Zakres UKSC (KSC), art. 8

Podmiot kluczowy a podmiot ważny

Pierwsze pytanie każdego operatora w Polsce brzmi: czy podlegam ustawie o krajowym systemie cyberbezpieczeństwa? Klasyfikację wyznacza skrzyżowanie sektora (załączniki do UKSC) z wielkością podmiotu. Decyduje ono, czy jesteś podmiotem kluczowym, podmiotem ważnym, czy pozostajesz poza zakresem bezpośrednim. Ta strona wyjaśnia kryteria i pokazuje, jak diagnoza Reglyze zwraca Twoją kategorię w 2 minuty, wraz z podstawą prawną.

Podstawa: ustawa o krajowym systemie cyberbezpieczeństwa (UKSC) w brzmieniu nadanym nowelizacją Dz.U. 2026 poz. 252, w mocy od 3 kwietnia 2026 r. Organem właściwym jest Minister Cyfryzacji.

Dwie kategorie podmiotów

UKSC dzieli objęte podmioty na dwie kategorie. Różnią się one progiem wielkości i sektorem, a w konsekwencji intensywnością nadzoru. Katalog minimalnych środków bezpieczeństwa z art. 8 UKSC jest dla obu wspólny.

  • Podmiot kluczowy

    Duże przedsiębiorstwa (co najmniej 250 pracowników LUB roczny obrót powyżej 50 mln EUR) działające w sektorach kluczowych wymienionych w załącznikach do UKSC. Część podmiotów jest kluczowa z mocy ustawy, niezależnie od wielkości (np. rejestry nazw domen najwyższego poziomu, dostawcy DNS, podmioty administracji rządowej).

    Kogo obejmuje
    Duże przedsiębiorstwa w sektorach kluczowych (wysokiej krytyczności)
    Nadzór
    Nadzór proaktywny (ex ante): organ właściwy może kontrolować podmiot w każdym czasie, nie tylko po incydencie.

    UKSC (Dz.U. 2026 poz. 252), art. 8 ust. 1

    Przykłady
    • Dystrybutorzy energii elektrycznej
    • Operatorzy kolejowi i lotniskowi
    • Banki i infrastruktura rynków finansowych
    • Duże szpitale i producenci wyrobów medycznych
    • Przedsiębiorstwa wodociągowo-kanalizacyjne
    • Operatorzy telekomunikacyjni oraz dostawcy DNS i TLD
  • Podmiot ważny

    Średnie przedsiębiorstwa (50-249 pracowników LUB roczny obrót 10-50 mln EUR) działające w sektorach kluczowych lub w pozostałych sektorach krytycznych, a także duże przedsiębiorstwa działające w pozostałych sektorach krytycznych. Obowiązuje ten sam katalog minimalnych środków z art. 8 UKSC, lecz reżim nadzoru jest lżejszy.

    Kogo obejmuje
    Średnie przedsiębiorstwa w sektorach kluczowych lub krytycznych oraz duże przedsiębiorstwa w pozostałych sektorach krytycznych
    Nadzór
    Nadzór reaktywny (ex post): kontrola następuje po incydencie albo po sygnale o naruszeniu obowiązków.

    UKSC (Dz.U. 2026 poz. 252), art. 8 ust. 1

    Przykłady
    • Średnie firmy w sektorach krytycznych (woda, zdrowie, energia)
    • Niezależne centra danych
    • Przemysł chemiczny i produkcja żywności
    • Producenci i firmy przemysłowe (manufaktura)
    • Dostawcy usług cyfrowych (platformy, wyszukiwarki)
    • Gospodarka odpadami i usługi pocztowe

Kryterium wielkości

Wielkość podmiotu ustala się według progów dużego i średniego przedsiębiorstwa. Wystarczy spełnić jeden z progów (liczba pracowników ALBO wartość finansowa), aby przypisać podmiot do danej kategorii.

Kategoria przedsiębiorstwaPracownicyObrót LUB suma bilansowa
Duże przedsiębiorstwo≥ 250> 50 mln EUR LUB suma bilansowa > 43 mln EUR
Średnie przedsiębiorstwo50-249≤ 50 mln EUR LUB suma bilansowa ≤ 43 mln EUR
Małe przedsiębiorstwo10-49≤ 10 mln EUR
Mikroprzedsiębiorstwo< 10< 2 mln EUR

Reguła praktyczna: duże przedsiębiorstwo w sektorze kluczowym to podmiot kluczowy. Średnie przedsiębiorstwo w sektorze kluczowym lub krytycznym to podmiot ważny. Duże przedsiębiorstwo w pozostałym sektorze krytycznym to podmiot ważny. Małe lub mikroprzedsiębiorstwo zwykle pozostaje poza zakresem bezpośrednim (z zastrzeżeniem presji pośredniej, opisanej niżej).

Sektory wymienione w załącznikach do UKSC

UKSC rozróżnia sektory kluczowe (wysokiej krytyczności) oraz pozostałe sektory krytyczne. Poniższe listy są przykładowe i służą szybkiej orientacji.

