22 100 61 92 | kontakt@netxp.pl

Sieci komputerowe, sieci bezprzewodowe, sprzęt do wideokonferencji - Network Expert

Samorejestracja w Wykazie KSC ruszyła – co musisz zrobić od 7 maja 2026 r., żeby spełnić wymogi NIS2 w Polsce

7 maja 2026 r., uruchomiona została aplikacja webowa Wykaz KSC (Ministerstwa Cyfryzacji), w której podmioty kluczowe i podmioty ważne mogą samodzielnie złożyć wniosek o wpis do Wykazu podmiotów kluczowych i podmiotów ważnych. To pierwszy konkretny, wymagający aktywności moment w nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wdrażającej dyrektywę NIS2. Wcześniej dyskusja dotyczyła głównie tego, kto będzie objęty regulacją i jakie będą wymagania. Teraz pojawia się jednoznaczny obowiązek formalny: jeśli Twoja organizacja spełnia kryteria ustawy – masz czas do 3 października 2026 r. na złożenie wymaganego wniosku.

W tym artykule pokazujemy, czym dokładnie jest Wykaz KSC, kto i kiedy się rejestruje, jak krok po kroku przebiega samorejestracja oraz co warto przygotować, żeby nie utknąć w połowie procesu. Jeśli potrzebujesz najpierw odświeżyć podstawy NIS2 i zrozumieć, jak działają w Polsce kategorie podmiotów kluczowych i ważnych, zachęcamy do lektury naszego wcześniejszego materiału: Dyrektywa NIS2 – czym jest i kogo dotyczy?.

Czym jest Wykaz KSC i dlaczego nie jest to „zwykły rejestr”

Wykaz podmiotów kluczowych i podmiotów ważnych prowadzi minister właściwy do spraw informatyzacji w systemie teleinformatycznym, o którym mowa w art. 46 ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa – czyli w Systemie S46. Sam Wykaz KSC stanowi odrębną aplikację webową, dostępną pod adresem wykaz-ksc.gov.pl.

Z formalnego punktu widzenia Wykaz KSC pełni trzy funkcje:

  • identyfikuje podmioty kluczowe i podmioty ważne w poszczególnych sektorach,
  • stanowi podstawę wymiany informacji między podmiotami a CSIRT i organami właściwymi ds. cyberbezpieczeństwa,
  • stanowi punkt wyjścia dla działań nadzorczych organów właściwych.

To oznacza, że wpis do wykazu nie jest tylko biurokratyczną formalnością. To brama wejścia do całego ekosystemu krajowego systemu cyberbezpieczeństwa: do raportowania incydentów, do współpracy z CSIRT-ami, do otrzymywania informacji o zagrożeniach. Sam Wykaz nie jest publiczny – dostęp do danych mają wyłącznie uprawnione organy, CSIRT-y oraz przedstawiciel danego podmiotu w zakresie własnych danych.

Z perspektywy organizacji warto zauważyć jeszcze jedno: wpis ma charakter deklaratoryjny. Następuje z chwilą złożenia wniosku, a status podmiotu kluczowego lub ważnego wynika z ustawy, a nie z samego faktu wpisu. Mówiąc wprost: jeżeli jakaś firma spełnia przesłanki ustawowe, to jest podmiotem kluczowym lub ważnym także bez wpisu – tylko że bez wpisu taka firma narusza obowiązek ustawowy.

Dwie drogi wpisu – samorejestracja albo wpis z urzędu

Ustawa przewiduje dwa równoległe tryby umieszczenia podmiotu w Wykazie KSC. Zanim ktokolwiek w organizacji uruchomi formularz w aplikacji, warto upewnić się, którą ścieżką podmiot powinien podążać.

