Wniosek o wpis do wykazu podmiotów kluczowych i ważnych składa się samodzielnie przez portal wykaz-ksc.gov.pl, a ostateczny termin samoidentyfikacji i złożenia wniosku mija 3 października 2026 r. Nikt nie przyśle zawiadomienia — firma sama wykonuje analizę, sama składa wniosek i sama odpowiada za aktualność danych. Poniżej cała procedura krok po kroku.
Najpierw najważniejsza zasada: obowiązki nie czekają na wpis
Obowiązki powstają z mocy prawa w dniu spełnienia przesłanek, a nie w dniu wpisu do wykazu. Wpis ma charakter deklaratoryjny — potwierdza stan, którego nie tworzy. Organ może zresztą wpisać podmiot do wykazu z urzędu, bez wniosku. Strategia „poczekamy, aż nas znajdą” nie odracza więc obowiązków — odracza tylko moment, w którym firma dowie się, że już od dawna je narusza.
Warto też wiedzieć, że brak wpisu do wykazu należy do naruszeń „zero-jedynkowych” — dla organu nadzoru jest trywialny do stwierdzenia i trudny do wytłumaczenia. To od takich naruszeń realnie zaczyna się egzekwowanie ustawy.
Krok 1. Ustal, czy podlegasz — kwalifikacja w czterech etapach
Zanim złożysz wniosek, musisz wiedzieć, czy i w jakiej kategorii podlegasz. Kwalifikacja to czteroetapowy test:
- **Sektor.** Sprawdź, czy działalność firmy mieści się w jednym z 18 sektorów wymienionych w załącznikach nr 1 i 2 do ustawy. Decyduje faktycznie prowadzona działalność, nie sam kod PKD. Firma o działalności mieszanej podlega, jeśli choć jeden istotny segment działalności mieści się w załącznikach.
- **Wielkość.** Reguła ogólna obejmuje przedsiębiorstwa co najmniej średnie: zatrudnienie od 50 osób lub roczny obrót albo suma bilansowa powyżej 10 mln EUR. Uwaga na grupy kapitałowe: dane przedsiębiorstw partnerskich (udział 25–50%) i powiązanych (kontrola powyżej 50%) się sumują — spółka zatrudniająca 30 osób w dużej grupie może po zsumowaniu przekroczyć próg.
- **Wyjątki.** Niektóre kategorie podlegają niezależnie od wielkości lub od niższego progu — m.in. dostawcy usług DNS i rejestry domen najwyższego poziomu (bez względu na wielkość), kwalifikowani dostawcy usług zaufania, przedsiębiorcy komunikacji elektronicznej, podmioty administracji publicznej oraz dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa (MSSP) — już od progu małego przedsiębiorcy.
- **Samoidentyfikacja.** W przypadkach granicznych (działalność mieszana, niejednoznaczna rola w sektorze) bezpieczniejsza jest kwalifikacja ostrożnościowa: skoro obowiązki i tak biegną od spełnienia przesłanek, błąd „w dół” jest znacznie droższy niż błąd „w górę”.
Krok 2. Przygotuj dane do wniosku
Wniosek o wpis do wykazu obejmuje: dane identyfikujące podmiot, sektor, kategorię (podmiot kluczowy lub ważny) oraz dane kontaktowe. Równolegle przygotuj wskazanie co najmniej dwóch osób do kontaktu z CSIRT-em i organami — to odrębny obowiązek pierwszej warstwy „wejścia do systemu”.
Praktyczna wskazówka: kategoria (kluczowy/ważny) wynika z połączenia sektora i wielkości — sam fakt bycia w załączniku nr 1 nie czyni jeszcze firmy podmiotem kluczowym. Jeśli nie masz pewności co do kategorii, ustal ją przed wysłaniem wniosku, bo wpływa na reżim nadzoru, audyt i pułap kar.
Krok 3. Złóż wniosek przez portal wykaz-ksc.gov.pl
Samorejestracja w wykazie jest otwarta od 7 maja 2026 r. i prowadzi się ją przez portal wykaz-ksc.gov.pl (docelowo komunikacja w ramach krajowego systemu biegnie przez rządowy system S46). Ostateczny termin samoidentyfikacji i złożenia wniosku o wpis to 3 października 2026 r.
Część podmiotów — znanych organom, m.in. dawni operatorzy usług kluczowych — została wpisana do wykazu z urzędu w okresie 13 kwietnia – 6 maja 2026 r. Jeśli Twoja firma należała do tej grupy, sprawdź zawiadomienia i przygotuj dane do uzupełnienia zamiast składać wniosek od zera.
Krok 4. Uruchom komunikację: S46 i osoby kontaktowe
System S46 to rządowa platforma, przez którą biegną zgłoszenia incydentów i komunikacja w ramach krajowego systemu cyberbezpieczeństwa. Dla nowych podmiotów jest udostępniany stopniowo od 12 czerwca 2026 r. — przygotuj osoby kontaktowe, dostęp i procedurę obsługi.
Po wpisie podmiot wyznacza także osobę odpowiedzialną za cyberbezpieczeństwo w organizacji. To rola wewnętrzna — punkt styku między zarządem, IT a państwem; w praktyce naturalnie ląduje u CISO lub szefa IT, ale formalne wyznaczenie musi nastąpić.
Krok 5. Pilnuj aktualności danych
Wpis to nie koniec: ustawa nakłada obowiązek aktualizacji danych w krótkim ustawowym terminie od każdej zmiany. Ustal wewnętrznie, kto odpowiada za zgłaszanie zmian (np. zmiana osób kontaktowych, danych podmiotu), żeby obowiązek nie „wisiał w powietrzu”.
Kalendarz: co się dzieje i do kiedy
| Data | Zdarzenie |
|---|---|
| 3 kwietnia 2026 | wejście w życie nowelizacji — start wszystkich terminów |
| 13 kwietnia – 6 maja 2026 | wpisy do wykazu z urzędu (podmioty znane organom) |
| od 7 maja 2026 | otwarta samorejestracja w wykazie (wykaz-ksc.gov.pl) |
| od 12 czerwca 2026 | stopniowe udostępnianie systemu S46 nowym podmiotom |
| 3 października 2026 | ostateczny termin samoidentyfikacji i złożenia wniosku o wpis |
| do 3 kwietnia 2027 | wdrożone wymagania ustawy, w tym SZBI |
Dla podmiotów, które przesłanki spełnią później (nowa działalność, przekroczenie progu zatrudnienia lub obrotu, zmiana profilu), terminy liczą się indywidualnie od dnia spełnienia przesłanek. Kwalifikację trzeba więc monitorować na bieżąco — firma rosnąca przez próg 50 osób „wpada” w ustawę w trakcie roku.
Nie. Firma sama wykonuje analizę kwalifikacji, sama składa wniosek o wpis i sama odpowiada za aktualność danych. Organ może też wpisać podmiot do wykazu z urzędu — bez wniosku i niezależnie od tego, czy firma czuje się objęta ustawą.
Nie wiesz, czy Twoja firma podlega?
Zrób bezpłatny test kwalifikacji (2 minuty) albo umów bezpłatną konsultację — pomożemy ustalić kategorię i przejść przez wpis.
Przewodnik po ustawie KSC 2026 (PDF)