Sektory kluczowe (wysokiej krytyczności)

  • · Energia (elektryczna, gaz, ropa, ciepłownictwo)
  • · Transport (lotniczy, kolejowy, wodny, drogowy)
  • · Bankowość
  • · Infrastruktura rynków finansowych
  • · Ochrona zdrowia (szpitale, wyroby medyczne)
  • · Woda pitna
  • · Ścieki
  • · Infrastruktura cyfrowa (DNS, IXP, centra danych, chmura)
  • · Zarządzanie usługami ICT (B2B)
  • · Administracja publiczna
  • · Przestrzeń kosmiczna

Pozostałe sektory krytyczne

  • · Usługi pocztowe i kurierskie
  • · Gospodarka odpadami
  • · Produkcja i dystrybucja chemikaliów
  • · Produkcja i dystrybucja żywności
  • · Produkcja (przemysł, manufaktura)
  • · Dostawcy usług cyfrowych (platformy, wyszukiwarki)
  • · Badania naukowe

Uwaga: niektóre podmioty są objęte z mocy ustawy niezależnie od wielkości (np. rejestry nazw domen najwyższego poziomu, dostawcy DNS, podmioty administracji rządowej). W razie wątpliwości sprawdź klasyfikację w bezpłatnej diagnozie.

Cztery obowiązki każdego objętego podmiotu

Po zakwalifikowaniu (jako podmiot kluczowy albo podmiot ważny) obowiązki merytoryczne są takie same. Różnica dotyczy intensywności nadzoru, nie zakresu wymagań.

  1. 1. Wpis do wykazu podmiotów kluczowych i ważnych

    Po zakwalifikowaniu podmiot ma obowiązek zgłosić się do organu właściwego (Minister Cyfryzacji) i przekazać dane identyfikacyjne oraz kontaktowe. Wpis do wykazu uruchamia pozostałe obowiązki i jest podstawą nadzoru.

  2. 2. System zarządzania bezpieczeństwem informacji (art. 8 ust. 1 UKSC)

    Sercem ustawy jest wdrożenie i utrzymanie systemu zarządzania bezpieczeństwem informacji, obejmującego pięć obszarów: zarządzanie ryzykiem, środki techniczne i organizacyjne, informacje o cyberzagrożeniach, zarządzanie incydentami oraz zapobieganie i ograniczanie wpływu incydentów. Warstwę metodyczną stanowią Narodowe Standardy Cyberbezpieczeństwa (NSC), oparte na NIST.

  3. 3. Obsługa i zgłaszanie incydentów

    Podmiot prowadzi obsługę incydentów i zgłasza poważny incydent do właściwego CSIRT (CSIRT NASK dla sektora ogólnego i prywatnego, CSIRT GOV oraz CSIRT MON dla administracji rządowej i obszaru wojskowego) przez portal incydent.cert.pl: wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu 1 miesiąca.

  4. 4. Audyt bezpieczeństwa i współpraca z nadzorem

    Podmiot utrzymuje gotowość do kontroli organu właściwego, dokumentuje wdrożone środki i poddaje system okresowej weryfikacji. Szczegółowe wymagania techniczne i organizacyjne doprecyzuje rozporządzenie wykonawcze.

Szczegóły katalogu środków znajdziesz na stronie środki bezpieczeństwa KSC (art. 8 UKSC), a procedurę zgłoszenia na stronie zgłoszenie incydentu do CSIRT.

Różnica w nadzorze: ex ante vs ex post

Kluczowa konsekwencja klasyfikacji nie dotyczy zakresu obowiązków, lecz sposobu, w jaki organ właściwy (Minister Cyfryzacji) je egzekwuje.

Podmiot kluczowy: nadzór proaktywny (ex ante)

Organ właściwy może wszczynać kontrolę w każdym czasie, niezależnie od wystąpienia incydentu. Podmiot musi utrzymywać stałą gotowość do wykazania zgodności z art. 8 UKSC.

Podmiot ważny: nadzór reaktywny (ex post)

Kontrola jest następstwem incydentu lub sygnału o naruszeniu obowiązków. Wymagania merytoryczne pozostają te same, lecz reżim weryfikacji jest mniej intensywny.

Poza zakresem? Niekoniecznie.

Nawet jeśli Twój podmiot nie jest objęty bezpośrednio (mikro lub małe przedsiębiorstwo niedziałające w sektorze kluczowym), może podlegać presji pośredniej przez łańcuch dostaw.

Dostawca podmiotu kluczowego

Zarządzanie ryzykiem w łańcuchu dostaw należy do systemu zarządzania bezpieczeństwem informacji z art. 8 UKSC. Jeżeli świadczysz usługi ICT lub inne usługi krytyczne na rzecz banku, szpitala czy przedsiębiorstwa wodociągowego, otrzymasz:

  • · Kwestionariusze bezpieczeństwa informacji do okresowego wypełnienia;
  • · Obowiązkowe klauzule umowne dotyczące cyberbezpieczeństwa;
  • · Żądania audytu prowadzonego przez niezależną stronę trzecią;
  • · Obowiązek szybkiego informowania klienta o incydentach.

