Baza wiedzy - obowiązek KSC

Rejestracja w wykazie podmiotów kluczowych i ważnych

Jak zarejestrować podmiot w wykazie podmiotów kluczowych i ważnych (KSC/NIS2): terminy (samorejestracja do 3.10.2026), system S46 i wykaz-ksc.gov.pl, wymagane podpisy, aktualizacja danych w 14 dni.

Opublikowano: 12 lipca 2026Ostatnia aktualizacja: 12 lipca 2026

Status tej treści

Poniżej znajduje się pełna treść artykułu w wersji roboczej 0.9-draft - przed przeglądem radcy prawnego (OP-6.2, blueprint-nis2-gtm-operations.md). Mimo formy artykułu poradnikowego nie jest to jeszcze zatwierdzona treść prawna: dopiero po przeglądzie kancelarii treść uzyska status zatwierdzonej. Miejsca oznaczoneTODO-CONTENT/TODO-LEGAL-REVIEW to otwarte pytania i decyzje, których nie wypełniamy domysłem.

TL;DR

  • Podmiot, który 3.04.2026 r. spełniał przesłanki uznania za podmiot kluczowy lub ważny, składa wniosek o wpis do wykazu najpóźniej do 3.10.2026 r. (art. 33 ust. 3 i art. 34 ust. 3 ustawy z 23.01.2026 r., Dz. U. poz. 252; harmonogram: komunikat Ministra Cyfryzacji z 8.04.2026 r., Dz. Urz. MC poz. 7).
  • Samorejestracja trwa od 7.05.2026 r. i odbywa się elektronicznie w systemie S46 (portal wykaz-ksc.gov.pl), z podpisem kwalifikowanym, zaufanym albo osobistym oraz oświadczeniem o odpowiedzialności karnej (art. 7c ust. 5-6 ustawy o KSC).
  • Reguła ciągła: kto spełni przesłanki później, składa wniosek w 6 miesięcy od ich spełnienia (art. 7c ust. 1); zmianę danych zgłasza się w 14 dni (art. 7c ust. 3).
  • Według szacunków Ministerstwa Cyfryzacji ustawa może objąć około 38 tysięcy podmiotów, w tym około 27 tysięcy podmiotów publicznych (gov.pl, 20.04.2026).
  • Kara za niezłożenie wniosku może być nakładana od 3.04.2028 r. (art. 73 ust. 1a pkt 1 w zw. z art. 35 ustawy zmieniającej) - ale wpis warunkuje dostęp do S46, którym zgłasza się incydenty. Praktycznie: bez wpisu nie wykonasz obowiązku 24 h przy pierwszym poważnym incydencie.

Terminy: skąd się bierze data 3.10.2026

Data Co się dzieje Podstawa
3.04.2026 Wejście w życie nowelizacji; start obowiązków rejestracyjnych i środków nadzorczych (art. 53) art. 49 ustawy zmieniającej
13.04.2026 Uruchomienie wykazu; 13.04-6.05: wpisy z urzędu komunikat MC z 8.04.2026 (Dz. Urz. MC 2026 poz. 7)
7.05.2026 Start samorejestracji komunikat MC j.w.
3.10.2026 Koniec okna: wniosek obowiązkowo złożony art. 33 ust. 3 + art. 34 ust. 3 ustawy zmieniającej; komunikat MC
na bieżąco Nowe podmioty: wniosek w 6 miesięcy od spełnienia przesłanek art. 7c ust. 1
na bieżąco Zmiana danych: zgłoszenie w 14 dni art. 7c ust. 3

Uwaga: harmonogram pochodzi z komunikatu ministra i może być zmieniany z powodów technicznych lub organizacyjnych (art. 34 ust. 5 ustawy zmieniającej). Stan na 11.07.2026: obowiązuje komunikat z 8.04.2026.

Krok 0: ustal, czy w ogóle podlegasz (art. 5)

Status wynika z macierzy: rodzaj działalności (załącznik nr 1 albo nr 2 do ustawy) x wielkość przedsiębiorstwa (progi z art. 2 zał. I rozporządzenia 651/2014/UE), plus kategorie szczególne niezależne od wielkości:

  • zał. 1 + duże przedsiębiorstwo = podmiot kluczowy (art. 5 ust. 1 pkt 1),
  • zał. 1 + średnie = podmiot ważny (art. 5 ust. 2 pkt 1),
  • zał. 2 + średnie lub duże = podmiot ważny (art. 5 ust. 2 pkt 2),
  • kategorie szczególne (m.in. dostawcy DNS, kwalifikowani dostawcy usług zaufania, dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa już od statusu MAŁEGO, wskazane podmioty publiczne) - niezależnie od standardowych progów (art. 5 ust. 1 pkt 2-4, ust. 2 pkt 3-8, ust. 8),
  • przy zbiegu statusów wygrywa kluczowy (art. 5 ust. 4).

Wielkość liczy się łącznie z przedsiębiorstwami partnerskimi i powiązanymi (art. 6 zał. I 651/2014), według stanu na dzień sporządzenia sprawozdania finansowego (art. 5 ust. 5). Na granicy progów i w grupach kapitałowych - skonsultuj status z prawnikiem (ustawa przewiduje wyjątki, m.in. art. 5 ust. 6-7, których samoobsługowy kwalifikator nie rozstrzygnie).

Do wstępnej samooceny służy nasz kalkulator kwalifikacji (liczy w przeglądarce, dane nie opuszczają komputera): /narzedzia/kwalifikacja. Wynik ma charakter informacyjny i nie zastępuje oceny prawnej.

Kroki 1-6: rejestracja w praktyce

  1. Zbierz dane wniosku. Katalog danych określa ustawa - TODO-CONTENT: dokładna lista pól wniosku (art. 7b) do uzupełnienia po weryfikacji na tekście ustawy / formularzu wykaz-ksc.gov.pl; nie wypisujemy jej tu z pamięci. Praktycznie przygotuj co najmniej: dane identyfikacyjne podmiotu, określenie sektora/podsektora i rodzaju podmiotu wg załącznika, dane osób do kontaktu (pamiętaj o obowiązku wyznaczenia osób kontaktowych - art. 9).
  2. Zapewnij podpis. Wniosek podpisuje kierownik lub osoba upoważniona: podpisem kwalifikowanym, zaufanym albo osobistym (art. 7c ust. 5-6). Jeżeli zarząd nie ma żadnego z nich - załatw to PRZED ostatnim tygodniem września.
  3. Złóż wniosek w S46. Portal: wykaz-ksc.gov.pl (część systemu, o którym mowa w art. 46 ust. 1). Wniosek zawiera oświadczenie o odpowiedzialności karnej za podanie nieprawdziwych danych (art. 7c ust. 6).
  4. Zachowaj potwierdzenie. Urzędowe poświadczenie złożenia + kopia treści wniosku trafiają do dokumentacji (art. 10 ust. 4 - zapisy operacyjne).
  5. Wpisz do kalendarza regułę 14 dni. Każda zmiana danych objętych wpisem = zgłoszenie w 14 dni (art. 7c ust. 3). Zmiana zarządu, adresu, osób kontaktowych - to wszystko są wyzwalacze.
  6. Zaplanuj resztę zobowiązań. Wpis to początek: obowiązki z rozdziału 3 (w tym SZBI) - do 3.04.2027 r. dla kohorty z 3.04.2026 (art. 33 ust. 1 ustawy zmieniającej), coroczne szkolenie kierownika (art. 8e), a dla podmiotów kluczowych pierwszy audyt do 3.04.2028 r. (art. 33 ust. 2). Generator terminów: /narzedzia/terminy.

Najczęstsze błędy

  1. “Kary są od 2028, więc rejestracja poczeka”. Kara za brak wniosku faktycznie może być nałożona od 3.04.2028 r. (art. 73 ust. 1a pkt 1 w zw. z art. 35 ustawy zmieniającej). Ale: środki nadzorcze działają od 3.04.2026 (art. 53), a bez wpisu nie masz dostępu do S46 - czyli przy pierwszym incydencie poważnym nie wykonasz zgłoszenia w 24 h (art. 11 ust. 1 pkt 4). Ryzykujesz naruszenie, którego nie da się nadrobić wstecz.
  2. Samoocena “na nazwę sektora”. O objęciu decyduje rodzaj podmiotu wskazany w treści załącznika, nie sama nazwa sektora. Trzeba czytać pozycje załącznika nr 1/nr 2, nie nagłówki.
  3. Pominięcie agregacji z grupą. Progi wielkości liczy się łącznie z przedsiębiorstwami partnerskimi i powiązanymi (art. 5 ust. 5; art. 6 zał. I 651/2014) - spółka “za mała” samodzielnie może być objęta przez grupę.
  4. Firma IT zakłada, że jej nie dotyczy. Dostawca usług zarządzanych w zakresie cyberbezpieczeństwa jest podmiotem kluczowym już od statusu małego przedsiębiorstwa (art. 5 ust. 1 pkt 3). Definicje z art. 2 pkt 4i-4j są szerokie; typowy MSP administrujący zdalnie systemami klientów powinien zbadać własny status.
  5. Wniosek złożony, reguła 14 dni zapomniana. Art. 7c ust. 3 działa bezterminowo - to obowiązek utrzymaniowy, nie jednorazowy.
  6. Odkładanie na wrzesień. Okno działa od 7.05.2026. Wąskie gardło końcówki: podpisy (profil zaufany zarządu), ustalenie statusu w grupach kapitałowych i przeciążenie systemu w ostatnich dniach - fala 38 tysięcy podmiotów ma jeden deadline.

