Nowelizacja ustawy KSC już obowiązuje. Kto stał się podmiotem kluczowym lub ważnym i co to oznacza w praktyce

3 kwietnia 2026 r. weszła w życie duża nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wdrażająca w Polsce dyrektywę NIS2. I choć wiele organizacji kojarzy nowe przepisy głównie z „dużymi operatorami infrastruktury krytycznej”, w praktyce ustawa obejmuje dziś znacznie szerszą grupę podmiotów – również samorządy, spółki komunalne, instytucje kultury, dostawców IT czy średnie firmy świadczące usługi cyfrowe.

W ostatnich tygodniach bardzo często słyszę pytania:

„Czy nas to już dotyczy?”,
„Czy musimy się rejestrować?”,
„Skąd mamy wiedzieć, czy jesteśmy podmiotem ważnym albo kluczowym?”,
„Czy trzeba czekać na decyzję ministra?”,
„Czy infrastruktura krytyczna to to samo co podmiot kluczowy?”.

Postaram się udzielić prostych odpowiedzi na te pytania. Najważniejsze brzmi:

Kiedy podmiot zostaje uznany za podmiot kluczowy lub podmiot ważny w rozumieniu ustawy KSC?

Nowelizacja odeszła od wcześniejszego modelu „operatorów usług kluczowych” i wprowadziła dwa nowe poziomy podmiotów, tzn. kluczowe i ważne. Obie grupy są częścią krajowego systemu cyberbezpieczeństwa (zgodnie z art. 4 ustawy KSC) i najprościej mówiąc:

podmiot kluczowy to organizacja o największym znaczeniu dla państwa, gospodarki lub społeczeństwa,
podmiot ważny to organizacja istotna, ale o nieco mniejszym znaczeniu systemowym.

W praktyce obie grupy mają bardzo podobne obowiązki dotyczące cyberbezpieczeństwa, zarządzania ryzykiem, zgłaszania incydentów, audytów bezpieczeństwa. Różnice dotyczą głównie poziomu nadzoru i potencjalnych konsekwencji.

Do ustalenia statusu organizacji kluczowe jest sprawdzenie warunków wskazanych w art. 5 ustawy, które określają warunki kwalifikacji.

Sektor działalności

Najpierw należy sprawdzić, czy organizacja działa w sektorach wskazanych w:

załączniku nr 1 – sektory bardziej krytyczne (co najczęściej będzie prowadziło do uznania organizacji za podmiot kluczowy),
załączniku nr 2 – sektory ważne (co najczęściej będzie prowadziło do uznania organizacji za podmiot ważny).

Najczęściej jako podmioty kluczowe kwalifikowane będą:

energetyka,
wodociągi i kanalizacja,
transport,
bankowość,
infrastruktura cyfrowa,
ochrona zdrowia (duże podmioty lecznicze),
administracja publiczna szczebla centralnego,
część podmiotów gospodarki odpadami realizujących usługi o charakterze krytycznym.

Najczęściej jako podmioty ważne kwalifikowane będą:

średniej wielkości dostawcy usług IT,
centra danych,
dostawcy usług chmurowych,
samorządowe instytucje kultury,
część spółek komunalnych,
mniejsze podmioty ochrony zdrowia,
organizacje realizujące zadania publiczne z wykorzystaniem systemów informacyjnych.

Należy podkreślić, że ostateczna kwalifikacja zależy nie tylko od sektora działalności, ale także od:

rodzaju działalności,
wielkości organizacji,
znaczenia świadczonych usług,
a czasami także od indywidualnej decyzji organu właściwego dla danego sektora.

Wielkość organizacji

W wielu przypadkach ustawa odwołuje się do definicji przedsiębiorcy z z rozporządzenia UE 651/2014. Podmiotem kluczowym co do zasady będzie to organizacja działająca w sektorze z załącznika nr 1, która przekracza kryteria średniego przedsiębiorstwa.

Przykłady podmiotów kluczowych:

duża spółka wodociągowa,
operator energetyczny,
duży podmiot leczniczy,
duży operator infrastruktury cyfrowej,
bank,
duży przewoźnik kolejowy.

Podmiotem ważnym najczęściej będzie to organizacja z załącznika nr 1 lub 2, która jest co najmniej średnim przedsiębiorcą, ale nie spełnia przesłanek dla podmiotu kluczowego.

Przykłady podmiotów ważnych:

średniej wielkości firma IT,
dostawca usług chmurowych,
samorządowa instytucja kultury,
średniej wielkości spółka komunalna,
podmiot świadczący usługi cyfrowe,
mniejszy podmiot leczniczy.

Przykład praktyczny – spółka wodociągowa

Spółka dostarczająca wodę, obsługująca kilka gmin i zatrudniająca 300 osób, najczęściej będzie podmiotem kluczowym, ponieważ działa w sektorze krytycznym i przekracza progi średniego przedsiębiorcy.

Przykład praktyczny – instytucja kultury

Samorządowa instytucja kultury prowadząca BIP, korzystająca z systemów IT, realizująca zadania publiczne, obsługująca księgowość, sprzedaż online czy elektroniczne systemy rezerwacji, może zostać uznana za podmiot ważny. Wynika to z art. 5 ust. 2 pkt 8 ustawy.

W praktyce oznacza to, że wiele podmiotów, które wcześniej w ogóle nie interesowały się ustawą KSC, dziś powinno już analizować swoje obowiązki.

Kwalifikacja jako podmiot kluczowy, niezależnie od wielkości

To bardzo ważny wyjątek , bo art. 5 ust. 1 pkt 4 ustawy KSC wskazuje grupy podmiotów, które są uznawane za podmioty kluczowe niezależnie od liczby pracowników czy obrotów. Są to m.in.:

dostawcy usług DNS,
kwalifikowani dostawcy usług zaufania,
podmioty krytyczne,
określone podmioty publiczne,
operatorzy energetyki jądrowej,
rejestry domen internetowych.

