//NIS2 / UKSC

NIS2 / UKSC

NIS2 / UKSC 2026 - kto podlega? Lista podmiotow kluczowych i waznych

3 czerwca 2026·8 min czytania·Marcin Rabiasz · Pełnomocnik ZSZ

Kto podlega NIS2 i Ustawie o KSC?

Pierwsze pytanie, ktore zadaje sobie kazda organizacja po uslyszeniu o NIS2, brzmi: "czy to w ogole mnie dotyczy?". Odpowiedz nie jest oczywista, bo polska Ustawa o Krajowym Systemie Cyberbezpieczenstwa (UKSC 2026) wdrazajaca dyrektywe NIS2 dzieli adresatow na dwie kategorie - podmioty kluczowe i podmioty wazne - i stosuje jednoczesnie kryterium sektorowe oraz kryterium wielkosci.

W skrocie: podlegasz, jesli (1) dzialasz w jednym z objetych sektorow ORAZ (2) spelniasz prog wielkosci przedsiebiorstwa - albo nalezysz do waskiej grupy podmiotow objetych niezaleznie od wielkosci.

Kryterium wielkosci - prog sredniego przedsiebiorstwa

Zasada ogolna opiera sie na definicji sredniego przedsiebiorstwa:

•Podmiot kluczowy - co do zasady duze przedsiebiorstwo w sektorze szczegolnie krytycznym: od 250 pracownikow lub obrot powyzej 50 mln EUR i suma bilansowa powyzej 43 mln EUR.

•Podmiot wazny - srednie przedsiebiorstwo (od 50 pracownikow lub obrot/suma bilansowa powyzej 10 mln EUR) oraz duze podmioty z pozostalych sektorow krytycznych.

Uwaga: niektore typy podmiotow podlegaja niezaleznie od wielkosci - nawet mikrofirma. Dotyczy to m.in. dostawcow uslug DNS, rejestrow nazw domen TLD, dostawcow uslug zaufania kwalifikowanych, operatorow infrastruktury krytycznej oraz administracji publicznej.

Sektory NIS2 - zalacznik 1 (sektory kluczowe)

Podmioty z tych sektorow sa zwykle klasyfikowane jako kluczowe:

•Energetyka (energia elektryczna, ropa, gaz, cieplo, wodor)

•Transport (lotniczy, kolejowy, wodny, drogowy)

•Bankowosc i infrastruktura rynkow finansowych

•Ochrona zdrowia (szpitale, laboratoria, producenci wyrobow medycznych, farmacja)

•Woda pitna i scieki

•Infrastruktura cyfrowa (IXP, DNS, TLD, chmura, centra danych, CDN, uslugi zaufania, lacznosc elektroniczna)

•Zarzadzanie uslugami ICT (B2B) - dostawcy uslug zarzadzanych MSP i bezpieczenstwa MSSP

•Administracja publiczna

•Przestrzen kosmiczna

ISO Forge

Generator dokumentow NIS2 i UKSC 2026

3 dokumenty za darmo - bez karty kredytowej

Sektory NIS2 - zalacznik 2 (pozostale sektory krytyczne)

Podmioty z tych sektorow sa zwykle klasyfikowane jako wazne:

•Uslugi pocztowe i kurierskie

•Gospodarka odpadami

•Produkcja i dystrybucja chemikaliow

•Produkcja, przetwarzanie i dystrybucja zywnosci

•Produkcja (wyroby medyczne, elektronika, maszyny, pojazdy, sprzet)

•Dostawcy uslug cyfrowych (platformy handlowe, wyszukiwarki, sieci spolecznosciowe)

•Badania naukowe

Podmiot kluczowy a podmiot wazny - jaka roznica?

Lista wymaganych srodkow bezpieczenstwa i dokumentow jest taka sama dla obu kategorii. Roznica lezy w nadzorze i sankcjach:

•Podmioty kluczowe podlegaja nadzorowi proaktywnemu (kontrole i audyty z urzedu, mozliwosc niezapowiedzianych inspekcji). Maksymalne kary: do 10 mln EUR lub 2 proc. rocznego obrotu.

•Podmioty wazne podlegaja nadzorowi reaktywnemu (kontrola dopiero gdy pojawia sie sygnal o naruszeniu). Maksymalne kary: do 7 mln EUR lub 1,4 proc. obrotu.

W praktyce niezaleznie od kategorii musisz miec wdrozony ten sam zestaw polityk i procedur - rozni sie jedynie tryb i prawdopodobienstwo kontroli.

Jak sprawdzic czy podlegasz - 3 kroki

1.Sprawdz sektor - czy Twoja dzialalnosc miesci sie w zalaczniku 1 lub 2. Decyduje faktyczny przedmiot dzialalnosci, nie tylko kod PKD.

2.Sprawdz wielkosc - policz pracownikow i dane finansowe wedlug definicji przedsiebiorstwa (uwzgledniajac podmioty powiazane i partnerskie).

3.Sprawdz wyjatki - nawet ponizej progu mozesz podlegac, jesli nalezysz do grupy "niezaleznie od wielkosci" lub zostaniesz wskazany decyzja organu.

Po ustaleniu, ze podlegasz, masz obowiazek rejestracji w wykazie podmiotow kluczowych i waznych oraz wdrozenia srodkow zarzadzania ryzykiem w cyberbezpieczenstwie wraz z dokumentacja.

Co dalej po ustaleniu, ze podlegasz?

Kolejny krok to wdrozenie dokumentacji: polityki cyberbezpieczenstwa, procedury zarzadzania incydentami z terminami CSIRT (24h / 72h / 1 miesiac), oceny i rejestru ryzyk, procedury lancucha dostaw ICT oraz planu ciaglosci dzialania.

ISO Forge generuje kompletny pakiet dokumentow NIS2 / UKSC dopasowany do Twojej organizacji - z terminami CSIRT wbudowanymi w procedury i opcjonalnym bundle ISO 27001 (SoA, Polityka ISMS, ocena ryzyka).

Podsumowanie

To, czy podlegasz NIS2 i UKSC 2026, zalezy od sektora i wielkosci - a w czesci przypadkow od samego typu dzialalnosci, niezaleznie od wielkosci. Podmioty kluczowe i wazne maja te same obowiazki dokumentacyjne, rozni je tryb nadzoru i wysokosc kar. Jesli jestes adresatem ustawy, nie zwlekaj z dokumentacja - to ona jest pierwszym, co sprawdza organ podczas kontroli.

Generuj dokumentacje NIS2 / UKSC w minuty - sprawdz generator NIS2 w ISO Forge.

Wygeneruj dokumentację ISO w minuty

Pierwszy dokument za darmo. Bez karty kredytowej.