Wpis z urzędu dotyczy określonych kategorii podmiotów, w przypadku których minister wpisuje organizację do wykazu samodzielnie, na podstawie danych z rejestrów publicznych. W praktyce w okresie do 6 maja 2026 r. minister z urzędu wpisał m.in. dotychczasowych operatorów usług kluczowych, dostawców usług zaufania, przedsiębiorców telekomunikacyjnych oraz podmioty publiczne. Te organizacje nie składają wniosku o wpis – zamiast tego otrzymują zawiadomienie i wezwanie wraz z linkiem oraz kodem dostępu, na podstawie których mają 6 miesięcy na uzupełnienie danych w wykazie.

Samorejestracja to ścieżka dla wszystkich pozostałych podmiotów objętych ustawą – czyli tych, które nie zostały wpisane z urzędu, ale spełniają przesłanki uznania za podmiot kluczowy lub podmiot ważny. To właśnie ta ścieżka została udostępniona dziś, od 7 maja 2026 r., i to dla niej obowiązuje termin 3 października 2026 r. Wniosek składa i podpisuje kierownik podmiotu albo osoba przez niego upoważniona, a samo dokonanie wpisu wymaga oświadczenia kierownika składanego pod rygorem odpowiedzialności karnej za złożenie fałszywego oświadczenia.

UWAGA: nie jest to czynność, którą można „przy okazji” oddelegować do działu administracyjnego bez świadomej decyzji zarządu.


Trzyetapowa samoidentyfikacja – zanim w ogóle wejdziesz do aplikacji

Najczęstszy błąd, jaki obserwujemy w rozmowach z firmami, polega na tym, że zaczynają one od pytania „jak się zarejestrować”, zamiast od pytania „czy w ogóle podlegamy ustawie i w jakiej kategorii”. Tymczasem sama nowelizacja KSC nakłada ciężar tej oceny na podmiot. Administracja nie wyśle Ci powiadomienia, że masz się wpisać (poza wskazanymi wcześniej kategoriami wpisywanymi z urzędu).

Zalecane podejście do samoidentyfikacji to trzy kroki:

Krok 1 – sektor i rodzaj działalności. Trzeba sprawdzić, czy faktycznie prowadzona działalność mieści się w sektorach lub podsektorach wskazanych w załączniku nr 1 (podmioty kluczowe) albo w załączniku nr 2 (podmioty ważne) do ustawy. Pomocniczo można posiłkować się kodami PKD, jednak decydujące znaczenie ma rzeczywisty zakres świadczonych usług lub wykonywanych zadań – nie sam wpis w rejestrze.

Krok 2 – wielkość podmiotu. Należy określić, czy organizacja jest mikro-, małym, średnim czy dużym przedsiębiorstwem – z uwzględnieniem przedsiębiorstw powiązanych i partnerskich, zgodnie z zasadami unijnymi. To ważny moment dla grup kapitałowych, w których spółki córki bywają mniejsze, ale po zsumowaniu zasobów grupa jako całość przekracza progi MŚP.

Krok 3 – analiza art. 5 ustawy o KSC. Ten przepis określa szczegółowe zasady uznawania podmiotów za podmiot kluczowy albo podmiot ważny. Obejmuje on m.in. przypadki, w których podmiot jest objęty ustawą niezależnie od swojej wielkości (np. niektórzy dostawcy usług komunikacji elektronicznej czy podmioty publiczne), a także sytuacje uzasadniające zakwalifikowanie do konkretnej kategorii. Spełnienie przesłanek z art. 5 jednoznacznie oznacza objęcie podmiotu przepisami ustawy.

Dopiero po przejściu tych trzech etapów wiadomo, czy organizacja w ogóle składa wniosek, a jeśli tak – w jakiej kategorii.

Z naszej praktyki wynika, że organizacje mają w tym miejscu dwa konkretne problemy:

  • jak ustrukturyzować samą analizę statusu, żeby decyzja kierownika podmiotu była dobrze udokumentowana,
  • jak płynnie przejść od ustalenia statusu do oceny realnego dystansu, jaki dzieli firmę od pełnej zgodności z wymaganiami ustawy.

