Start nowego systemu, zapisy ruszyły. Kogo obejmuje nowy obowiązek?

7 maja uruchomiony został Wykaz Krajowego Systemu Cyberbezpieczeństwa. Firmy nim objęte muszą się do niego wpisać. Spoczywają na nich obowiązki wynikające z wdrażania w Polsce unijnej dyrektywy NIS2. Kto podlega nowemu systemowi i jakie powinności na nim ciążą?

 

To data, którą wielu przedsiębiorców w natłoku biznesowych spraw mogło przegapić. 7 maja ruszyła rejestracja do Wykazu Krajowego Systemu Cyberbezpieczeństwa (KSC). Muszą się w nim znaleźć firmy podlegające KSC. Na zapisanie się mają czas do 3 października. A to dopiero początek ich powinności związanych z ustawą dotyczącą cyberochrony.

KSC: jakie nowe obowiązki dla firm?

Przypomnijmy, 3 kwietnia w Polsce weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Wprowadziła ona do polskiego porządku prawnego unijną dyrektywę NIS 2 dotyczącą cyberochrony oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G.

Nowe przepisy rozszerzają katalog podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Istniejący do tej pory podział na operatorów usług kluczowych i dostawców usług cyfrowych zastąpiono innym podziałem - na podmioty kluczowe i podmioty ważne.

Muszą one wdrożyć obowiązki związane z obszarem cyberochrony. Chodzi m.in. o wprowadzenie w życie systemu zarządzania bezpieczeństwem informacji, regularną ocenę ryzyka wystąpienia incydentów i zarządzanie incydentami. Będą też musiały np. zbierać informacje o cyberzagrożeniach i podatnościach na incydenty oraz stosować środki ograniczające ich wpływ na działalność gospodarczą.

Kogo obejmuje KSC? Konieczna samoidentyfikacja   

Powyższymi obowiązkami zostaną objęte firmy z określonych branż (wymieniamy je na końcu tekstu). Według szacunków Ministerstwa Cyfryzacji, KSC może objąć około 38 tys. podmiotów, w tym około 27 tys. podmiotów publicznych. Przedsiębiorcy z określonych sektorów już teraz powinni przeanalizować, czy ich firmy są objęte nowymi przepisami.

Przed złożeniem wniosku o wpis do wykazu przedsiębiorca powinien upewnić się, czy jego podmiot faktycznie spełnia kryteria ustawy dla podmiotu kluczowego lub podmiotu ważnego. Właściciele firm muszą ocenić to samodzielnie. W tym celu powinni sprawdzić profil działalności, właściwy kod PKD oraz wielkość podmiotu, uwzględniając przedsiębiorstwa powiązane i partnerskie. Jeśli spełniają kryteria, będą zobowiązani zarejestrować się w Wykazie podmiotów KSC. Jeśli przedsiębiorcy nie wpiszą się do wykazu, będą im groziły kary finansowe. Szczegółowy opis procesu samoidentyfikacji znajdziesz pod tym linkiem.

Co daje wpis do Wykazu KSC?

Wykaz KSC jest aplikacją, która zawiera listę podmiotów kluczowych i podmiotów ważnych. Zawiera dane podmiotów, które umożliwiają współpracę z zespołami CSIRT i organami właściwymi ds. cyberbezpieczeństwa w ramach krajowego systemu cyberbezpieczeństwa. Dzięki wpisowi do wykazu przedsiębiorcy uzyskają dostęp do S46 Cyber Hub i wypełnią obowiązki nałożone ustawą, m.in. dotyczące zgłaszania incydentów.

Który z trybu wpisu należy wybrać?

Nowe przepisy przewidują dwa tryby wpisu firmy do wykazu. W pierwszej kolejności przedsiębiorca powinien ustalić, który z nich dotyczy jego organizacji.

Pierwsza opcja to samorejestracja – w jej ramach przedsiębiorca składa wniosek o wpis do wykazu samodzielnie. Taka możliwość ruszyła 7 maja. Ten tryb obejmuje osoby, które prowadzą działalność w sektorze objętym ustawą (załącznik nr 1 lub nr 2), spełniają kryteria wielkościowe, a ich podmiot nie jest wpisywany do wykazu z urzędu - chodzi tu przede wszystkim o podmioty prywatne. Warto dodać, że próba umieszczenia podmiotu w wykazie w przypadku, gdy podmiot jest już w nim wpisany, w szczególności z urzędu, zakończy się błędem. Samorejestracji można dokonać pod tym linkiem. Termin składania wniosków mija 3 października.

