Zakres UKSC (KSC), art. 8
Pierwsze pytanie każdego operatora w Polsce brzmi: czy podlegam ustawie o krajowym systemie cyberbezpieczeństwa? Klasyfikację wyznacza skrzyżowanie sektora (załączniki do UKSC) z wielkością podmiotu. Decyduje ono, czy jesteś podmiotem kluczowym, podmiotem ważnym, czy pozostajesz poza zakresem bezpośrednim. Ta strona wyjaśnia kryteria i pokazuje, jak diagnoza Reglyze zwraca Twoją kategorię w 2 minuty, wraz z podstawą prawną.
Podstawa: ustawa o krajowym systemie cyberbezpieczeństwa (UKSC) w brzmieniu nadanym nowelizacją Dz.U. 2026 poz. 252, w mocy od 3 kwietnia 2026 r. Organem właściwym jest Minister Cyfryzacji.
UKSC dzieli objęte podmioty na dwie kategorie. Różnią się one progiem wielkości i sektorem, a w konsekwencji intensywnością nadzoru. Katalog minimalnych środków bezpieczeństwa z art. 8 UKSC jest dla obu wspólny.
Duże przedsiębiorstwa (co najmniej 250 pracowników LUB roczny obrót powyżej 50 mln EUR) działające w sektorach kluczowych wymienionych w załącznikach do UKSC. Część podmiotów jest kluczowa z mocy ustawy, niezależnie od wielkości (np. rejestry nazw domen najwyższego poziomu, dostawcy DNS, podmioty administracji rządowej).
UKSC (Dz.U. 2026 poz. 252), art. 8 ust. 1
Średnie przedsiębiorstwa (50-249 pracowników LUB roczny obrót 10-50 mln EUR) działające w sektorach kluczowych lub w pozostałych sektorach krytycznych, a także duże przedsiębiorstwa działające w pozostałych sektorach krytycznych. Obowiązuje ten sam katalog minimalnych środków z art. 8 UKSC, lecz reżim nadzoru jest lżejszy.
UKSC (Dz.U. 2026 poz. 252), art. 8 ust. 1
Wielkość podmiotu ustala się według progów dużego i średniego przedsiębiorstwa. Wystarczy spełnić jeden z progów (liczba pracowników ALBO wartość finansowa), aby przypisać podmiot do danej kategorii.
| Kategoria przedsiębiorstwa | Pracownicy | Obrót LUB suma bilansowa |
|---|---|---|
| Duże przedsiębiorstwo | ≥ 250 | > 50 mln EUR LUB suma bilansowa > 43 mln EUR |
| Średnie przedsiębiorstwo | 50-249 | ≤ 50 mln EUR LUB suma bilansowa ≤ 43 mln EUR |
| Małe przedsiębiorstwo | 10-49 | ≤ 10 mln EUR |
| Mikroprzedsiębiorstwo | < 10 | < 2 mln EUR |
Reguła praktyczna: duże przedsiębiorstwo w sektorze kluczowym to podmiot kluczowy. Średnie przedsiębiorstwo w sektorze kluczowym lub krytycznym to podmiot ważny. Duże przedsiębiorstwo w pozostałym sektorze krytycznym to podmiot ważny. Małe lub mikroprzedsiębiorstwo zwykle pozostaje poza zakresem bezpośrednim (z zastrzeżeniem presji pośredniej, opisanej niżej).
UKSC rozróżnia sektory kluczowe (wysokiej krytyczności) oraz pozostałe sektory krytyczne. Poniższe listy są przykładowe i służą szybkiej orientacji.
Sektory kluczowe (wysokiej krytyczności)
Pozostałe sektory krytyczne
Uwaga: niektóre podmioty są objęte z mocy ustawy niezależnie od wielkości (np. rejestry nazw domen najwyższego poziomu, dostawcy DNS, podmioty administracji rządowej). W razie wątpliwości sprawdź klasyfikację w bezpłatnej diagnozie.