Z myślą o obu tych etapach rozwijamy w Network Expertss autorskie narzędzie vCISO Tool – platformę z check-listami dopasowanymi do branż objętych regulacją i mechanizmem raportu luk. Porządkuje ono cztery kluczowe obszary – ryzyka, działania, zgodność i nadzór – w jednym miejscu, dzięki czemu samoidentyfikacja przestaje być jednorazowym ćwiczeniem prawnym, a staje się punktem startu uporządkowanej roadmapy: wiadomo, co wymaga działania, w jakiej kolejności, kto odpowiada i jaki jest status realizacji. To szczególnie pomocne, jeśli chcesz mieć pewność, że decyzja o wpisie (lub jego braku) jest oparta na konkretach, a nie na intuicji – i że tuż po wpisie organizacja nie zostaje sama z pytaniem „co teraz”.

Samorejestracja krok po kroku

Aplikacja Wykaz KSC prowadzi przez wniosek w postaci kreatora złożonego z kilku sekcji – od danych identyfikacyjnych podmiotu, przez klasyfikację sektorową, dane kontaktowe i specyfikację techniczną, po oświadczenia prawne. Wniosek składany jest wyłącznie elektronicznie, podpisywany Profilem Zaufanym albo kwalifikowanym podpisem elektronicznym, opatrzony oświadczeniem kierownika podmiotu pod rygorem odpowiedzialności karnej za fałszywe oświadczenie. W zależności od wyniku weryfikacji podmiot otrzymuje potwierdzenie wpisu albo informację o konieczności dodatkowej weryfikacji – np. w sytuacji konfliktu danych w systemie.

W praktyce techniczne wypełnienie formularza nie jest najtrudniejszym elementem procesu. Trudniejsze i bardziej czasochłonne jest to, co dzieje się przed jego uruchomieniem: ustalenie, kto formalnie pełni rolę kierownika podmiotu i administratora konta w Systemie S46, prawidłowe wskazanie sektora, podsektora i rodzajów działalności zgodnie z załącznikami do ustawy, decyzje dotyczące przedstawiciela podmiotu, dostawców usług zarządzanych czy wymiany informacji z innymi podmiotami, a także kwestie pełnomocnictw elektronicznych. To zestaw decyzji organizacyjnych i prawnych, w którym łatwo o błąd – a każda nieścisłość w treści wpisu wymaga później osobnego wniosku o jego zmianę.

Z perspektywy zarządu istotne nie jest więc to, „w którą zakładkę kliknąć”, ale to, czy decyzje stojące za każdą sekcją wniosku są spójne z faktyczną sytuacją podmiotu i z przepisami ustawy. Każda z tych decyzji ma później przełożenie na obowiązki operacyjne – od raportowania incydentów po zakres nadzoru organów właściwych ds. cyberbezpieczeństwa. To etap, w którym warto pracować z doradcą, który prowadził już podobne wpisy w innych organizacjach z Twojej branży.

Co warto przygotować zawczasu

Z naszych doświadczeń przy wcześniejszych obowiązkach regulacyjnych (operatorzy usług kluczowych, ISO 27001, DORA) wynika, że największe opóźnienia powstają nie podczas samego wypełniania formularza, ale na etapie zbierania danych. Zanim ktoś z Twojej organizacji uruchomi aplikację Wykaz KSC, warto mieć przygotowane:

  • pełną listę usług, działalności i rodzajów świadczeń istotnych z punktu widzenia załączników do ustawy,
  • aktualne dane rejestrowe podmiotu (NIP, REGON, adres siedziby, KRS/CEIDG),
  • ustaloną i udokumentowaną decyzję, kto pełni rolę kierownika podmiotu w rozumieniu ustawy oraz kto będzie administratorem konta w Systemie S46,
  • kompletną listę osób do kontaktu w sprawach cyberbezpieczeństwa (co najmniej dwie osoby) z aktualnymi danymi kontaktowymi,
  • zinwentaryzowane zakresy publicznych adresów IP oraz domen internetowych wykorzystywanych w świadczeniu usług,
  • informacje o ewentualnych dostawcach usług zarządzanych w obszarze bezpieczeństwa,
  • pełnomocnictwa elektroniczne, jeśli wniosek nie będzie składany przez kierownika podmiotu,
  • aktywny Profil Zaufany lub kwalifikowany podpis elektroniczny dla osoby podpisującej wniosek.

