1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. Cyberbezpieczeństwo
  5. Czy Twoja firma podlega nowym obowiązkom cyberbezpieczeństwa? Kluczowe zmiany w ustawie o KSC
Wyszukiwanie...

Czy Twoja firma podlega nowym obowiązkom cyberbezpieczeństwa? Kluczowe zmiany w ustawie o KSC

Spis treści

W 2025 roku wielu przedsiębiorców znajdzie się w kręgu podmiotów zobowiązanych do wdrożenia zaawansowanych procedur cyberbezpieczeństwa. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (u.k.s.cyber.) wdraża w Polsce unijną dyrektywę NIS 2 i znacząco rozszerza listę firm, które będą podlegały obowiązkom z tym związanym. Jeśli prowadzisz średnią lub dużą firmę w sektorze produkcji, usług ICT, dostaw internetowych, medycyny, transportu lub gospodarki odpadami – ta zmiana prawna może dotyczyć właśnie Ciebie.

Dowiedz się, jak sprawdzić, czy należysz do grona podmiotów „kluczowych” lub „ważnych” oraz jakie obowiązki wynikają z nowej ustawy.

📌 Nowelizacja ustawy o KSC – o co chodzi?

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2024 r., poz. 505) zostaje zaktualizowana w związku z wdrożeniem dyrektywy NIS 2. Jej głównym celem jest zwiększenie odporności firm na cyberzagrożenia, ale w praktyce oznacza to:

  • rozszerzenie katalogu firm objętych regulacjami,
  • wprowadzenie obowiązków rejestracyjnych,
  • wymóg wdrażania systemów zarządzania bezpieczeństwem informacji,
  • nowe sankcje finansowe i osobiste,
  • obowiązek zgłaszania incydentów i przeprowadzania audytów.

Do tej pory ustawą objęto jedynie ok. 400 firm (operatorzy usług kluczowych). Po nowelizacji obejmie ponad 10 000 firm.

🧩 Kto będzie podmiotem kluczowym, a kto ważnym?

🏢 Podmiot kluczowy:

  • Duży przedsiębiorca działający w sektorze kluczowym,
  • Przykłady sektorów: energetyka, transport, bankowość, infrastruktura cyfrowa, usługi ICT,
  • Może też nim zostać średnia firma, jeśli zostanie uznana za krytyczną decyzją administracyjną.

🧑‍💼 Podmiot ważny:

  • Średni lub duży przedsiębiorca w sektorze ważnym (nieco mniejsza waga gospodarcza niż kluczowe),
  • Np. firmy zajmujące się żywnością, chemikaliami, medycyną, sprzętem elektronicznym, e-commerce, nauką, usługami kurierskimi.

📋 Kryteria identyfikacji – czy Twoja firma się kwalifikuje?

Sprawdź, czy Twoja działalność jest objęta:

  • Załącznikiem nr 1 do ustawy – sektor kluczowy,
  • Załącznikiem nr 2 do ustawy – sektor ważny.

Jeśli prowadzisz działalność w jednym z wymienionych sektorów i:

  • zatrudniasz co najmniej 50 osób, a
  • Twój roczny obrót przekracza 10 mln euro (lub suma bilansowa powyżej 10 mln euro),

– to bardzo możliwe, że Twoja firma będzie podmiotem ważnym lub kluczowym.

Przykład 1
Firma „TechFarm Sp. z o.o.” z Kielc zajmuje się produkcją elektroniki medycznej. Zatrudnia 120 pracowników, roczny obrót to 48 mln zł.
👉 Firma działa w sektorze ważnym i spełnia kryteria średniego przedsiębiorstwa – będzie podmiotem ważnym.

Przykład 2
Firma „Ekotrans S.A.” z Poznania obsługuje lokalną infrastrukturę ściekową i zatrudnia 280 osób.
👉 Jest dużym podmiotem w sektorze kluczowym – będzie podmiotem kluczowym.

🛡 Czy małe firmy są wyłączone?

Nie zawsze. Zależy to od specyfiki działalności.

Wyłączenia dla mikro- i małych firm:

  • niektóre usługi komunikacji elektronicznej,
  • dostawcy usług zaufania (np. podpisów elektronicznych) – jeżeli są małe lub mikro,
  • mogą być jednak uznane za podmiot kluczowy lub ważny decyzją administracyjną (np. jeśli pełnią funkcję krytyczną w regionie).

⚠️ Nowy obowiązek samoidentyfikacji

Jeśli podejrzewasz, że Twoja firma może być podmiotem ważnym lub kluczowym – będziesz musiał sam zgłosić się do wykazu. Tzw. mechanizm samoidentyfikacji oznacza, że:

  • Masz 3 miesiące od wejścia w życie ustawy, aby dokonać zgłoszenia przez system elektroniczny.
  • W przypadku firm kluczowych, wpisy będą odbywać się również z urzędu – na podstawie decyzji administracyjnej.

Warto przygotować odpowiednie dane: dane kontaktowe, zakresy IP, dane osoby kontaktowej ds. cyberbezpieczeństwa.

📣 Co z firmami, które się nie zgłoszą?

Brak samoidentyfikacji to naruszenie przepisów ustawy, za które mogą grozić:

  • wysokie kary finansowe (nawet do 10 mln euro),
  • odpowiedzialność osobista członków zarządu,
  • zawieszenie działalności gospodarczej przez decyzję administracyjną.

🧾 Podsumowanie – co powinieneś zrobić już teraz?

✔ Sprawdź, czy Twoja firma działa w sektorze wskazanym w załącznikach do nowelizacji ustawy,
✔ Oceń, czy spełniasz kryteria średniego lub dużego przedsiębiorcy,
✔ Przygotuj się do rejestracji w wykazie (samoidentyfikacja),
✔ W razie wątpliwości – skonsultuj się z ekspertem ds. prawa i cyberbezpieczeństwa.

📚 Podstawa prawna:

  • art. 5 ust. 2 pkt 1, art. 7c – ustawa o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (projekt 2025),
  • art. 2 ust. 1 – Załącznik I do rozporządzenia Komisji (UE) nr 651/2014,
  • art. 2 – ustawa z dnia 6 sierpnia 2018 r. – Prawo przedsiębiorców,
  • załącznik nr 1 i 2 – projekt ustawy o KSC (wersja z 2025 r.).

📌 Tematy porad zawartych w poradniku:

  • obowiązki cyberbezpieczeństwa dla firm 2025
  • podmiot kluczowy i ważny KSC
  • nowe przepisy NIS 2 Polska
  • samoidentyfikacja przedsiębiorcy KSC
  • czy moja firma podlega KSC
Ostatnia aktualizacja: 21.05.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: