 50 osób, a roczny obrót lub roczna suma bilansowa nie przekracza 10 mln EUR) - i w żadnym pytaniu o kategorie szczególne nie zaznaczono "Tak" | Poza zakresem |
| Średnie przedsiębiorstwo (co najmniej 50 osób lub powyżej progów finansowych małego przedsiębiorstwa - ale mniej niż 250 osób, a roczny obrót nie przekracza 50 mln EUR lub roczna suma bilansowa nie przekracza 43 mln EUR) | Podmiot ważny |
| Duże przedsiębiorstwo (co najmniej 250 osób lub obrót powyżej 50 mln EUR i suma bilansowa powyżej 43 mln EUR) - a rodzaj działalności organizacji jest wymieniony w załączniku nr 1 | Podmiot kluczowy |
| Duże przedsiębiorstwo - ale rodzaj działalności organizacji jest wymieniony wyłącznie w załączniku nr 2 (duży podmiot z zał. 2 pozostaje podmiotem ważnym - art. 5 ust. 2 pkt 2) | Podmiot ważny |
| Nie dotyczy - organizacja należy do kategorii szczególnej (odpowiedź "Tak" w pytaniach powyżej), o statusie przesądza doręczona decyzja administracyjna albo organizacja nie jest przedsiębiorcą i progi wielkości jej nie obejmują | Nieokreślony |
Czy organizacji doręczono decyzję administracyjną o uznaniu za podmiot KLUCZOWY - wydaną przez organ właściwy do spraw cyberbezpieczeństwa (art. 7l ust. 2 pkt 1 ustawy o KSC) albo przez ministra właściwego do spraw informatyzacji wobec państwowej osoby prawnej (art. 7m)? Decyzja podlega natychmiastowemu wykonaniu, a obowiązki realizuje się w 12 miesięcy od jej doręczenia (art. 7l ust. 7, art. 7m ust. 6). Uwaga: decyzję o uznaniu za podmiot WAŻNY (art. 7l ust. 2 pkt 2) uwzględnia wcześniejsze pytanie o kategorie szczególne podmiotu ważnego.
| Odpowiedź | Wynik klasyfikacji |
|---|---|
| Tak | Podmiot kluczowy |
| Nie | Nieokreślony |
Kolejność rozstrzygania
Wynikiem jest najwcześniejsza w tej kolejności klasyfikacja, którą wniosła którakolwiek z udzielonych odpowiedzi:
- Poza zakresem
- Podmiot kluczowy
- Podmiot ważny
- Nieokreślony
Algorytm: wynik to najwyzsza w kolejnosci [poza zakresem / kluczowy / wazny / nieustalony] klasyfikacja wniesiona przez odpowiedzi. Odwzorowuje art. 5 ustawy o KSC (Dz. U. z 2026 r. poz. 20, zm. poz. 252): zal. 1 + duze przedsiebiorstwo = kluczowy (ust. 1 pkt 1); zal. 1 + srednie = wazny (ust. 2 pkt 1); zal. 2 + srednie lub duze = wazny (ust. 2 pkt 2); kategorie szczegolne kluczowe (ust. 1 pkt 2-4, ust. 8 pkt 2) i wazne (ust. 2 pkt 3-8, ust. 8 pkt 1) dzialaja niezaleznie od progow; przy zbiegu statusow wygrywa kluczowy (ust. 4). Progi wielkosci: art. 2 zal. I rozporzadzenia 651/2014/UE, liczone lacznie z przedsiebiorstwami partnerskimi i powiazanymi (art. 6 zal. I) wedlug stanu na dzien sporzadzenia sprawozdania finansowego (art. 5 ust. 5). UPROSZCZENIA KWALIFIKATORA (interpretacja platformy, do potwierdzenia przez radce): (1) nie badamy wyjatku niezaleznosci systemow informacyjnych od przedsiebiorstw powiazanych (art. 5 ust. 6-7) - podmiot na granicy progow powinien zweryfikowac status z prawnikiem; (2) nie badamy wylaczen sluzb specjalnych i podmiotow MON (art. 5 ust. 10-11); (3) przynaleznosc do zalacznika uzytkownik potwierdza sam na podstawie pelnej tresci zalacznikow (rodzaje podmiotow, nie same nazwy sektorow). Wynik "nieustalony" oznacza, ze odpowiedzi nie wystarczaja do klasyfikacji i wymagana jest analiza indywidualna. Wynik kwalifikatora ma charakter informacyjny i nie zastepuje oceny prawnej.
Wynik kwalifikacji
-
Obowiązki (ten sam zestaw dla podmiotu kluczowego i ważnego)
Terminy
- Według szacunków Ministerstwa Cyfryzacji ustawa o KSC może objąć około 38 000 podmiotów (w tym ok. 27 000 podmiotów publicznych); podmioty spełniające przesłanki 3.04.2026 składają wniosek o wpis do wykazu do 3.10.2026.
ref
gov.pl, "Nowelizacja ustawy o KSC - kogo obejmuje?" (20.04.2026); Dz.U. 2026 poz. 252
termin: art. 33 ust. 3 i art. 34 ust. 3 ustawy z 23.01.2026 r. (Dz.U. 2026 poz. 252) oraz komunikat Ministra Cyfryzacji z 8.04.2026 r. (Dz. Urz. MC 2026 poz. 7); liczba: szacunek Ministerstwa Cyfryzacji
Zobacz źródło →TODO-LEGAL-REVIEW - Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z ustawą o KSC jest wymagane do 3.04.2027
ref
Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252
art. 33 ust. 1 ustawy z 23.01.2026 r. (Dz.U. 2026 poz. 252)
TODO-LEGAL-REVIEW - Kary administracyjne za naruszenie obowiązków ustawy o KSC obowiązują od 3.04.2028, z wyjątkiem art. 73 ust. 5.
ref
Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252
art. 35 ustawy z 23.01.2026 r. (odroczenie kar z art. 73 ust. 1-4, art. 73a-73c i art. 76b do 3.04.2028); wyjątek: art. 73 ust. 5 (kara do 100 mln zł za naruszenia powodujące bezpośrednie i poważne zagrożenie - obowiązuje od 3.04.2026, nieobjęta odroczeniem)
TODO-LEGAL-REVIEW - Kierownik podmiotu kluczowego lub ważnego odbywa szkolenie z zakresu cyberbezpieczeństwa raz w roku kalendarzowym, udokumentowane, na podstawie art. 8e ustawy o KSC.
ref
Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252
art. 8e ust. 1 (obowiązek corocznego szkolenia) i ust. 3 (dokumentowanie udziału)
TODO-LEGAL-REVIEW
Na podstawie podanych odpowiedzi Twoja firma dziś nie podlega obowiązkom ustawy o KSC. Sprawdzaj to ponownie po każdej istotnej zmianie (nowa usługa, wzrost skali, decyzja administracyjna) - kwalifikacja nie jest jednorazowa.
Odpowiedzi nie pozwalają jednoznacznie określić klasyfikacji. Skonsultuj się z radcą prawnym albo spróbuj ponownie z pełnym kompletem odpowiedzi.