Podmioty prowadzące działalność w sektorach objętych nowelizacją ustawy o KSC powinny już teraz przeanalizować, czy podlegają nowym regulacjom. Proces samoidentyfikacji przeprowadzany jest samodzielnie przez dany podmiot. Oznacza to konieczność dokonania analizy własnej działalności w oparciu o przepisy ustawy, w szczególności o art. 5 oraz załączniki nr 1 i 2 do ustawy, określające sektory, podsektory i rodzaje działalności objęte regulacją. 

Nowelizacja KSC nakłada obowiązek wpisu do Wykazu KSC (samorejestracji) przez podmioty kluczowe i podmioty ważne. 7 maja 2026 r. uruchomiona zostanie możliwość wpisu do Wykazu KSC dla podmiotów, które nie są objęte wpisem realizowanym z urzędu. 

Należy wziąć pod uwagę w szczególności: 

• profil prowadzonej działalności,  
• właściwy kod PKD oraz  
• wielkość podmiotu. 

KROK 1 – Sprawdź, czy prowadzisz działalność w sektorze objętym ustawą 

W pierwszej kolejności należy zweryfikować, czy prowadzona działalność mieści się w sektorach lub podsektorach wskazanych w załączniku nr 1 (podmioty kluczowe) albo załączniku nr 2 (podmioty ważne). 

Przy ocenie należy brać pod uwagę rzeczywisty charakter prowadzonej działalności. Pomocniczo można posłużyć się kodami PKD, jednak decydujące znaczenie ma faktyczny zakres świadczonych usług lub wykonywanych zadań. 

KROK 2 – Określ wielkość swojego podmiotu 

Należy wziąć pod uwagę progi mikro, małych i średnich przedsiębiorstw. Przy obliczaniu wielkości przedsiębiorstwa uwzględnia się również przedsiębiorstwa powiązane oraz przedsiębiorstwa partnerskie.
 

Rodzaj	Liczba zatrudnionych	Dane finansowe
Mikroprzedsiębiorstwo	mniej niż 10	roczny obrót lub roczna suma bilansowa nie przekracza 2 mln EUR
Małe przedsiębiorstwo	mniej niż 50	roczny obrót lub roczna suma bilansowa nie przekracza 10 mln EUR
Średnie przedsiębiorstwo	mniej niż 250	roczny obrót nie przekracza 50 mln EUR lub roczna suma bilansowa nie przekracza 43 mln EUR
Duże przedsiębiorstwo	Przedsiębiorstwo przekraczające progi

WAŻNE: Wszyscy przedsiębiorcy telekomunikacyjni niezależnie od ich wielkości podlegają pod ustawę. 
 

	Wielkość	Rodzaj
Przedsiębiorca telekomunikacyjny	Duży przedsiębiorca	podmiot kluczowy
	Średni przedsiębiorca	podmiot kluczowy
	Mały przedsiębiorca	podmiot ważny
	Mikroprzedsiębiorca	podmiot ważny

 

KROK 3 – Przeanalizuj art. 5 ustawy 

Ostatnim etapem jest analiza art. 5 ustawy, który określa szczegółowe zasady uznawania podmiotów za podmiot kluczowy albo podmiot ważny. 

Przepis ten wskazuje m.in. przypadki, w których podmiot może zostać objęty ustawą niezależnie od swojej wielkości, a także szczególne sytuacje uzasadniające zakwalifikowanie podmiotu do jednej kategorii. 

Po dokonaniu analizy art. 5 możliwe jest ostateczne ustalenie, czy podmiot: 

• jest podmiotem kluczowym, 
• jest podmiotem ważnym, 
• nie podlega przepisom ustawy. 

Spełnienie przesłanek z art. 5 jednoznacznie oznacza objęcie podmiotu przepisami ustawy. 

Podmiot, który ustalił, że podlega pod krajowy system cyberbezpieczeństwa, powinien podjąć dalsze działania wynikające z przepisów ustawy, w szczególności związane z wpisem do Wykazu KSC oraz przygotowaniem się do realizacji obowiązków w zakresie zakresu cyberbezpieczeństwa.  

Dodatkowo:  

Przypominamy, że podmioty mogą dokonać samorejestracji w wykazie w terminie 7 maja – 3 października 2026 r.  

Niektóre podmioty będą wpisane do wykazu z urzędu przez Ministra Cyfryzacji w terminie do 6 maja 2026 r. – dotyczy to podmiotów publicznych, przedsiębiorców telekomunikacyjnych, dostawców usług cyfrowych oraz podmiotów, które wcześniej miały status operatorów usług kluczowych. 

Wykaz KSC jest prowadzony w Systemie S46, ale stanowi osobną aplikację webową dostępną pod adresem https://wykaz-ksc.gov.pl. Wnioski o wpis, zmianę wpisu, wykreślenie podmiotu z wykazu będą wypełniane i składane w aplikacji „Wykaz KSC” w postaci elektronicznej i opatrywane podpisem elektronicznym.