Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wdraża dyrektywę NIS2, obejmuje regulacjami cyberbezpieczeństwa podmioty kluczowe i podmioty ważne. W ustawie zawarte jest stworzenie ich wykazu. Nakłada też obowiązek samodzielnego dokonania do niego wpisu przez przedsiębiorców i inne podmioty prowadzące działalność w sektorach objętych ustawą. Można to robić już od jutra – 7 maja 2026 roku. Ale jak tego dokonać?
Samoidentyfikacja w KSC – co to znaczy?
Podmioty prowadzące działalność w sektorach objętych nowelizacją ustawy o KSC mają obowiązek przeanalizować czy podlegają wprowadzonym regulacjom. Proces samoidentyfikacji przeprowadzany jest samodzielnie przez dany podmiot. Oznacza to, że przedsiębiorca musi dokonać analizy własnej działalności w oparciu o przepisy ustawy, głównie o te fragmenty, które określają sektory, podsektory i rodzaje działalności objęte regulacją.
Nowelizacja KSC nakłada obowiązek wpisu do Wykazu KSC (samorejestracji) przez podmioty kluczowe i podmioty ważne. Proces rozpoczyna się 7 maja 2026 r. – wtedy zostanie uruchomiona możliwość wpisu do Wykazu KSC dla podmiotów, które nie są objęte wpisem realizowanym z urzędu.
Te podmioty, które znajdą się w wykazie wpisane tam z urzędu przez Ministra Cyfryzacji, będą tam wpisane do 6 maja 2026 r.
Samoidentyfikacja – jak jej dokonać?
Najpierw należy wziąć pod uwagę:
– profil prowadzonej działalności;
– właściwy kod PKD;
– wielkość podmiotu.
Należy sprawdzić, czy prowadzona działalność znajduje się w sektorze objętym ustawą. Czy mieści się w sektorach lub podsektorach wskazanych w załączniku nr 1 (podmioty kluczowe) albo załączniku nr 2 (podmioty ważne).
Oceniając stan trzeba brać pod uwagę rzeczywisty charakter prowadzonej działalności, jedynie pomocniczo można posłużyć się kodami PKD. Decydujące znaczenie ma faktyczny zakres świadczonych usług lub wykonywanych zadań.
Kolejnym krokiem jest ocena wielkości podmiotu, w której bierze się pod uwagę progi mikro, małych i średnich przedsiębiorstw. Przy obliczaniu wielkości przedsiębiorstwa uwzględnia się również przedsiębiorstwa powiązane oraz przedsiębiorstwa partnerskie.
WAŻNE: Wszyscy przedsiębiorcy telekomunikacyjni niezależnie od ich wielkości podlegają pod ustawę
Jedyną kwestią, którą w tym przypadku należy rozważyć, jest przyporządkowanie własnego przedsiębiorstwa do wielkości w celu określenia tego, jakim podmiotem się jest w rozumieniu ustawy. Czy ważnym czy kluczowym.
Analiza art.5 ustawy
To właśnie w artykule 5 KSC znajduje się zapis, który określa szczegółowe zasady uznawania podmiotów za podmiot kluczowy albo podmiot ważny.
W przepisie znalazły się przypadki, w których podmiot może zostać objęty ustawą niezależnie od swojej wielkości. Są tam również szczególne sytuacje uzasadniające zakwalifikowanie podmiotu do jednej kategorii.
Po przeanalizowaniu art. 5 KSC możliwe jest ostateczne ustalenie, czy podmiot:
– jest podmiotem kluczowym;
– jest podmiotem ważnym;
-nie podlega przepisom ustawy.
Spełnienie przesłanek z art. 5 jednoznacznie oznacza objęcie podmiotu przepisami ustawy.
Podsumowanie – wpis do Wykazu KSC
Podmiot, który ustalił, że podlega pod krajowy system cyberbezpieczeństwa, powinien podjąć dalsze działania wynikające z przepisów ustawy. Przede wszystkim związane z wpisem do Wykazu KSC oraz przygotowaniem się do realizacji obowiązków w zakresie zakresu cyberbezpieczeństwa.
Samorejestracji w wykazie można dokonać w terminie od 7 maja do 3 października 2026 r.
Źródło: gov.pl
Czytaj także:
