Krajowy System Cyberbezpieczeństwa. Zobacz, jakie firmy obejmuje nowelizacja ustawy i jak uniknąć kar

• Firmy z nowych sektorów, m.in. produkcji żywności, odprowadzania ścieków czy zarządzania ICT, muszą do 3 października wpisać się do nowego Wykazu podmiotów KSC.
• Nowelizacja ustawy wprowadza podział na podmioty kluczowe i ważne, znacząco rozszerzając listę firm objętych obowiązkiem.
• Każda firma musi samodzielnie zweryfikować, czy podlega nowym przepisom.
• Za niedostosowanie się grożą kary finansowe.

Cyberbezpieczeństwo: Kto musi wpisać się do Wykazu KSC?

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa wprowadza szereg nowych obowiązków dla wielu polskich firm. Od 7 maja do 3 października 2026 roku podmioty objęte nowymi przepisami muszą wpisać się do Wykazu KSC, a za zaniechanie tego obowiązku grożą w przyszłości poważne kary finansowe. Dotyczy to między innymi sektorów zarządzania usługami teleinformatycznymi (ICT), odprowadzania ścieków oraz produkcji i dystrybucji żywności.

Nowelizacja ustawy, która w większości weszła w życie 3 kwietnia bieżącego roku, znacząco rozszerzyła zakres podmiotów podlegających regulacjom. Wprowadzono podział na podmioty kluczowe i ważne, a także objęto nią nowe obszary działalności gospodarczej, takie jak zbiorowe odprowadzanie ścieków czy przestrzeń kosmiczna.

Nowelizacja ustawy o KSC i nowe obowiązki dla firm

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa to odpowiedź na unijną dyrektywę NIS 2, która ma na celu wzmocnienie odporności Europy na cyberataki. W Polsce oznacza to, że wiele firm i instytucji musi dostosować się do zaostrzonych wymogów bezpieczeństwa. Obowiązek wpisu do Wykazu KSC jest kluczowym elementem tego procesu, a czas na jego realizację upływa 3 października 2024 roku.

Warto zaznaczyć, że niektóre podmioty nie muszą składać wniosku o wpis do wykazu, ponieważ zostały objęte nim z urzędu. Są to podmioty publiczne, przedsiębiorcy telekomunikacyjni, dostawcy usług cyfrowych oraz podmioty, które przed nowelizacją posiadały status operatorów usług kluczowych. Ministerstwo Cyfryzacji miało obowiązek wpisać te podmioty do wykazu do 6 maja bieżącego roku.

Jak sprawdzić, czy Twoja firma podlega pod KSC?

Pierwszym krokiem dla każdego przedsiębiorcy jest weryfikacja, czy prowadzona działalność mieści się w sektorach lub podsektorach objętych nowelizacją. Zgodnie z załącznikiem 1. nowelizacji ustawy o KSC, do sektorów kluczowych zaliczają się m.in.: energia, transport, ochrona zdrowia, bankowość i infrastruktura rynków finansowych, zaopatrzenie w wodę pitną i jej dystrybucja, zbiorowe odprowadzanie ścieków, infrastruktura cyfrowa i przestrzeń kosmiczna

Załącznik 2. ustawy wymienia sektory ważne, do których należą: usługi pocztowe, inwestycje energetyki jądrowej, gospodarowanie odpadami, produkcja, wytwarzanie i dystrybucja chemikaliów, produkcja, wytwarzanie i dystrybucja żywności, dostawcy usług cyfrowych i badania naukowe. Do tej kategorii zaliczają się również firmy produkujące wyroby medyczne, komputery, wyroby elektroniczne i optyczne, urządzenia elektryczne, pojazdy samochodowe, przyczepy i naczepy oraz pozostały sprzęt transportowy.

Po ustaleniu, czy działalność firmy wpisuje się w któryś z wymienionych sektorów, należy sprawdzić jej wielkość, biorąc pod uwagę progi dla mikro, małych i średnich przedsiębiorstw. Przy obliczaniu wielkości firmy trzeba uwzględnić również przedsiębiorstwa powiązane i partnerskie. Dla mikroprzedsiębiorstw progi to mniej niż 10 pracowników oraz maksymalnie 2 mln euro rocznego obrotu lub rocznej sumy bilansowej. Małe firmy to te zatrudniające mniej niż 50 pracowników i osiągające maksymalnie 10 mln euro rocznego obrotu lub rocznej sumy bilansowej. Średnie przedsiębiorstwa to mniej niż 250 pracowników oraz maksymalnie 50 mln euro rocznego obrotu lub 43 mln euro rocznej sumy bilansowej. Firmy przekraczające te progi są uznawane za duże. Warto podkreślić, że wszyscy przedsiębiorcy telekomunikacyjni, niezależnie od swojej wielkości, podlegają pod ustawę o KSC.

Wszystkie podmioty objęte nowymi regulacjami mają czas na dostosowanie się do nich do 3 kwietnia 2027 roku. Za niewywiązanie się z tych obowiązków przedsiębiorcom grożą kary finansowe, które będą mogły być nakładane od 3 kwietnia 2028 roku. Jest to więc ostatni dzwonek, aby dokładnie zapoznać się z przepisami i wdrożyć odpowiednie procedury, aby uniknąć poważnych konsekwencji.