KSC samoidentyfikacja: dziś, 3 kwietnia 2026 roku, weszła w życie znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) — polska implementacja dyrektywy NIS2. To nie jest kolejna regulacja, którą można odłożyć na później. To przepis, który zmienia reguły gry dla dziesiątek tysięcy polskich firm — i robi to bez powiadomień, bez okresu przejściowego na decyzję i bez taryfy ulgowej za niewiedzę.
Co więcej: ustawa nie czeka na Twoją rejestrację. Obowiązek samoidentyfikacji spoczywa na organizacji od dnia wejścia przepisów w życie. Jeśli spełniasz kryteria — jesteś podmiotem objętym KSC, niezależnie od tego, czy wiesz o tym, czy nie.
To, co zmieniło się 3 kwietnia, to nie tylko data w kalendarzu. To punkt startowy zegara, który zaczął odliczać terminy — i który dla wielu firm już biegnie.
Skala zmiany: z 400 podmiotów do 38 000 firm
Dotychczasowy KSC obejmował wąską grupę podmiotów — szacunkowo 400–500 operatorów usług kluczowych i dostawców usług cyfrowych, głównie dużych graczy z sektorów energetyki, bankowości i infrastruktury krytycznej.
Nowelizacja zmienia ten obraz radykalnie. Według szacunków nowe przepisy obejmą około 38 000 podmiotów działających na polskim rynku. Rozszerzenie zakresu wynika bezpośrednio z implementacji NIS2 — dyrektywy, która znacząco poszerzyła listę sektorów objętych obowiązkami (z 7 do 18 branż) oraz obniżyła próg wejścia dla firm działających w tych sektorach.
Innymi słowy: jeśli przez ostatnie lata byłeś poza zakresem — bardzo możliwe, że to już nieaktualne. Dla organizacji oznacza to jedno: nie możesz zakładać, że jesteś poza zakresem, dopóki tego nie sprawdzisz. Brak wpisu w rejestrze ministerialnym nie jest tarczą — nie chroni przed karą.
Jak sprawdzić, czy podlegasz KSC: 3 kroki samoidentyfikacji
Poniższy proces oparty jest na logice Art. 5 ustawy o KSC. Możesz przejść go samodzielnie — bez konsultanta.
Krok 1 — Sprawdź wyjątki niezależne od rozmiaru firmy
Zanim zajmiesz się swoją wielkością i sektorem, sprawdź jedną rzecz: czy należysz do kategorii podmiotów, które wchodzą do reżimu KSC automatycznie, bez względu na liczbę pracowników i obrót.
Jeśli Twoja organizacja to:
- dostawca usług DNS,
- rejestr TLD lub podmiot rejestracji domen,
- kwalifikowany dostawca usług zaufania,
- podmiot publiczny wskazany w Załączniku 1 ustawy,
- operator obiektu energetyki jądrowej,
- MSSP (Managed Security Service Provider) — będący co najmniej małym przedsiębiorcą,
→ jesteś podmiotem kluczowym z mocy prawa, niezależnie od rozmiaru. Możesz przejść od razu do sekcji o obowiązkach.
Podstawa prawna: Art. 5 ust. 1 pkt 4 UoKSC.
Krok 2 — Sprawdź sektor i rozmiar
Jeśli nie trafiłeś w żaden z wyjątków z Kroku 1, przejdź do klasycznej matrycy: sektor × wielkość.
Najpierw sektor: Sprawdź, czy Twoja firma działa w branży wymienionej w Załączniku 1 (sektory wysoce krytyczne) lub Załączniku 2 (sektory krytyczne) ustawy KSC. Do najważniejszych należą: energia, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa, usługi ICT, administracja publiczna, przestrzeń kosmiczna, a także usługi pocztowe i kurierskie, zarządzanie odpadami, produkcja wyrobów krytycznych, handel żywnością.
Jeśli Twój sektor nie pojawia się w żadnym z załączników — prawdopodobnie jesteś poza zakresem ustawy.
Następnie rozmiar:
| Rozmiar firmy | Załącznik 1 | Załącznik 2 |
|---|---|---|
| Duży (>250 os. lub >50 mln € obrotu) | Podmiot kluczowy | Podmiot ważny |
| Średni (50–249 os. lub 10–50 mln €) | Podmiot ważny | Podmiot ważny |
| Mikro/Mały (<50 os. lub <10 mln €) | poza zakresem* | poza zakresem* |
*z wyjątkami opisanymi w Kroku 3
Ważna zasada: Jeśli jednocześnie spełniasz kryteria podmiotu kluczowego i ważnego — wygrywasz wyższy reżim. Jesteś podmiotem kluczowym (Art. 5 ust. 4 UoKSC).
Podstawa prawna: Art. 5 ust. 1 pkt 1–3 oraz ust. 2 pkt 1–2 UoKSC.
Krok 3 — Jesteś małą firmą? Sprawdź wyjątki szczególne
Mikro i mali przedsiębiorcy są co do zasady poza zakresem KSC. Ale ustawa przewiduje kilka istotnych wyjątków.
Małe i mikro firmy mogą być podmiotem ważnym, jeśli:
- są przedsiębiorcą komunikacji elektronicznej (sektor telekomunikacyjny),
- są niekwalifikowanym dostawcą usług zaufania,
- to jednostka samorządowa lub spółka komunalna realizująca zadania publiczne przez systemy IT,
- to inwestor w energetykę jądrową z uzyskaną decyzją zasadniczą.