To pozornie banalne, ale w wielu organizacjach – zwłaszcza większych grupach kapitałowych i samorządach – samo ustalenie, kto formalnie jest „kierownikiem podmiotu” w danej spółce lub jednostce, potrafi zająć więcej czasu niż wypełnienie samego formularza.

Najczęstsze pułapki i sytuacje wyjątkowe

W trakcie samorejestracji warto zwrócić uwagę na kilka sytuacji, które najczęściej generują pytania:

  • Konflikt NIP/REGON. Jeżeli system wykryje, że podmiot z takim samym numerem identyfikacyjnym jest już w wykazie albo trwa już wniosek, status zmieni się na „Oczekuje na weryfikację”. Warto wtedy sprawdzić, czy podmiot nie został już wpisany z urzędu albo czy ktoś inny w organizacji nie złożył wniosku równolegle.
  • Brak NIP lub REGON. W takich przypadkach formularz przewiduje opcję oznaczenia, że dany identyfikator nie został podmiotowi nadany.
  • Wiele rodzajów działalności. Składasz jeden wniosek, w którym w sekcji „Klasyfikacja” osobno wykazujesz każdy rodzaj działalności objętej ustawą. To rozwiązanie pozwala spójnie przedstawić cały profil organizacji.
  • Grupy kapitałowe. Każdy podmiot w grupie ocenia swój status indywidualnie, ale przy ocenie wielkości uwzględnia przedsiębiorstwa powiązane i partnerskie. Art. 5 ustawy przewiduje też mechanizmy pozwalające w określonych sytuacjach uniknąć automatycznego dziedziczenia statusu z grupy – pod warunkiem wykazania faktycznej niezależności operacyjnej i technologicznej.
  • Pełnomocnictwo elektroniczne. Jeżeli wniosek składa osoba inna niż kierownik podmiotu, prokurent ujawniony w KRS lub pełnomocnik ujawniony w CEIDG, niezbędne jest pełnomocnictwo w postaci elektronicznej.

Co dalej po wpisie – kolejne terminy

Wpis do Wykazu KSC to nie koniec drogi, ale jej początek. Warto już teraz mieć w planie kolejne kamienie milowe:

  • 12 czerwca 2026 r. – uruchomienie możliwości korzystania z Systemu S46 dla nowych podmiotów. Do tego dnia podmioty, które na dzień wejścia w życie znowelizowanej ustawy o KSC spełniają przesłanki uznania za podmiot kluczowy lub ważny, mają czas na rozpoczęcie korzystania z S46 oraz wdrażanie obowiązków wynikających z ustawy.
  • 3 października 2026 r. – upływa termin składania wniosków o wpis w trybie samorejestracji.
  • 3 kwietnia 2027 r. (12 miesięcy od wejścia w życie kluczowych przepisów ustawy) – realizacja obowiązków wynikających z rozdziału 3 ustawy, w tym pełnego wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI).
  • 3 kwietnia 2028 r. – termin pierwszego audytu SZBI dla podmiotów kluczowych, które dotychczas nie były operatorami usług kluczowych. Pozostałe podmioty kluczowe (dotychczasowi operatorzy usług kluczowych) zachowują dotychczasowy cykl audytowy – co najmniej raz na 3 lata.

W tle natomiast zegar tyka również w drugą stronę: podmioty objęte ustawą już teraz mają obowiązek raportowania incydentów poważnych zgodnie z reżimem 24/72 godzin/miesiąc, a kierownictwo musi przejść coroczne szkolenie z cyberbezpieczeństwa.

