Wbrew intuicji katalog obowiązków materialnych — zabezpieczeń, dokumentacji, zgłaszania incydentów — jest dla podmiotu kluczowego i ważnego niemal identyczny. Różnica leży w reżimie nadzoru i konsekwencjach: kluczowy podlega nadzorowi proaktywnemu i obowiązkowym audytom, ważny — nadzorowi reaktywnemu; różnią się też pułapy kar. Poniżej pełne porównanie i praktyczne wnioski.
Skąd się bierze kategoria: sektor + wielkość
Kategoria podmiotu wynika z połączenia sektora (załączniki nr 1 i 2 do ustawy) i wielkości przedsiębiorstwa:
- duże przedsiębiorstwo (250+ osób lub ponad 50 mln EUR obrotu / 43 mln EUR sumy bilansowej) w sektorze z załącznika nr 1 → **podmiot kluczowy**;
- średnie w załączniku nr 1 oraz średnie lub duże w załączniku nr 2 → **podmiot ważny**;
- mikro i małe firmy — co do zasady poza ustawą (z wyjątkami, m.in. MSSP już od progu małego przedsiębiorcy, a dostawcy DNS i kwalifikowani dostawcy usług zaufania bez względu na wielkość).
Etykieta sektora to nie kategoria podmiotu
Etykiety „kluczowe/ważne” przy sektorach opisują charakter działalności i wpływają na kategorię podmiotu dopiero w połączeniu z jego wielkością — sam fakt bycia w załączniku nr 1 nie czyni jeszcze firmy podmiotem kluczowym.
Które sektory są „kluczowe”, a które „ważne”
Załącznik nr 1 — sektory „kluczowe”
- **Energia** — wytwarzanie, przesył, dystrybucja i obrót energią elektryczną, ciepłem, gazem, ropą; także ładowanie pojazdów elektrycznych i wodór,
- **Transport** — lotniczy, kolejowy, wodny i drogowy,
- **Zdrowie** — świadczeniodawcy, laboratoria referencyjne, producenci substancji farmaceutycznych i leków, producenci krytycznych wyrobów medycznych, podmioty prowadzące badania nad lekami,
- **Woda pitna i ścieki** — przedsiębiorstwa wodociągowo-kanalizacyjne,
- **Infrastruktura cyfrowa** — m.in. dostawcy usług DNS, chmury obliczeniowej, centrów danych, usług zaufania, publicznych sieci i usług łączności elektronicznej,
- **Zarządzanie usługami ICT (B2B)** — dostawcy usług zarządzanych (MSP) i usług zarządzanych w zakresie bezpieczeństwa (MSSP),
- **Administracja publiczna**, **przestrzeń kosmiczna** oraz **bankowość i infrastruktura rynków finansowych** (przy czym sektor finansowy realizuje wymogi zarządzania ryzykiem ICT i zgłaszania incydentów przez odrębne rozporządzenie DORA, które jest wobec NIS2 przepisem szczególnym).
Załącznik nr 2 — sektory „ważne”
- usługi pocztowe i kurierskie,
- gospodarowanie odpadami,
- chemikalia — produkcja, wytwarzanie i dystrybucja,
- żywność — produkcja, przetwarzanie i dystrybucja na skalę przemysłową/hurtową,
- **produkcja** — pięć grup: wyroby medyczne i do diagnostyki in vitro; komputery, elektronika i optyka; urządzenia elektryczne; maszyny i urządzenia; pojazdy samochodowe, przyczepy i pozostały sprzęt transportowy — to załącznik, który „wciąga” do ustawy ogromną część polskiego przemysłu średniej wielkości,
- dostawcy usług cyfrowych — marketplace’y, wyszukiwarki, platformy społecznościowe,
- badania naukowe — organizacje badawcze (co do zasady z wyłączeniem instytucji edukacyjnych).
Podmiot kluczowy vs ważny — tabela różnic
| Podmiot kluczowy | Podmiot ważny | |
|---|---|---|
| Nadzór | proaktywny (ex ante i ex post) — organ może kontrolować planowo, bez szczególnego powodu | reaktywny (ex post) — kontrola po sygnale, skardze lub incydencie |
| Audyt bezpieczeństwa | obowiązkowy i cykliczny: pierwszy w 24 miesiące, kolejne co najmniej raz na 3 lata | na żądanie organu |
| Maksymalna kara dla firmy | 10 mln EUR lub 2% rocznego obrotu | 7 mln EUR lub 1,4% rocznego obrotu |
| Środki nadzwyczajne | m.in. możliwy czasowy zakaz pełnienia funkcji zarządczych | łagodniejszy zestaw środków |
Czego NIE różnicuje kategoria: obowiązki są wspólne
Poziom samych zabezpieczeń powinien być u obu kategorii porównywalny — różni się ciśnienie nadzorcze, nie standard bezpieczeństwa. Obie kategorie obejmują te same warstwy obowiązków: wpis do wykazu i osoby kontaktowe, system zarządzania bezpieczeństwem informacji (SZBI) proporcjonalny do ryzyka, dokumentację normatywną i operacyjną, obsługę i zgłaszanie incydentów w ustawowych terminach, bezpieczeństwo łańcucha dostaw oraz coroczne szkolenia kierownictwa.
Praktyczne tłumaczenie: dwie różne postawy
**Podmiot kluczowy musi być stale gotowy do kontroli i audytu** — jego dokumentacja i dowody muszą być aktualne w każdym momencie, bo organ może przyjść planowo, bez szczególnego powodu. **Podmiot ważny musi być gotowy do obrony**, gdy coś się wydarzy — kontrola przychodzi po sygnale, skardze lub incydencie, a wtedy liczy się to, co było wdrożone i udokumentowane wcześniej.
Dla podmiotów kluczowych istotny jest kalendarz audytu: pierwszy audyt bezpieczeństwa w ciągu 24 miesięcy od spełnienia przesłanek (dla podmiotów istniejących w dniu wejścia ustawy — do 3 kwietnia 2028 r.), kolejne co najmniej raz na 3 lata. Uwaga: firmy, które były operatorami usług kluczowych pod starą ustawą, zachowują ciągłość dotychczasowych cykli audytowych — ich termin może wypaść wcześniej niż 2028 r.
Dlaczego warto ustalić kategorię przed wpisem do wykazu
Status wpływa m.in. na model nadzoru, audyt i maksymalne sankcje — i nie należy go ustalać wyłącznie na podstawie ogólnej tabeli sektorowej, bez analizy szczegółowego przepisu. Kategorię podaje się we wniosku o wpis do wykazu, więc błędna samoocena utrwala się w rejestrze państwowym. W przypadkach granicznych bezpieczniejsza jest kwalifikacja ostrożnościowa.
Nie — katalog obowiązków materialnych (zabezpieczenia, dokumentacja, zgłaszanie incydentów) jest niemal identyczny. Różnica dotyczy reżimu nadzoru (proaktywny vs reaktywny), obowiązkowego audytu i pułapu kar, a nie standardu bezpieczeństwa.
Nie wiesz, którą kategorią jesteś?
Test kwalifikacji wstępnie wskaże, czy Twoja firma może być podmiotem kluczowym czy ważnym — a na konsultacji potwierdzimy kategorię przed wpisem do wykazu.
Przewodnik po ustawie KSC 2026 (PDF)