Oznacza to, że nieformalna postawa bezpieczeństwa, akceptowalna wcześniej, przestaje być realną opcją dla firm sprzedających B2B do sektora regulowanego w Polsce.

Podsumowanie: ścieżka decyzyjna

  1. 1. Czy sektor mojego podmiotu jest wymieniony w załącznikach do UKSC?
    • Nie: prawdopodobnie poza zakresem bezpośrednim, przejdź do punktu 4.
    • Tak: kontynuuj.
  2. 2. Czy spełniam progi średniego lub dużego przedsiębiorstwa (co najmniej 50 pracowników LUB obrót co najmniej 10 mln EUR)?
    • Nie: małe lub mikroprzedsiębiorstwo, zwykle poza zakresem bezpośrednim.
    • Tak: kontynuuj.
  3. 3. Sektor kluczowy i duże przedsiębiorstwo to podmiot kluczowy. Sektor krytyczny lub średnie przedsiębiorstwo to podmiot ważny.
  4. 4. Czy jestem podmiotem administracji publicznej? Jeśli tak, sprawdź właściwy CSIRT (CSIRT GOV dla administracji rządowej, CSIRT MON dla obszaru wojskowego).
  5. 5. Czy świadczę usługi krytyczne na rzecz podmiotu kluczowego? Jeśli tak, jesteś dostawcą pod presją pośrednią (łańcuch dostaw, art. 8 UKSC).
Pozwól Reglyze wykonać to skrzyżowanie za Ciebie. Interaktywna diagnoza zadaje właściwe pytania i zwraca Twoją klasyfikację w 2 minuty, wraz z wyraźną podstawą prawną.

Najczęstsze pytania

Czym różni się podmiot kluczowy od podmiotu ważnego?
Różnica wynika ze skrzyżowania sektora i wielkości oraz przekłada się na reżim nadzoru. Podmiot kluczowy to duże przedsiębiorstwo (co najmniej 250 pracowników LUB obrót powyżej 50 mln EUR) w sektorze kluczowym, objęte nadzorem proaktywnym (ex ante). Podmiot ważny to średnie przedsiębiorstwo w sektorze kluczowym lub krytycznym albo duże przedsiębiorstwo w pozostałych sektorach krytycznych, objęte nadzorem reaktywnym (ex post). Obie kategorie stosują ten sam katalog minimalnych środków z art. 8 UKSC.
Kto podlega ustawie o krajowym systemie cyberbezpieczeństwa?
Podleganie UKSC (Dz.U. 2026 poz. 252) ustala się przez dwa kryteria: (1) sektor, czyli przynależność do sektorów kluczowych lub pozostałych sektorów krytycznych wymienionych w załącznikach do ustawy, oraz (2) wielkość podmiotu według progów dużego i średniego przedsiębiorstwa. Część podmiotów jest objęta z mocy ustawy niezależnie od wielkości (np. dostawcy DNS, rejestry TLD, podmioty administracji rządowej).
Czy moja firma jako MŚP jest poza zakresem UKSC?
Małe i mikroprzedsiębiorstwa (poniżej 50 pracowników ORAZ obrót poniżej 10 mln EUR) zwykle nie są objęte bezpośrednio. Jeżeli jednak świadczą usługi na rzecz podmiotu kluczowego, podlegają pośredniej presji: zarządzanie ryzykiem w łańcuchu dostaw należy do systemu z art. 8 UKSC, więc dostawcy otrzymują klauzule umowne i kwestionariusze bezpieczeństwa. Presja jest pośrednia, ale realna.
Czy podmioty administracji publicznej są objęte UKSC?
Tak. Administracja publiczna należy do sektorów kluczowych wymienionych w załącznikach do UKSC, a podmioty administracji rządowej są objęte z mocy ustawy. Zgłaszają one poważne incydenty do właściwego CSIRT, którym dla administracji rządowej jest CSIRT GOV (a dla obszaru wojskowego CSIRT MON), nie zaś CSIRT NASK właściwy dla sektora ogólnego i prywatnego.
Na czym polega różnica w nadzorze nad podmiotem kluczowym a ważnym?
Podmiot kluczowy podlega nadzorowi proaktywnemu (ex ante): organ właściwy, czyli Minister Cyfryzacji, może wszczynać kontrolę w każdym czasie, niezależnie od wystąpienia incydentu. Podmiot ważny podlega nadzorowi reaktywnemu (ex post): kontrola jest następstwem incydentu lub sygnału o naruszeniu obowiązków. Zakres obowiązków merytorycznych z art. 8 UKSC pozostaje w obu przypadkach taki sam.

Poznaj swoją kategorię w 2 minuty

Diagnoza Reglyze zadaje właściwe pytania (sektor, wielkość, status podmiotu publicznego, relacja z dostawcami) i zwraca Twoją kategorię wraz z wyraźną podstawą prawną UKSC. Bez karty płatniczej.