Aktywuj lub odnów podpis

Aktywuj podpis elektroniczny

Jak aktywować NOWY podpis elektroniczy Certum?

Aktywacja e-podpisu

Odnowienie podpisu elektronicznego

Aktywacja ODNOWIENIA e-podpisu Certum krok po kroku

Odnowienie e-podpisu
Aktywacja odnowienia podpisu elektronicznego - szczegółowa instrukcja
  • Produkty
Nr 1 w Polsce

Najpopularniejszy podpis elektroniczny
  • Produkty
  • Podpis elektroniczny
Nr 1 w Polsce

Najpopularniejszy podpis elektroniczny
  • Produkty
  • Certyfikaty bezpieczeństwa
  • Produkty
  • Karty i czytniki
  • Rozwiązania dedykowane
  • Rozwiązania dedykowane
  • Case study
Strona główna aktualności

2026-05-11

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (NIS2): rejestracja podmiotów i podpisy elektroniczne

W związku z nowelizacją przepisów o Krajowym Systemie Cyberbezpieczeństwa (KSC), stanowiącą wdrożenie dyrektywy NIS2 do polskiego porządku prawnego, firmy i instytucje działające w określonych sektorach zostały objęte nowymi obowiązkami. Jednym z kluczowych elementów zmian jest obowiązek samoidentyfikacji oraz wpisu do Wykazu podmiotów kluczowych i ważnych (Wykaz KSC).

Proces ten realizowany jest w pełni elektronicznie, z wykorzystaniem rządowego systemu teleinformatycznego.

Najważniejsze terminy związane z KSC

Ministerstwo Cyfryzacji opublikowało oficjalny harmonogram wdrożenia nowych przepisów. Z punktu widzenia przedsiębiorców kluczowe są następujące daty:

  • 13 kwietnia 2026 r. – uruchomienie Wykazu podmiotów kluczowych i ważnych (Wykaz KSC),
  • 13 kwietnia – 6 maja 2026 r. – wpisy do Wykazu KSC dokonywane z urzędu przez Ministra Cyfryzacji (dla wybranych kategorii podmiotów),
  • od 7 maja do 3 października 2026 r. – okres samorejestracji dla pozostałych podmiotów,
  • 3 października 2026 r. – upływ terminu na złożenie wniosku o wpis w ramach samorejestracji,
  • 3 kwietnia 2027 r. – koniec okresu dostosowawczego na wdrożenie obowiązków wynikających z ustawy,
  • 3 kwietnia 2028 r. – termin przeprowadzenia pierwszego audytu bezpieczeństwa (dla podmiotów kluczowych, które wcześniej nie były operatorami usług kluczowych).

Szczegółowy harmonogram dostępny jest na stronie Ministerstwa Cyfryzacji:
https://www.gov.pl/web/cyfryzacja/nowelizacja-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-ksc–najwazniejsze-terminy

Samoidentyfikacja i wpis do Wykazu KSC

Zgodnie z informacjami publikowanymi przez Ministerstwo Cyfryzacji, podmioty prowadzące działalność w sektorach objętych ustawą są zobowiązane do samodzielnej weryfikacji, czy spełniają kryteria uznania za podmiot kluczowy lub ważny.

Jakie podmioty są objęte obowiązkiem samoidentyfikacji?

Obowiązek samodzielnej weryfikacji dotyczy podmiotów prowadzących działalność w sektorach objętych nowelizacją ustawy o KSC, wdrażającą dyrektywę NIS2. Ustawa dzieli je na podmioty kluczowe oraz podmioty ważne, w zależności od sektora i skali działalności.

🔹 Podmioty kluczowe – sektory 

Do tej grupy należą m.in. podmioty działające w sektorach:

  • energii (elektryczność, gaz, paliwa, ciepło, energetyka jądrowa, wodór),
  • transportu (lotniczego, kolejowego, drogowego, morskiego i śródlądowego),
  • bankowości i infrastruktury rynków finansowych,
  • ochrony zdrowia (świadczenia zdrowotne, wytwarzanie i dystrybucja leków oraz wyrobów medycznych),
  • zaopatrzenia w wodę pitną i odprowadzania ścieków,
  • infrastruktury cyfrowej i komunikacji elektronicznej,
  • zarządzania usługami ICT,
  • sektora kosmicznego,
  • podmiotów publicznych (administracja rządowa i samorządowa).