Checklista do odhaczenia

  • Przeszedłem kwalifikację (art. 5) i mam udokumentowany wynik z uzasadnieniem
  • Sprawdziłem agregację z podmiotami partnerskimi/powiązanymi (art. 5 ust. 5)
  • Ustaliłem sektor/podsektor i rodzaj podmiotu wg treści załącznika nr 1/nr 2
  • Kierownik lub osoba upoważniona ma działający podpis (kwalifikowany/zaufany/osobisty)
  • Wniosek złożony w wykaz-ksc.gov.pl przed 3.10.2026 (art. 33 ust. 3 + art. 34 ust. 3 ustawy zmieniającej)
  • Potwierdzenie złożenia zarchiwizowane (art. 10 ust. 4)
  • Reguła 14 dni na zmiany danych wpisana w proces (art. 7c ust. 3)
  • Zaplanowane kolejne terminy: SZBI do 3.04.2027 (art. 33 ust. 1), szkolenie kierownika co rok (art. 8e), pierwszy audyt podmiotu kluczowego do 3.04.2028 (art. 33 ust. 2)

Pytania i odpowiedzi

Ilu podmiotów dotyczy rejestracja? Według szacunków Ministerstwa Cyfryzacji ustawa może objąć około 38 tysięcy podmiotów, w tym około 27 tysięcy podmiotów publicznych (gov.pl, “Nowelizacja ustawy o KSC - kogo obejmuje?”, 20.04.2026).

Co jeśli spełnię przesłanki dopiero w 2027 roku? Obowiązuje reguła ciągła: wniosek w 6 miesięcy od dnia spełnienia przesłanek (art. 7c ust. 1), obowiązki rozdziału 3 w 12 miesięcy, a pierwszy audyt (podmiot kluczowy) w 24 miesiące (art. 16).

Czy mogę zarejestrować się “na zapas”, jeśli nie jestem pewien statusu? Wniosek zawiera oświadczenie o odpowiedzialności karnej (art. 7c ust. 6), więc deklaracja musi odpowiadać rzeczywistości. Przy realnej niepewności właściwa kolejność to analiza prawna statusu, nie rejestracja profilaktyczna. TODO-LEGAL-REVIEW: praktyka organu wobec wpisów “ostrożnościowych” do potwierdzenia.

Kto składa wniosek za jednostkę samorządową? Wniosek podpisuje kierownik podmiotu lub osoba upoważniona (art. 7c ust. 5-6). W strukturach JST kluczowe jest poprawne ustalenie, który podmiot (urząd, jednostka budżetowa, spółka komunalna) jest podmiotem objętym - samorządowe jednostki organizacyjne mają własne pozycje w załącznikach (art. 5 ust. 2 pkt 8 i zał. nr 2).

Czy po rejestracji trzeba coś robić z wpisem? Tak: aktualizować dane w 14 dni od zmiany (art. 7c ust. 3). Poza tym wpis otwiera dostęp do S46, w którym zgłasza się incydenty poważne (art. 11 ust. 2).

Źródła


Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Status treści: 0.9-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW).

Podstawa prawna

  • Według szacunków Ministerstwa Cyfryzacji ustawa o KSC może objąć około 38 000 podmiotów (w tym ok. 27 000 podmiotów publicznych); podmioty spełniające przesłanki 3.04.2026 składają wniosek o wpis do wykazu do 3.10.2026.
    ref

    gov.pl, "Nowelizacja ustawy o KSC - kogo obejmuje?" (20.04.2026); Dz.U. 2026 poz. 252

    termin: art. 33 ust. 3 i art. 34 ust. 3 ustawy z 23.01.2026 r. (Dz.U. 2026 poz. 252) oraz komunikat Ministra Cyfryzacji z 8.04.2026 r. (Dz. Urz. MC 2026 poz. 7); liczba: szacunek Ministerstwa Cyfryzacji

    Zobacz źródło →TODO-LEGAL-REVIEW
  • Kary administracyjne za naruszenie obowiązków ustawy o KSC obowiązują od 3.04.2028, z wyjątkiem art. 73 ust. 5.
    ref

    Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252

    art. 35 ustawy z 23.01.2026 r. (odroczenie kar z art. 73 ust. 1-4, art. 73a-73c i art. 76b do 3.04.2028); wyjątek: art. 73 ust. 5 (kara do 100 mln zł za naruszenia powodujące bezpośrednie i poważne zagrożenie - obowiązuje od 3.04.2026, nieobjęta odroczeniem)

    TODO-LEGAL-REVIEW
  • Kontrole i nakazy organu właściwego wobec podmiotów kluczowych i ważnych (art. 53 ustawy o KSC) obowiązują od 3.04.2026 r. (wejście w życie noweli, art. 49) - nie czekają na 3.04.2028.
    ref

    Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252

    art. 53 w zw. z art. 49 (wejście w życie) ustawy z 23.01.2026 r.

    TODO-LEGAL-REVIEW

Powiązane narzędzia

Pełny rejestr zmian prawnych i "stan prawny treści" czyta ten sam źródło co sekcja "Prawo" dokumentacji.