Po zakwalifikowaniu (jako podmiot kluczowy albo podmiot ważny) obowiązki merytoryczne są takie same. Różnica dotyczy intensywności nadzoru, nie zakresu wymagań.
1. Wpis do wykazu podmiotów kluczowych i ważnych
Po zakwalifikowaniu podmiot ma obowiązek zgłosić się do organu właściwego (Minister Cyfryzacji) i przekazać dane identyfikacyjne oraz kontaktowe. Wpis do wykazu uruchamia pozostałe obowiązki i jest podstawą nadzoru.
2. System zarządzania bezpieczeństwem informacji (art. 8 ust. 1 UKSC)
Sercem ustawy jest wdrożenie i utrzymanie systemu zarządzania bezpieczeństwem informacji, obejmującego pięć obszarów: zarządzanie ryzykiem, środki techniczne i organizacyjne, informacje o cyberzagrożeniach, zarządzanie incydentami oraz zapobieganie i ograniczanie wpływu incydentów. Warstwę metodyczną stanowią Narodowe Standardy Cyberbezpieczeństwa (NSC), oparte na NIST.
3. Obsługa i zgłaszanie incydentów
Podmiot prowadzi obsługę incydentów i zgłasza poważny incydent do właściwego CSIRT (CSIRT NASK dla sektora ogólnego i prywatnego, CSIRT GOV oraz CSIRT MON dla administracji rządowej i obszaru wojskowego) przez portal incydent.cert.pl: wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu 1 miesiąca.
4. Audyt bezpieczeństwa i współpraca z nadzorem
Podmiot utrzymuje gotowość do kontroli organu właściwego, dokumentuje wdrożone środki i poddaje system okresowej weryfikacji. Szczegółowe wymagania techniczne i organizacyjne doprecyzuje rozporządzenie wykonawcze.
Szczegóły katalogu środków znajdziesz na stronie środki bezpieczeństwa KSC (art. 8 UKSC), a procedurę zgłoszenia na stronie zgłoszenie incydentu do CSIRT.
Kluczowa konsekwencja klasyfikacji nie dotyczy zakresu obowiązków, lecz sposobu, w jaki organ właściwy (Minister Cyfryzacji) je egzekwuje.
Podmiot kluczowy: nadzór proaktywny (ex ante)
Organ właściwy może wszczynać kontrolę w każdym czasie, niezależnie od wystąpienia incydentu. Podmiot musi utrzymywać stałą gotowość do wykazania zgodności z art. 8 UKSC.
Podmiot ważny: nadzór reaktywny (ex post)
Kontrola jest następstwem incydentu lub sygnału o naruszeniu obowiązków. Wymagania merytoryczne pozostają te same, lecz reżim weryfikacji jest mniej intensywny.
Nawet jeśli Twój podmiot nie jest objęty bezpośrednio (mikro lub małe przedsiębiorstwo niedziałające w sektorze kluczowym), może podlegać presji pośredniej przez łańcuch dostaw.
Dostawca podmiotu kluczowego
Zarządzanie ryzykiem w łańcuchu dostaw należy do systemu zarządzania bezpieczeństwem informacji z art. 8 UKSC. Jeżeli świadczysz usługi ICT lub inne usługi krytyczne na rzecz banku, szpitala czy przedsiębiorstwa wodociągowego, otrzymasz:
Oznacza to, że nieformalna postawa bezpieczeństwa, akceptowalna wcześniej, przestaje być realną opcją dla firm sprzedających B2B do sektora regulowanego w Polsce.
Środki bezpieczeństwa KSC
Pięć obszarów systemu zarządzania bezpieczeństwem informacji z art. 8 UKSC.
Zgłoszenie incydentu do CSIRT
Linia czasu 24 h / 72 h / 1 miesiąc przez incydent.cert.pl.
Cyberbezpieczeństwo dla MSP
Obsługa wielu klientów objętych UKSC z jednego panelu.
Często zadawane pytania
Najczęstsze pytania o KSC, UKSC i wdrożenie obowiązków.