Resort cyfryzacji wyjaśnia, jak przedsiębiorcy i podmioty z sektorów kluczowych (w tym zdrowotnych) powinni samodzielnie dokonać samoidentyfikacji podmiotu KSC w ramach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Od 7 maja 2026 r. rusza samorejestracja w wykazie KSC, a tym samym należy przeanalizować działalność organizacji pod kątem art. 5 ustawy o KSC, załączników 1-2 i progów wielkości, by uniknąć sankcji i zapewnić zgodność z Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca dyrektywę NIS2 .
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), implementująca dyrektywę NIS2, rozszerza obowiązki na podmioty kluczowe i podmioty ważne. Nakłada na nie samodzielny wpis do wykazu KSC (https://wykaz-ksc.gov.pl/). Dla IOD-ów to kluczowy element integracji cyberbezpieczeństwa z ochroną danych osobowych (RODO), zwłaszcza w sektorach jak opieka zdrowotna.
Proces samoidentyfikacji podmiotu KSC jest obowiązkowy i opiera się na analizie własnej działalności. Podmioty z sektorów objętych nowelizacją ustawy KSC muszą działać samodzielnie, zanim 7 maja 2026 r. uruchomi się portal do wpisów.
Krok 1: Sprawdź sektor działalności
Zweryfikuj, czy firma prowadzi działalność w sektorach z załącznika nr 1 (podmioty kluczowe) lub nr 2 (podmioty ważne) do ustawy. Decyduje rzeczywisty profil usług, nie tylko kod PKD – np. dostawcy usług medycznych czy IT dla zdrowia.
Krok 2: Określ wielkość przedsiębiorstwa
Oblicz na podstawie liczby zatrudnionych i danych finansowych (w tym podmiotów powiązanych). Wszyscy przedsiębiorcy telekomunikacyjni podlegają ustawie niezależnie od rozmiaru.
|
Rodzaj |
Liczba zatrudnionych |
Dane finansowe |
|
Mikroprzedsiębiorstwo |
<10 |
Obrót/suma bilansowa ≤2 mln EUR |
|
Małe przedsiębiorstwo |
<50 |
Obrót/suma bilansowa ≤10 mln EUR |
|
Średnie przedsiębiorstwo |
<250 |
Obrót ≤50 mln EUR lub suma bilansowa ≤43 mln EUR |
|
Duże przedsiębiorstwo |
> progów |
- |
Przedsiębiorcy telekomunikacyjni: Duży/średni = podmiot kluczowy; Mały/mikro = podmiot ważny.
Krok 3: Przeanalizuj art. 5 ustawy
Sprawdź kryteria niezależne od wielkości (np. krytyczna infrastruktura) i szczególne przypadki. Wynik: podmiot kluczowy, podmiot ważny lub brak objęcia.
Pozytywny wynik oznacza przygotowanie do wpisu w wykazie KSC (aplikacja webowa w Systemie S46, z podpisem elektronicznym). Termin samorejestracji: 7 maja – 3 października 2026 r. Niektóre podmioty (publiczne, telekomunikacyjne, dostawcy usług cyfrowych, podmioty, podmiotów, które wcześniej miały status operatorów usług kluczowych) wpisze z urzędu Minister Cyfryzacji do 6 maja 2026 r.
Przeczytaj również:
Kogo dotyczy ustawa o krajowym systemie cyberbezpieczeństwa?
Obejrzyj również:
koniec
Źródło: Komunikat Ministerstwa Cyfryzacji.
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl