Nowelizacja KSC i NIS2. Jak firmy mają przeprowadzić samoidentyfikację?

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wprowadza obowiązek samodzielnej oceny statusu przez przedsiębiorców. To efekt wdrożenia dyrektywy NIS2, która rozszerza katalog podmiotów objętych regulacją. Firmy mają ograniczony czas na analizę i ewentualny wpis do wykazu.

Zmiana przepisów oznacza istotne przesunięcie odpowiedzialności na podmioty działające w sektorach objętych regulacją. To przedsiębiorca musi samodzielnie ocenić, czy spełnia kryteria podmiotu kluczowego lub ważnego. Podstawą jest analiza działalności w kontekście przepisów ustawy, w szczególności art. 5 oraz załączników określających sektory i typy usług.

W praktyce oznacza to konieczność weryfikacji faktycznego zakresu działalności, a nie tylko formalnego przypisania do kodów PKD. Te mogą pomóc, ale nie są rozstrzygające. Liczy się realny charakter świadczonych usług.

Trzy kroki do ustalenia statusu

Proces samoidentyfikacji można podzielić na trzy etapy. Pierwszy to sprawdzenie, czy działalność mieści się w sektorach wskazanych w ustawie. Drugi obejmuje określenie wielkości przedsiębiorstwa. W tym przypadku stosuje się standardowe progi dla mikro, małych i średnich firm, uwzględniając także podmioty powiązane i partnerskie.

Przykładowo mikroprzedsiębiorstwo to firma zatrudniająca mniej niż 10 osób i osiągająca do 2 mln EUR obrotu rocznie, czyli około 8,60 mln PLN. W przypadku średnich firm limit zatrudnienia wynosi 250 pracowników, a obrót do 50 mln EUR, czyli około 215 mln PLN.

Trzeci krok to analiza art. 5 ustawy. To kluczowy element, który może przesądzić o objęciu regulacją niezależnie od wielkości podmiotu. Przepisy wskazują szczególne przypadki, w których firma automatycznie trafia do kategorii podmiotów kluczowych lub ważnych.

Warto podkreślić, że przedsiębiorcy telekomunikacyjni podlegają regulacji niezależnie od skali działalności. Duże i średnie firmy z tego sektora będą traktowane jako podmioty kluczowe, a mniejsze jako ważne.

Terminy i obowiązki rejestracyjne

Nowe przepisy wprowadzają także obowiązek wpisu do Wykazu KSC, a sam system rejestracji zostanie uruchomiony 7 maja 2026 roku. Podmioty, które nie zostaną wpisane z urzędu, będą mogły dokonać samorejestracji do 3 października 2026 roku.

Część organizacji znajdzie się w wykazie automatycznie. Dotyczy to m.in. podmiotów publicznych, operatorów usług kluczowych czy firm telekomunikacyjnych. Pozostałe muszą samodzielnie złożyć wniosek w systemie S46, korzystając z aplikacji webowej.

Samoidentyfikacja to dopiero pierwszy etap

Nowelizacja KSC jest jednym z kluczowych elementów wdrażania dyrektywy NIS2 w Polsce. Regulacje te znacząco rozszerzają zakres podmiotów objętych obowiązkami w obszarze cyberbezpieczeństwa. W praktyce oznacza to większą presję na organizacje, by inwestowały w zarządzanie ryzykiem, reagowanie na incydenty i zgodność regulacyjną.

Dla wielu firm największym wyzwaniem będzie nie sam wpis do wykazu, lecz dostosowanie procesów operacyjnych i technologicznych do nowych wymagań. Samoidentyfikacja jest więc dopiero pierwszym etapem, który uruchamia szerszy proces zmian organizacyjnych.