Natomiast drugi tryb to wpis z urzędu. W tym przypadku przedsiębiorca powinien czekać na wezwanie, po którym ma uzupełnić wpis.

Kto jest wpisany do wykazu z urzędu?

Niektóre podmioty kluczowe lub podmioty ważne są wpisywane do wykazu przez Ministra Cyfryzacji z urzędu – bez składania wniosku o wpis. Taki wpis dotyczy:

• podmiotów publicznych,
• przedsiębiorców telekomunikacyjnych,
• dostawców usług zaufania,
• podmiotów, które wcześniej miały status operatora usługi kluczowej.

W przypadku, gdy przedsiębiorca należy do tej grupy, nie powinien składać wniosku o wpis do wykazu. Po wpisie dokonanym z urzędu otrzyma zawiadomienie i wezwanie do uzupełnienia wpisu z odpowiednim linkiem i kodem dostępu. Na uzupełnienie danych w wykazie ma sześć miesięcy od otrzymania wezwania. O wpisie z urzędu więcej można przeczytać pod tym linkiem. 

Wniosek w ramach samorejestracji: krok po kroku

Aby złożyć wniosek w ramach samorejestracji, przedsiębiorca w pierwszej kolejności powinien wejść na stronę https://wykaz-ksc.gov.pl i zalogować się przez Węzeł Krajowy (Profil Zaufany, mObywatel, e-Dowód, bankowość elektroniczna lub kwalifikowany certyfikat). Jeśli robi to pierwszy raz, musi zarejestrować konto użytkownika.

W kolejnym kroku powinien kliknąć „Wpisz nowy podmiot” i wypełnić formularz – dane podmiotu, klasyfikację sektorową, dane kontaktowe. W kolejnym kroku należy podpisać wniosek elektroniczne.

Wnioski do wykazu składa i podpisuje kierownik podmiotu albo osoba przez niego upoważniona. W razie konieczności do wniosku należy dołączyć udzielone pełnomocnictwo. Kolejne kroki zostały bardziej szczegółowo opisane pod tym linkiem. 

Poniżej przedstawiamy ustawowy podział na sektory kluczowe i ważne.

Sektory kluczowe

1. Energia:

• wydobywanie kopalin
• energia elektryczna
• ciepło
• ropa i paliwa
• gaz
• energetyka jądrowa
• wodór

2. Transport:

• lotniczy
• kolejowy
• wodny
• drogowy

3. Bankowość i infrastruktura rynków finansowych

4. Ochrona zdrowia:

• udzielanie świadczeń zdrowotnych i zdrowie publiczne
• produkcja i dystrybucja substancji czynnych, produktów leczniczych i wyrobów medycznych

5. Zaopatrzenie w wodę pitną i jej dystrybucja

6. Zbiorowe odprowadzanie ścieków

7. Infrastruktura cyfrowa:

• infrastruktura cyfrowa z wyłączeniem komunikacji elektronicznej
• komunikacja elektroniczna

8. Zarządzanie usługami ICT

9. Przestrzeń kosmiczna

10. Podmioty publiczne

Sektory ważne

1. Usługi pocztowe

2. Inwestycje energetyki jądrowej

3. Gospodarowanie odpadami:

• zbieranie odpadów
• transport odpadów
• przetwarzanie odpadów, w tym sortowanie, wraz z nadzorem nad wymienionymi działaniami, a także późniejsze postępowanie z miejscami unieszkodliwiania odpadów
• działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami

4. Produkcja, wytwarzanie i dystrybucja chemikaliów

5. Produkcja, wytwarzanie i dystrybucja żywności

6. Produkcja:

• wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
• komputerów, wyrobów elektronicznych i optycznych
• urządzeń elektrycznych
• maszyn i urządzeń, gdzie indziej niesklasyfikowana
• pojazdów samochodowych, przyczep i naczep
• pozostałego sprzętu transportowego

7. Dostawcy usług cyfrowych

8. Badania naukowe

9. Podmioty publiczne, inne niż wymienione w Załączniku nr 1

źrodło Bankier.pl  11 maja 2026