🔹 Podmioty ważne – sektory 

Za podmioty ważne mogą zostać uznane m.in. firmy działające w obszarze:

  • usług pocztowych i kurierskich,
  • gospodarowania odpadami,
  • produkcji i dystrybucji chemikaliów,
  • produkcji i dystrybucji żywności,
  • produkcji przemysłowej (np. wyroby medyczne, elektronika, maszyny, pojazdy),
  • wybranych usług cyfrowych i badawczych.

Sama przynależność do branży nie zawsze wystarcza – znaczenie ma również wielkość podmiotu (np. liczba pracowników, obrót) lub szczególny charakter działalności. Odpowiedzialność za sprawdzenie statusu spoczywa na samym podmiocie – administracja nie wysyła indywidualnych decyzji informujących o objęciu ustawą. Weryfikacja powinna być dokonana w oparciu o rzeczywisty profil działalności, a nie wyłącznie kody PKD.

W przypadku pozytywnej kwalifikacji konieczne jest dokonanie wpisu do Wykazu KSC. Co istotne:

  • wpis do Wykazu KSC ma charakter obowiązkowy,
  • cały proces realizowany jest wyłącznie elektronicznie,
  • obsługa odbywa się w rządowym systemie IT S46.

Więcej informacji na temat samoidentyfikacji dostępnych jest na stronie:
https://www.gov.pl/web/cyfryzacja/nowelizacja-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-ksc—jak-dokonac-samoidentyfikacji

Składanie wniosku i formy podpisu elektronicznego

Wniosek o wpis do Wykazu KSC (a także jego zmianę lub wykreślenie) składany jest wyłącznie w postaci elektronicznej, za pośrednictwem systemu teleinformatycznego administracji publicznej.

Zgodnie z przepisami:

  1. wniosek składa i podpisuje kierownik podmiotu lub osoba przez niego upoważniona,
  2. dokument składany jest wyłącznie online,
  3. dopuszczalne formy podpisania wniosku to:

Szczegółowy opis procesu znajduje się na stronie:
https://www.gov.pl/web/system-s46/wpis-do-wykazu-ksc

Podpis kwalifikowany w praktyce organizacji

Choć przepisy nie wprowadzają wprost obowiązku posiadania kwalifikowanego podpisu elektronicznego przez kierownika podmiotu, w praktyce wielu przedsiębiorców wskazuje, że jest to rozwiązanie najbardziej uniwersalne i niezależne od konkretnego systemu administracyjnego.

Dotyczy to w szczególności:

  • spółek, w których wnioski podpisują członkowie zarządu lub wspólnicy,
  • jednoosobowych działalności gospodarczych, gdzie właściciel realizuje wszystkie obowiązki samodzielnie,
  • sytuacji, w których działa pełnomocnik – podpis kwalifikowany upraszcza obsługę formalną i ogranicza konieczność stosowania alternatywnych mechanizmów uwierzytelnienia.

W wielu organizacjach podpis kwalifikowany funkcjonuje jako narzędzie stosowane nie tylko przy rejestracji w Wykazie KSC, ale również w innych procesach formalnych, takich jak dokumenty korporacyjne, pełnomocnictwa czy kontakt z administracją publiczną.

Nowe obowiązki i perspektywa długofalowa

Nowelizacja ustawy o KSC istotnie wzmacnia wymagania w obszarze zarządzania cyberbezpieczeństwem. Po uzyskaniu statusu podmiotu kluczowego lub ważnego, organizacje będą zobowiązane m.in. do przeprowadzenia audytu bezpieczeństwa w określonym terminie. Doświadczenia z innych państw UE pokazują, że regulacje tego typu sprzyjają systematycznemu podnoszeniu poziomu bezpieczeństwa cyfrowego oraz porządkowaniu procesów związanych ze zgodnością regulacyjną.

Przeczytaj także