Jednym z najczęstszych pytań dotyczących nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) jest: „Czy to dotyczy mojej firmy?”. O ile poprzednie przepisy celowały w wąską grupę gigantów rynkowych, o tyle nowa ustawa drastycznie rozszerza ten katalog. Dziś cyberbezpieczeństwo staje się obowiązkiem ustawowym dla tysięcy średnich i dużych przedsiębiorstw w Polsce. Zrozumienie, czy jesteś podmiotem kluczowym, czy ważnym, to pierwszy i najważniejszy krok w procesie dostosowania.

Kluczowe kryteria: Wielkość ma znaczenie Podstawowym filtrem, przez który musi przejść każda firma, są kryteria wielkości przedsiębiorstwa. Zgodnie z nowelizacją (i dyrektywą NIS 2), obowiązki nakładane są co do zasady na podmioty, które:

• zatrudniają co najmniej 50 pracowników, LUB

• osiągają roczny obrót przekraczający 10 mln EUR, LUB

• ich roczna suma bilansowa przekracza 10 mln EUR.

Jeśli Twoja firma spełnia te progi i działa w jednym z sektorów wymienionych w ustawie, gratulacje (lub współczucie) – najprawdopodobniej podlegasz pod KSC.

Podmiot Kluczowy vs Podmiot Ważny – jaka jest różnica? Nowelizacja wprowadza podział na dwie główne kategorie. Choć obie muszą dbać o cyberbezpieczeństwo, różnią się rygorem nadzoru i wysokością potencjalnych kar.

1. Podmioty Kluczowe (Sektory o wysokim krytyczności): To fundament funkcjonowania państwa. Należą tu m.in. energetyka, transport, bankowość, ochrona zdrowia, woda pitna, ścieki oraz infrastruktura cyfrowa (np. dostawcy usług chmury obliczeniowej, centrów danych).

2. Podmioty Ważne (Pozostałe sektory krytyczne): To firmy o dużym znaczeniu gospodarczym, ale mniejszym wpływie na bezpośrednie bezpieczeństwo życia. Znajdziemy tu m.in. usługi pocztowe, gospodarkę odpadami, produkcję i dystrybucję chemikaliów, produkcję żywności oraz produkcję wyrobów medycznych, komputerów czy urządzeń elektrycznych.

Wyjątki „z mocy prawa” Warto pamiętać, że niektóre podmioty stają się „kluczowymi” automatycznie, niezależnie od swojej wielkości. Dotyczy to m.in. dostawców publicznych sieci łączności elektronicznej, dostawców usług DNS czy podmiotów administracji publicznej. Jeśli Twoja firma świadczy specyficzne usługi zaufania lub jest jedynym dostawcą usługi w regionie, możesz zostać objęty ustawą nawet jako małe przedsiębiorstwo.

Jak przebiega proces wpisania do wykazu? W przeciwieństwie do starego systemu, gdzie decyzję wydawał organ administracji, teraz obowiązuje model samoidentyfikacji.

• Podmiot, który spełnia kryteria, musi samodzielnie wpisać się do specjalnego wykazu (prowadzonego w systemie teleinformatycznym) w terminie 2 miesięcy od dnia spełnienia przesłanek.

• Zaniechanie tego obowiązku nie zwalnia z odpowiedzialności – organy nadzorcze mogą same wpisać podmiot do wykazu „z urzędu” po przeprowadzeniu kontroli.

Rola wsparcia idealdata.pl Klasyfikacja nie zawsze jest oczywista. Przykładowo, jak czytamy w Q&A Ministerstwa Cyfryzacji, pojęcie „usługi” należy rozumieć szeroko – obejmuje ono również produkcję. Wiele firm z sektora przemysłowego może być zaskoczonych faktem, że nagle stały się „podmiotem ważnym”.

W idealdata.pl pomagamy przejść przez ten proces audytem kwalifikacyjnym. Analizujemy strukturę Twojej firmy, powiązania kapitałowe (które mogą wpływać na status MŚP) oraz specyfikę świadczonych usług, abyś miał pewność, w której grupie się znajdujesz i jakie obowiązki musisz spełnić w pierwszej kolejności.

Podsumowanie Błędna kwalifikacja lub jej brak to prosta droga do dotkliwych kar finansowych. W następnym wpisie przyjrzymy się konkretnym obowiązkom technologicznym – czyli co dokładnie musi się zmienić w Twojej infrastrukturze IT, gdy już wiesz, że podlegasz pod KSC.