Ryzyko bezczynności

Brak wpisu w terminie nie jest tylko ryzykiem reputacyjnym. Ustawa przewiduje administracyjne kary pieniężne sięgające – w zależności od kategorii i charakteru naruszenia – nawet 10 mln euro albo 2% rocznych przychodów dla podmiotów kluczowych oraz 7 mln euro albo 1,4% rocznych przychodów dla podmiotów ważnych. W skali polskiej dolne progi sankcji to odpowiednio 20 tys. zł i 15 tys. zł, a najpoważniejsze naruszenia mogą skutkować karą do 100 mln zł.

Ustawodawca przewidział wprawdzie okres przejściowy w odniesieniu do pierwszego nakładania kar, ale logika tej ulgi jest prosta: ma ona dać organizacjom czas na faktyczne wdrożenie obowiązków, a nie na ich ignorowanie. Inspekcje i kontrole organów właściwych ds. cyberbezpieczeństwa będą mogły opierać się m.in. właśnie na danych z Wykazu KSC – brak wpisu jest więc sygnałem, który jako pierwszy zwraca uwagę nadzoru.

Jak Network Experts wspiera klientów w procesie samorejestracji i wdrożeniu NIS2

Wpis do Wykazu KSC jest formalnością – ale prawdziwa praca zaczyna się tuż obok. Trzeba ustalić status podmiotu, przygotować dane, ułożyć role i odpowiedzialności, a w tle uruchomić wdrożenie systemu zarządzania bezpieczeństwem informacji, procesów obsługi incydentów i bezpieczeństwa łańcucha dostaw. To zbyt wiele równoległych wątków, żeby prowadzić je w arkuszach kalkulacyjnych i mailach – dlatego u klientów łączymy doradztwo ekspertów z naszą autorską platformą vCISO Tool, która spina ryzyka, działania, zgodność i nadzór w jednym, uporządkowanym modelu pracy.

Wspieramy klientów na każdym z tych etapów:

  • Analiza statusu i ocena obowiązków – sprawdzamy, czy organizacja podlega przepisom, w jakiej kategorii i jakie konkretne obowiązki z tego wynikają.
  • Wsparcie w samorejestracji – pomagamy przygotować i poukładać dane wymagane przez aplikację Wykaz KSC oraz uniknąć typowych błędów na etapie składania wniosku.
  • vCISO Tool i usługa vCISO – platforma audytowa z check-listami branżowymi i raportem luk pokazującym czarno na białym, co wymaga poprawy w dokumentacji, procesach i technologii, połączona z ciągłym wsparciem eksperta cybersec w realizacji obowiązków wynikających z ustawy.
  • Wdrożenie SZBI zgodnego z NIS2/KSC i ISO/IEC 27001 – polityki, procedury, role, środki techniczne i nadzór nad ich skutecznością.
  • Security Operations Center (SOC) i monitorowanie bezpieczeństwa – w tym wykrywanie i obsługa incydentów zgodnie z reżimem raportowania 24/72/30.
  • Audyty bezpieczeństwa i testy penetracyjne – przygotowanie do pierwszego audytu SZBI oraz weryfikacja realnej dojrzałości zabezpieczeń.

Jeśli nie masz pewności, czy Twoja organizacja podlega przepisom KSC, w jakiej kategorii powinna się rejestrować lub jak ułożyć cały proces wdrożenia – odezwij się do nas. Pomożemy ułożyć harmonogram działań tak, żeby do 3 października 2026 r. zamknąć temat samorejestracji, a kolejne wymagania wdrażać planowo, a nie pod presją czasu.

Podsumowanie

Uruchomienie 7 maja 2026 r. samorejestracji w Wykazie KSC zamyka pewien etap dyskusji o NIS2 w Polsce – z fazy „co nas czeka” przechodzimy do fazy „co trzeba zrobić w aplikacji”. Najpilniejsze działanie dla organizacji, które potencjalnie podlegają ustawie, to dziś:

  1. ustalić status podmiotu w trzech krokach (sektor – wielkość – art. 5),
  2. zebrać dane potrzebne do wypełnienia wniosku,
  3. wyznaczyć kierownika podmiotu, administratora konta w S46 i osoby do kontaktu,
  4. przygotować Profil Zaufany lub podpis kwalifikowany,
  5. zaplanować wpis z odpowiednim wyprzedzeniem przed 3 października 2026 r.,
  6. równolegle uruchomić prace nad SZBI, obsługą incydentów i bezpieczeństwem łańcucha dostaw.

NIS2/KSC nie jest projektem do odhaczenia w Excelu. Ale przy spokojnym, etapowym podejściu jest też w pełni wykonalny – zwłaszcza jeśli zaczniesz od konkretu, jakim jest dzisiejsze otwarcie samorejestracji w Wykazie KSC

odsłuchaj treść

Jesteś zainteresowany monitoringiem bezpieczeństwa?

Jesteśmy do Twojej dyspozycji
napisz do nas: kontakt@netxp.pl /formularz lub zadzwoń (48) 881 556 929

autorem artykułu jest

Dariusz Piaścik

Z obszarem cyberbezpieczeństwa związany od 15 lat. Doświadczony doradca w temacie rozwiązań szeroko rozumianego bezpieczeństwa IT, bezpieczeństwa informacji oraz obowiązujących regulacji, opartych na agregacji i przetwarzaniu danych analitycznych i osobowych dla klientów biznesowych. Ponadto audytor wiodący ISO/IEC 27001:2022
Dawid Naskręcki
2026-05-07T13:38:27+02:002026-05-07|

To również może Cię zainteresować

Cyberbezpieczeństwo

Co zyskujesz kontaktując się z nami?

Precyzyjną i jasną ofertę skrojoną na miarę Twoich potrzeb.

✅ Bez ukrytych kosztów, atrakcyjne ceny i terminowe dostawy sprzętu oraz wdrożeń. .

Pełną elastyczność oraz wsparcie inżynierów i audytorów.

Wiedzę od certyfikowanego partnera z ponad 15-letnią praktyką.

Jesteśmy do Twojej dyspozycji

    Wysyłając wiadomość wyrażasz zgodę na to że Twoje dane osobowe będą przetwarzane w celu obsługi wysłanego zapytania, a ich administratorem będzie NETWORK EXPERTS Sp. z o.o. sp. k. ul. Chojnowska 8, 03-583 Warszawa. Wszystkie informacje dotyczące przetwarzania danych osobowych, w tym informacje o przysługujących Ci prawach, znajdziesz w polityce prywatności.- Polityka prywatności
    Zgadzam się na przetwarzanie moich danych pozostawionych w formularzu przez NETWORK EXPERTS Sp. z o.o. sp. k. ul. Chojnowska 8, 03-583 Warszawa w celu marketingowym. Wyrażenie zgody jest dobrowolne. Masz prawo cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

    Preferuję kontakt email

    Wyróżnienia

    Diamenty miesięcznika Forbes 2023   Diamenty miesięcznika Forbes 2024 Gazele biznesu 2023 Gazele biznesu 2024

    Network Expert w liczbach

    2012

    początek działaności

    70%

    zespołu to inżynierowie

    1800

    klientów

    5600

    realizacji

    Dane teleadresowe

    NETWORK EXPERTS Sp. z o.o. sp. k.

    ul. Chojnowska 8,
    03-583 Warszawa

    tel: (48) 22 100 61 92 lub
    tel: (48) 881 556 629
    e-mail: kontakt@netxp.pl

    NIP: 5242751391
    REGON: 146116650
    KRS: 0000639343

    Ważne linki

    ©2026 networkexpert.pl

    Przejdź do góry