Kogo dotyczy KSC 2.0? Sektory, progi i pułapka łańcucha dostaw
KSC 2.0 (implementacja NIS2) obowiązuje w Polsce od 3 kwietnia 2026. Sprawdź, czy Twoja firma podlega pod nowe przepisy — 19 sektorów, progi wielkości i łańcuch dostaw.
Kluczowe wnioski
- KSC 2.0 (implementacja NIS2) weszła w życie 3 kwietnia 2026 — dotyczy ok. 42 000 podmiotów w Polsce
- Dwie kategorie: podmioty kluczowe (250+ os. lub >50M EUR) i ważne (50+ os. lub >10M EUR)
- Samoidentyfikacja i rejestracja w wykazie wymagana do 3 października 2026
- Nawet firmy poniżej progów mogą podlegać wymaganiom jako dostawcy w łańcuchu dostaw
42 000 firm. Ile z nich o tym wie?
Ministerstwo Cyfryzacji szacuje, że KSC 2.0 obejmuje około 42 000 podmiotów w Polsce. Ustawa weszła w życie 3 kwietnia 2026 roku. Każdy z tych podmiotów ma 6 miesięcy na samoidentyfikację i rejestrację w wykazie — do 3 października 2026.
Słowo „samoidentyfikacja" jest tu najważniejsze. Nikt nie przyśle firmie pisma z informacją, że podlega pod nowe przepisy. Nie będzie decyzji administracyjnej o uznaniu za podmiot. Firma sama musi ocenić, czy spełnia kryteria. A jeśli tego nie zrobi — organ właściwy może ją zakwalifikować z urzędu i nałożyć kary wstecznie.
NIS2 a KSC — wyjaśnienie: Dyrektywa NIS2 (2022/2555) to regulacja Unii Europejskiej. W Polsce implementuje ją nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa — tzw. KSC 2.0 (Dz.U. 2026 poz. 252). Kiedy w tym artykule piszemy „NIS2" — mamy na myśli obowiązki wynikające z polskiej ustawy.
Dwa światy: podmioty kluczowe i ważne
Ustawa dzieli regulowane organizacje na dwie kategorie. Różnią się progami wejścia, poziomem nadzoru i wysokością kar. Obowiązki techniczne i organizacyjne są takie same — obie kategorie muszą wdrożyć System Zarządzania Bezpieczeństwem Informacji, zgłaszać incydenty, szkolić personel i zabezpieczać łańcuch dostaw.
Różnica polega na nadzorze. Podmioty kluczowe podlegają nadzorowi proaktywnemu — organ właściwy może kontrolować je w dowolnym momencie, nakazać audyt ad hoc, wyznaczyć urzędnika monitorującego, a w skrajnym przypadku cofnąć zezwolenie lub koncesję. Podmioty ważne podlegają nadzorowi reaktywnemu (ex post) — kontrola następuje dopiero po stwierdzeniu naruszenia.
Podmioty kluczowe — 10 sektorów z Załącznika 1
Firma jest podmiotem kluczowym, jeśli działa w jednym z poniższych sektorów i spełnia co najmniej jedno kryterium wielkości:
- 250 lub więcej pracowników, lub
- obrót roczny powyżej 50 mln EUR, lub
- suma bilansowa powyżej 43 mln EUR
| Sektor | Co to oznacza w praktyce |
|---|---|
| Energetyka | Elektrownie, operatorzy sieci, spółki gazowe, rafinerie, ale też mniejsze firmy w łańcuchu — o czym niżej |
| Transport | Linie lotnicze, koleje, porty morskie, zarządcy dróg. Flota transportowa powyżej progów? Sprawdź |
| Bankowość | Banki komercyjne, instytucje kredytowe |
| Infrastruktura rynku finansowego | Giełdy, izby rozliczeniowe, KDPW |
| Opieka zdrowotna | Szpitale, laboratoria diagnostyczne, producenci leków. Szeroki sektor |
| Woda pitna | Przedsiębiorstwa wodociągowe, stacje uzdatniania |
| Ścieki | Oczyszczalnie, operatorzy kanalizacji |
| Infrastruktura cyfrowa | Centra danych, dostawcy DNS, rejestry domen TLD, CDN, IXP |
| Zarządzanie usługami ICT | Dostawcy usług zarządzanych (MSP), dostawcy usług bezpieczeństwa (MSSP) — B2B |
| Przestrzeń kosmiczna | Operatorzy satelitarni |
Jest kilka wyjątków od progów wielkości. Kwalifikowani dostawcy usług zaufania, rejestry domen najwyższego poziomu (TLD), dostawcy usług DNS i dostawcy sieci lub usług łączności elektronicznej — ci podlegają niezależnie od liczby pracowników czy obrotu. Mała firma utrzymująca rejestr domeny .pl jest podmiotem kluczowym.
Podmioty ważne — 9 sektorów z Załącznika 2
Niższe progi wejścia:
- 50 lub więcej pracowników, lub
- obrót roczny powyżej 10 mln EUR, lub
- suma bilansowa powyżej 10 mln EUR
| Sektor | Co to oznacza w praktyce |
|---|---|
| Usługi pocztowe i kurierskie | Poczta, firmy kurierskie, operatorzy paczkomatów |
| Gospodarowanie odpadami | Firmy recyklingowe, zakłady przetwarzania |
| Chemikalia | Zakłady chemiczne, producenci nawozów, farb, tworzyw sztucznych |
| Żywność | Przetwórnie, duże gospodarstwa, hurtownie spożywcze |
| Produkcja | Wyroby medyczne, komputery, elektronika, sprzęt elektryczny, maszyny, pojazdy, inny sprzęt transportowy |
| Usługi cyfrowe | Platformy e-commerce, wyszukiwarki, sieci społecznościowe |
| Badania naukowe | Instytuty badawcze, uczelnie z infrastrukturą krytyczną |
| Podmioty publiczne | Administracja centralna i samorząd |
| Energetyka jądrowa | Inwestycje jądrowe |
Sektor „Produkcja" — największa pułapka
Sektor „Produkcja" z Załącznika 2 jest wyjątkowo szeroki i o tym warto powiedzieć osobno.
Obejmuje firmy wytwarzające wyroby medyczne, komputery i produkty elektroniczne, urządzenia elektryczne, maszyny i urządzenia, pojazdy silnikowe, przyczepy, naczepy i inny sprzęt transportowy. To nie jest wąska definicja. Producent podzespołów elektronicznych z 60 pracownikami w Poznaniu? Podmiot ważny. Fabryka maszyn rolniczych pod Kielcami z obrotem 12 mln EUR? Podmiot ważny.
Wielu polskich producentów może nie zdawać sobie sprawy, że podlega pod KSC 2.0, bo kojarzą cyberbezpieczeństwo z „firmami IT". A tu ustawodawca mówi wprost: jeśli produkujesz maszyny i masz 50+ pracowników, podlegasz.
Wyobraź sobie firmę produkcyjną pod Wrocławiem. 80 pracowników, obrót 15 mln EUR. Produkuje podzespoły elektryczne dla branży motoryzacyjnej. Zarząd myśli: „jesteśmy firmą produkcyjną, NIS2 nas nie dotyczy". A dotyczy — podwójnie. Raz jako podmiot ważny w sektorze „Produkcja". Dwa — jako dostawca w łańcuchu dostaw podmiotów kluczowych z sektora transportu.
Łańcuch dostaw — ukryty zasięg ustawy
Art. 8c ustawy KSC 2.0 nakłada na podmioty kluczowe i ważne obowiązek zarządzania bezpieczeństwem łańcucha dostaw. To oznacza, że regulowane firmy muszą: oceniać bezpieczeństwo dostawców przed nawiązaniem współpracy, umieszczać wymagania bezpieczeństwa w kontraktach, monitorować zgodność dostawców na bieżąco i kontrolować ich dostęp do systemów.
Kurs NIS2 dla zarządów i IT managerów
Poznaj wymagania dyrektywy NIS2, harmonogram wdrożenia i kary. 4 moduły, certyfikat ukończenia.
Zapisz się na kursCo to oznacza w praktyce? Że fala wymagań przejdzie dalej niż sama ustawa.
Firma IT z 20 osobami, która nie podlega pod KSC 2.0, ale pisze oprogramowanie dla banku — dostanie od banku wymagania bezpieczeństwa wynikające z ustawy. Dostawca komponentów dla producenta urządzeń medycznych — to samo. Firma outsourcingowa obsługująca infrastrukturę szpitala — to samo.
To nie są teoretyczne scenariusze. Dyrektywa NIS2 wymaga analizy bezpieczeństwa całego łańcucha dostaw, włącznie z poddostawcami. W przetargach publicznych i korporacyjnych firmy bez udokumentowanych procedur bezpieczeństwa zaczną przegrywać z firmami, które je mają.
Czy to sprawiedliwe wobec małych firm? To dyskusja na osobny artykuł. Fakt jest taki, że wymóg istnieje i ignorowanie go oznacza utratę kontraktów.
Jak sprawdzić, czy Twoja firma podlega
Cztery kroki. Żaden nie wymaga konsultanta.
Krok 1: Sprawdź kody PKD. Wejdź do KRS lub CEIDG. Sprawdź główny i dodatkowe kody PKD. Porównaj z sektorami w Załącznikach 1 i 2 ustawy. Zwróć szczególną uwagę na grupy: D 35 (energetyka), H 49-53 (transport), K 64-66 (finanse), Q 86 (zdrowie), J 61-63 (ICT), C 10-33 (produkcja — bardzo szeroki zakres).
Krok 2: Sprawdź progi wielkości. Weź dane z ostatniego rocznego sprawozdania finansowego. Liczba pracowników, obrót roczny, suma bilansowa. Porównaj z progami: 250+ / 50M+ EUR / 43M+ EUR (kluczowy) lub 50+ / 10M+ EUR / 10M+ EUR (ważny). Uwaga: ministerstwo wyjaśnia w Q&A, że liczy się definicja „przedsiębiorstwa" w rozumieniu prawa UE — jeśli firma jest częścią grupy kapitałowej, dane mogą się sumować.
Krok 3: Oceń pozycję w łańcuchu dostaw. Nawet jeśli nie spełniasz progów, odpowiedz na pytanie: czy dostarczasz produkty lub usługi firmom z Załączników 1 lub 2? Czy Twoi kontrahenci zaczynają pytać o procedury bezpieczeństwa, certyfikaty, audyty? Jeśli tak — przygotuj się na wymagania wynikające z ich obowiązków.
Krok 4: Podejmij decyzję i udokumentuj ją. Jeśli firma podlega — rozpocznij proces rejestracji (termin: 3 października 2026). Jeśli nie podlega — udokumentuj analizę. Dlaczego nie podlega: które kryteria nie są spełnione, jakie dane leżą u podstaw decyzji. Gdyby organ właściwy kiedykolwiek zapytał, dokumentacja pokaże, że firma przeprowadziła rzetelną analizę, a nie zignorowała temat.
Pojęcie „usługi" — szersza niż myślisz
Ministerstwo Cyfryzacji wyjaśnia w Q&A do ustawy, że pojęcie „usługi" w kontekście KSC 2.0 jest szerokie. To „działalność gospodarcza służąca zaspokajaniu potrzeb ludzi" — co obejmuje również produkcję.
To ważne, bo wiele firm myśli: „my nie świadczymy usług, my produkujemy". A ustawa mówi: produkcja to też usługa w rozumieniu KSC 2.0. Fabryka mebli metalowych z 60 pracownikami, która produkuje regały dla szpitali — świadczy usługę w rozumieniu ustawy.
Co jest, a czego nie ma w obowiązkach
Jest kilka rzeczy, które firmy zakładają błędnie — w obie strony.
SOC nie jest obowiązkowy. Ustawa nie wymaga posiadania centrum operacji bezpieczeństwa. Wymaga wdrożenia SZBI, procedur zarządzania incydentami, monitorowania i raportowania. Jak firma to zrealizuje — własnymi siłami, zewnętrznym SOC, komercyjnym CSIRT — to jej decyzja.
Ale realistycznie patrząc, firma z 80 pracownikami, która musi wykrywać incydenty 24/7 i raportować do CSIRT w 24 godziny — albo zatrudni zespół analityków na trzy zmiany, albo kupi usługę SOC. Matematyka jest prosta.
Audyt cykliczny dotyczy tylko podmiotów kluczowych. Co 3 lata, pierwszy do 3 kwietnia 2028. Podmioty ważne nie mają obowiązku cyklicznego audytu — mogą być kontrolowane ex post, ale nie muszą same inicjować audytu.
Obowiązkowe są dwie osoby kontaktowe 24/7. To wymóg, który umyka w dyskusjach o „dużych" obowiązkach. Ale jest zapisany w ustawie: minimum 2 osoby do kontaktu z podmiotami KSC, dostępne 24/7 dla CSIRT. Dla firmy, która nie pracuje w trybie zmianowym, to realne wyzwanie organizacyjne.
Dotychczasowi Operatorzy Usług Kluczowych
Firmy, które pod starą ustawą KSC były Operatorami Usług Kluczowych (OUK), zachowują dotychczasowy cykl audytowy. Jeśli OUK wykonał audyt przed wejściem nowelizacji — nie musi robić nowego w ciągu 24 miesięcy.
Ale nowe obowiązki — rejestracja w wykazie, SZBI, S46, szkolenia zarządu — dotyczą ich na takich samych zasadach jak nowe podmioty. Bycie OUK daje przewagę doświadczenia, nie przewagę prawną.
Termin się zbliża
Rejestracja w wykazie podmiotów mija 3 października 2026. To za kilka miesięcy. Przygotowanie dokumentacji i wdrożenie procedur to kolejne miesiące pracy.
Firmy, które zaczną teraz, mogą rozłożyć wysiłek na pół roku. Firmy, które zaczną we wrześniu, będą musiały zrobić w miesiąc to, co inne robiły pół roku. A firmy, które nie zaczną wcale, ryzykują — nie tylko karą finansową, ale odpowiedzialnością osobistą kierownika podmiotu od dnia wejścia ustawy.
Jeśli szukasz konkretnego planu wdrożenia — opisaliśmy go w mapie drogowej KSC 2.0 krok po kroku. Jeśli masz ISO 27001 i chcesz wiedzieć, ile z wymagań już pokrywasz — przeczytaj o mapowaniu NIS2 na ISO 27001. Jeśli chcesz wiedzieć, jakie konkretnie kary grożą firmie i zarządowi — jest o tym osobny artykuł.
Źródła
- Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o KSC (Dz.U. 2026 poz. 252) — pełny tekst nowelizacji
- Q&A Ministerstwa Cyfryzacji — nowelizacja KSC — interpretacje przepisów, ok. 42 000 podmiotów
- Dyrektywa NIS2 — pełny tekst (EUR-Lex) — dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555
- ENISA — NIS2 Directive — materiały Europejskiej Agencji ds. Cyberbezpieczeństwa
FAQ
Czy firma poniżej 50 pracowników może podlegać pod KSC 2.0?
Jak sprawdzić kody PKD pod kątem KSC 2.0?
Co grozi za brak samoidentyfikacji?
SecIQ Team
Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą.
O zespole →