Podstawa prawna: Art. 5 ust. 2 pkt 3–8 UoKSC.
Najczęstszy błąd: czekanie na wpis ministerialny
W rozmowach z przedsiębiorcami powtarza się jeden schemat: „Jak ministerstwo mnie wpisze do wykazu, to się zajmę.”
To podejście jest błędne — i kosztowne. Minister Cyfryzacji ma uprawnienie do wpisu z urzędu, ale nie ma obowiązku Cię o tym powiadamiać. Samoidentyfikacja leży po Twojej stronie od 3 kwietnia 2026. Niebycie na liście ministerialnej nie chroni przed karą.
Konsekwencje: ile kosztuje niedziałanie
Sankcje są konkretne i niezależne od tego, czy ktoś Cię wpisał do rejestru.
Podmioty kluczowe: kara do 10 mln EUR lub 2% całkowitego globalnego obrotu rocznego.
Podmioty ważne: kara do 7 mln EUR lub 1,4% całkowitego globalnego obrotu rocznego.
Obok kar finansowych ustawa przewiduje dodatkowe instrumenty: możliwość zawieszenia certyfikatów, zakaz pełnienia funkcji kierowniczych przez osoby odpowiedzialne za naruszenie, a w określonych przypadkach — podanie do publicznej wiadomości informacji o podmiocie i naruszeniu.
Kluczowy punkt: 12-miesięczny termin na wdrożenie biegnie od 3 kwietnia 2026 — nie od daty Twojej rejestracji, nie od daty wpisu do wykazu. Każdy tydzień bez działania to tydzień mniej na spokojne, przemyślane wdrożenie.
Sprawdź swój status — bezpłatne narzędzie KSC samoidentyfikacja (Excel)
Przygotowałem arkusz Excel, który przeprowadzi Cię przez pełną logikę Art. 5 UoKSC krok po kroku.
Co zawiera narzędzie:
- 20 pytań weryfikacyjnych odzwierciedlających logikę ustawy,
- automatyczny wynik: kluczowy / ważny / poza zakresem,
- podstawę prawną przy każdym pytaniu,
- listę terminów i obowiązków po potwierdzeniu statusu.
Aby otrzymać arkusz, wypełnij formularz:
Masz wątpliwości po wypełnieniu arkusza? Oferuję bezpłatną 30-minutową rozmowę diagnostyczną — bez zobowiązań, bez presji sprzedażowej.
📧 srebnicki@protonmail.com
🌐 psrebnicki.pl
Co dalej, jeśli wiesz już, że podlegasz KSC?
Potwierdzenie statusu to punkt startowy. Oto harmonogram obowiązków:
| Termin | Obowiązek |
|---|---|
| 6 miesięcy (do 3 X 2026) | Złożenie wniosku o wpis do wykazu podmiotów KSC |
| 12 miesięcy (do 3 IV 2027) | Wdrożenie SZBI — Systemu Zarządzania Bezpieczeństwem Informacji |
| 12 miesięcy | Systematyczne zarządzanie ryzykiem dla systemów informacyjnych |
| 12 miesięcy | Ciągłość działania — opracowanie i wdrożenie BCP/DRP |
| 12 miesięcy | Bezpieczeństwo dostaw — wymogi w kontraktach z dostawcami IT |
| 12 miesięcy | Procedury obsługi incydentów (wykrywanie, raportowanie, reagowanie) |
| 24 miesiące | Audyt bezpieczeństwa (dotyczy podmiotów kluczowych) |
Jeśli chcesz przejść ten proces z zewnętrznym wsparciem — pracuję z organizacjami w trzech fazach: diagnozy (samoidentyfikacja i gap analysis), wdrożenia (SZBI, procedury, polityki) oraz utrzymania (audyt, rejestracja, szkolenia).
Pierwszy krok jest bezpłatny: 30-minutowa rozmowa diagnostyczna, w której oceniamy status, priorytety i realistyczny harmonogram dla Twojej organizacji.
📧 srebnicki@protonmail.com
🌐 psrebnicki.pl
Najczęściej zadawane pytania o KSC samoidentyfikację
Od kiedy obowiązuje ustawa KSC i obowiązek samoidentyfikacji?
Znowelizowana ustawa o KSC weszła w życie 3 kwietnia 2026 roku. Od tego dnia biegną wszystkie terminy — w tym 6-miesięczny termin na złożenie wniosku o wpis do wykazu (do 3 października 2026) oraz 12-miesięczny termin na wdrożenie SZBI (do 3 kwietnia 2027).
Czy mała firma musi przeprowadzić samoidentyfikację KSC?
Co do zasady mikro i mali przedsiębiorcy są poza zakresem ustawy. Jednak ustawa przewiduje wyjątki — m.in. dla firm telekomunikacyjnych, niekwalifikowanych dostawców usług zaufania oraz jednostek samorządowych. Każda organizacja powinna zweryfikować swój status indywidualnie.
Co grozi za brak samoidentyfikacji KSC?
Brak samoidentyfikacji lub błędna kwalifikacja może skutkować karą do 10 mln EUR (podmioty kluczowe) lub 7 mln EUR (podmioty ważne). Niebycie na liście ministerialnej nie chroni przed sankcją — status wynika z samego spełnienia ustawowych przesłanek, nie z wpisu do rejestru.
Niniejszy artykuł stanowi opracowanie informacyjne i nie zastępuje porady prawnej. Szczegółowa interpretacja przepisów w odniesieniu do konkretnej organizacji może wymagać weryfikacji prawnej.