Czyli nawet relatywnie niewielka organizacja może zostać uznana za podmiot kluczowy, jeśli świadczy usługę istotną z punktu widzenia państwa lub infrastruktury cyfrowej.

Czy można zostać przypisanym „z urzędu”?

Tak – i to kolejna ze zmian. Znowelizowana ustawa przewiduje dwa modele samodzielną rejestrację oraz wpis z urzędu.

Jeżeli organizacja spełnia przesłanki ustawowe, powinna sama złożyć wniosek o wpis do wykazu. Zgodnie z art. 7c ust. 1 należy to zrobić w terminie 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub ważny. Zgodnie z art. 7d wpis następuje z chwilą złożenia wniosku w systemie teleinformatycznym ministra właściwego do spraw informatyzacji. W Praktyce rejestracji podmioty dokonują elektronicznie w systemie S46.

Należy pamiętać, że art. 7j ustawy KSC pozwala właściwemu organowi samodzielnie wpisać podmiot do wykazu. W praktyce organ może korzystać z rejestrów publicznych, analizować działalność organizacji, a następnie przesłać zawiadomienie o wpisie. Podmiot otrzyma wtedy wezwanie do uzupełnienia danych i realizacji obowiązków ustawowych w zakresie cyberbezpieczeństwa.

Jakie dane trzeba podać przy rejestracji?

Zakres danych jest bardzo szeroki (art. 7 ust. 2 ustawy KSC):

dane organizacji,
sektor działalności,
dane kontaktowe,
zakresy adresów IP,
domeny internetowe,
informacje o dostawcach usług cyberbezpieczeństwa,
dane osób kontaktowych.

To pokazuje, że ustawodawca buduje centralny system wymiany informacji o cyberzagrożeniach i incydentach.

Czy można zostać uznanym za podmiot kluczowy mimo niespełniania progów?

Tak, zgodnie z art. 7l ustawy organ może wydać decyzję administracyjną wobec podmiotu, który formalnie nie spełnia progów wielkościowych. Może się tak stać np. gdy organizacja świadczy unikalną usługę, której awaria mogłaby sparaliżować inne podmioty lub ma szczególne znaczenie regionalne albo krajowe. To bardzo istotny przepis, bo pokazuje, że ustawodawca patrzy nie tylko na liczbę pracowników czy obrót, ale także na realny wpływ organizacji na funkcjonowanie państwa i społeczeństwa.

Czym różni się podmiot kluczowy od infrastruktury krytycznej?

To jedno z najczęstszych pytań po wejściu w życie nowelizacji KSC – i rzeczywiście łatwo się tutaj pogubić, bo oba pojęcia są do siebie podobne. Najprościej można to wyjaśnić tak:

infrastruktura krytyczna to pojęcie związane z bezpieczeństwem państwa,
podmiot kluczowy to pojęcie związane z cyberbezpieczeństwem i ustawą KSC.

Infrastruktura krytyczna to systemy i obiekty, bez których państwo nie mogłoby normalnie funkcjonować. Mogą to być np. elektrownie, wodociągi, sieci energetyczne, transport kolejowy, systemy łączności, duże systemy teleinformatyczne administracji. Status infrastruktury krytycznej nadaje się na podstawie przepisów o zarządzaniu kryzysowym i ma on związek głównie z bezpieczeństwem państwa oraz ciągłością działania.

Podmiot kluczowy to z kolei organizacja objęta ustawą KSC, ponieważ:

świadczy istotne usługi,
działa w ważnym sektorze,
albo jej działalność ma duże znaczenie dla gospodarki lub społeczeństwa.

I tutaj ważna rzecz nie każdy podmiot kluczowy będzie elementem infrastruktury krytycznej. Przykładowo duży dostawca usług chmurowych, operator centrum danych, czy duża platforma cyfrowa mogą być podmiotami kluczowymi, mimo że formalnie nie są infrastrukturą krytyczną.

Ustawa KSC wskazuje wprost, że podmiot krytyczny automatycznie staje się podmiotem kluczowym. Czyli jeżeli organizacja została uznana za podmiot krytyczny w rozumieniu przepisów o odporności podmiotów krytycznych, to będzie również podmiotem kluczowym w rozumieniu ustawy KSC, nawet jeśli jest niewielka organizacyjnie.

Można więc powiedzieć, że część infrastruktury krytycznej „wpada” do kategorii podmiotów kluczowych, ale katalog podmiotów kluczowych jest znacznie szerszy niż sama infrastruktura krytyczna.

Przykład: Infrastruktura krytyczna + podmiot kluczowy

Duża spółka energetyczna obsługująca region kraju będzie elementem infrastruktury krytycznej i jednocześnie podmiotem kluczowym.

Przykład:Podmiot kluczowy, ale nie infrastruktura krytyczna

Duży operator centrum danych może być podmiotem kluczowym, ale formalnie nie być infrastrukturą krytyczną.

Co dalej po wpisie?

Po uzyskaniu statusu podmiotu kluczowego albo ważnego organizacja musi wdrożyć obowiązki w zakresie cyberbezpieczeństwa (rozdział 3 ustawy KSC). Najważniejszym obowiązkiem jest wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI).
W praktyce oznacza to m.in.:

analizę ryzyka,
procedury bezpieczeństwa,
zarządzanie incydentami,
zgłaszanie incydentów,
audyty bezpieczeństwa,
zarządzanie podatnościami,
nadzór nad dostawcami IT.

I właśnie dlatego warto zacząć przygotowania odpowiednio wcześniej – zanim pojawi się kontrola albo pierwszy poważny incydent.

Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie