Samorejestracja KSC/NIS2: dlaczego samo PKD i formularz z gov.pl to za mało?

Zanim wpiszesz firmę do Wykazu KSC, sprawdź, co naprawdę zgłaszasz

NIS2 i nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa wprowadzają nową rzeczywistość dla tysięcy organizacji w Polsce. Dla wielu firm pierwszym realnym krokiem będzie samoidentyfikacja, czyli odpowiedź na pytanie: czy jesteśmy podmiotem kluczowym albo ważnym i czy musimy wpisać się do Wykazu KSC?

Brzmi formalnie? W praktyce to nie jest tylko formularz do wypełnienia. To decyzja, która wymaga zrozumienia działalności firmy, systemów, dostawców, zależności operacyjnych i ryzyk. Ministerstwo Cyfryzacji wskazuje, że podmioty działające w sektorach objętych nowelizacją powinny samodzielnie przeanalizować, czy podlegają regulacji, w szczególności w oparciu o art. 5 oraz załączniki nr 1 i 2 do ustawy.

I właśnie tu zaczynają się pierwsze pułapki.

Samorejestracja to nie pierwszy krok. Pierwszy krok to dobra samoidentyfikacja

Na pierwszy rzut oka proces wydaje się prosty:

  1. sprawdzamy sektor,

  2. sprawdzamy PKD,

  3. sprawdzamy wielkość firmy,

  4. analizujemy art. 5 ustawy,

  5. podejmujemy decyzję: podlegamy albo nie.

Ale w praktyce każda z tych odpowiedzi może wymagać głębszej analizy.

Ministerstwo wskazuje, że przy samoidentyfikacji należy brać pod uwagę profil działalności, właściwy kod PKD i wielkość podmiotu. Jednocześnie zaznacza bardzo ważną rzecz: PKD ma charakter pomocniczy, a decydujące znaczenie ma faktyczny zakres świadczonych usług lub wykonywanych zadań.

To oznacza, że samo sprawdzenie wpisu w KRS albo CEIDG może nie wystarczyć.

Pułapka nr 1: „Mamy PKD produkcyjne, więc pewnie podlegamy”

Wyobraźmy sobie firmę, która formalnie ma wpisane PKD produkcyjne. Na pierwszy rzut oka wygląda jak klasyczny podmiot z sektora produkcji: działa w grupie kapitałowej, sprzedaje komponenty techniczne, ma magazyn, serwis, obsługę klientów, korzysta z ERP, WMS i systemów integracyjnych.

Podczas audytu zero okazuje się jednak, że lokalnie w Polsce firma nie prowadzi fizycznej produkcji. Komponenty kupuje z centrali za granicą, a polska spółka odpowiada za sprzedaż, logistykę, magazynowanie, serwis i wsparcie klientów.

Czy taka firma podlega pod KSC/NIS2 jako producent? A może jej rzeczywisty profil działalności jest inny? Czy znaczenie ma działalność poboczna? Czy istotne są systemy, które wspierają magazynowanie, serwis i obsługę klientów?

To właśnie pokazuje, dlaczego samo PKD nie wystarczy. W NIS2 trzeba zapytać nie tylko: „co mamy wpisane w rejestrze?”, ale przede wszystkim: „co realnie robimy, na jakich systemach to działa i kto może zatrzymać naszą usługę?”

Pułapka nr 2: „My tylko handlujemy, więc NIS2 nas nie dotyczy”

Drugi przykład działa w drugą stronę.

Firma deklaruje, że „tylko handluje” albo „tylko dostarcza rozwiązanie IT”. Nie jest producentem, nie jest szpitalem, nie jest bankiem, nie jest operatorem infrastruktury krytycznej.

Ale w praktyce dostarcza i utrzymuje system WMS, TMS, MES, ERP albo platformę B2B dla dużej firmy produkcyjnej, logistycznej lub transportowej. Ma dostęp do danych klienta, utrzymuje aplikację krytyczną operacyjnie, odpowiada za integracje, aktualizacje albo ciągłość działania systemu.

Wtedy pytanie nie brzmi już tylko: „czy sami podlegamy pod KSC/NIS2?”

Pojawia się drugie pytanie: „czy jesteśmy istotnym dostawcą w łańcuchu dostaw klienta, który podlega regulacji?”

Nawet jeśli firma nie będzie musiała wpisać się do Wykazu KSC, może bardzo szybko zostać odpytana przez klientów o procedury, zabezpieczenia, incydenty, ciągłość działania, dostęp do danych i dowody zgodności.

Co naprawdę trzeba przygotować do samorejestracji?

Jeżeli organizacja po analizie ustali, że spełnia kryteria z art. 5 ustawy, powinna złożyć wniosek o wpis do Wykazu KSC. Zgodnie z informacjami w Systemie S46, termin wynosi 6 miesięcy od dnia spełnienia przesłanek, a wniosek składa i podpisuje kierownik podmiotu albo osoba przez niego upoważniona.

To ważny moment: samorejestracja nie jest wyłącznie zadaniem dla IT. Wniosek zawiera oświadczenie kierownika podmiotu składane pod rygorem odpowiedzialności karnej za złożenie fałszywego oświadczenia.

A dane do formularza? Często są rozproszone po całej organizacji.

Przed rozpoczęciem procesu potrzebne będą m.in. dane identyfikacyjne podmiotu, dane administratora konta w Systemie S46, aktywne konto w systemie, ewentualne pełnomocnictwo oraz kod przestrzeni w S46, jeśli podmiot już ją posiada.

Sam formularz obejmuje m.in.:

  • informacje podstawowe,

  • rejestry działalności regulowanej,

  • klasyfikację działalności,

  • dane adresowe,

  • osoby kontaktowe,

  • publiczne adresy IP i domeny,

  • dane przedstawiciela,

  • dostawców usług zarządzanych,

  • informacje o wymianie informacji,

  • załączniki,

  • oświadczenia prawne.

To są dane, których compliance często nie ma, IT nie traktuje jako regulacyjnych, a zarząd może nawet nie wiedzieć, że będzie musiał je formalnie potwierdzić.

Co może zaskoczyć w samorejestracji?

Po pierwsze: system może uzupełnić część danych na podstawie NIP lub REGON, ale Ministerstwo podkreśla, że trzeba dokładnie sprawdzić ich poprawność.

Po drugie: jeśli wniosek albo podmiot z takim samym NIP lub REGON już istnieje w systemie, wniosek może uzyskać status „Oczekuje na weryfikację”. Wtedy trzeba sprawdzić, czy podmiot nie został już wpisany z urzędu albo czy ktoś inny nie złożył wniosku w jego imieniu.

Po trzecie: jeśli firma prowadzi kilka rodzajów działalności objętej ustawą, nie składa kilku osobnych wniosków. W jednym wniosku wykazuje każdy rodzaj działalności odrębnie w sekcji „Klasyfikacja”.

Po czwarte: część podmiotów może zostać wpisana do wykazu z urzędu. Ministerstwo wskazało, że do 6 maja 2026 r. dotyczy to m.in. podmiotów publicznych, przedsiębiorców telekomunikacyjnych, dostawców usług cyfrowych oraz podmiotów, które wcześniej miały status operatorów usług kluczowych.

Wpis z urzędu nie oznacza jednak, że temat jest „załatwiony”. Dane nadal trzeba uzupełnić, utrzymać i potrafić wykazać ich poprawność.

Dlaczego strona Ministerstwa nie wystarczy?

Materiały Ministerstwa są bardzo dobrym punktem startowym. Pokazują ogólną ścieżkę, terminy, podstawowe kryteria i logikę wpisu do Wykazu KSC.

Ale strona Ministerstwa nie odpowie za organizację na pytania, które są najtrudniejsze:

  • czy nasza działalność faktycznie mieści się w sektorach z załączników?

  • czy działalność poboczna też ma znaczenie?

  • czy nasz system informacyjny jest zależny od centrali albo spółek powiązanych?

  • czy nasi dostawcy są krytyczni dla ciągłości działania?

  • kto ma dane o publicznych adresach IP i domenach?

  • kto formalnie odpowiada za kontakt z KSC?

  • jakie dowody zgodności pokażemy podczas audytu?

  • czy jesteśmy gotowi operacyjnie, czy tylko formalnie?

Dlatego samo przeczytanie instrukcji i wypełnienie formularza może być za mało. Najpierw trzeba zrozumieć własną organizację.

Audyt zero: najbezpieczniejszy pierwszy krok przed rejestracją

Audyt zero nie jest raportem do szuflady. To praktyczna mapa rzeczywistości organizacji.

Dobrze przeprowadzony audyt zero pomaga odpowiedzieć na pytania:

  • czy podlegamy pod KSC/NIS2?

  • jako podmiot kluczowy, ważny, dostawca w łańcuchu dostaw — czy może wcale?

  • jakie usługi i procesy są zależne od systemów informacyjnych?

  • jakie systemy IT, OT, ERP, MES, WMS, TMS albo SCADA wspierają działalność?

  • którzy dostawcy ICT, B2B, JDG lub podwykonawcy mają znaczenie dla bezpieczeństwa?

  • jakie dane musimy zebrać przed rejestracją?

  • jakie dokumenty, procedury i dowody już mamy, a czego brakuje?

  • czy jesteśmy gotowi na audyt albo kontrolę?

Dopiero mając taką mapę, można świadomie podjąć decyzję o rejestracji i przygotować organizację do dalszych obowiązków.

A co po audycie? Dlaczego Excel szybko przestaje działać

W wielu firmach pierwszym odruchem będzie stworzenie Excela: lista systemów, lista dostawców, lista ryzyk, lista dokumentów, lista działań.

Na początku to działa. Przez chwilę.

Problem pojawia się wtedy, gdy:

  • dane są w kilku działach,

  • nikt nie wie, kto je aktualizuje,

  • nie ma historii zmian,

  • nie ma workflow,

  • nie ma właścicieli ryzyk,

  • nie ma dowodów wykonania działań,

  • rośnie liczba dostawców,

  • trzeba przygotować się do audytu,

  • pojawia się incydent,

  • zarząd pyta: „czy jesteśmy gotowi?”.

NIS2 nie wymaga tylko jednorazowego sprawdzenia. Wymaga utrzymania procesu, odpowiedzialności, dowodów i aktualnych danych.

I właśnie dlatego podczas webinaru pokażemy, jak przejść od audytu zero i rozproszonych plików do systemowego zarządzania zgodnością.

Webinar: pokażemy to praktycznie

17 czerwca o 11:00 zapraszamy na webinar:

NIS2: czy jesteś gotowy do rejestracji? Dostawcy, ryzyko i dane, które musisz mieć już teraz — miej to z głowy jeszcze przed wakacjami

Podczas spotkania pokażemy:

  • jak podejść do samoidentyfikacji krok po kroku,

  • dlaczego PKD nie wystarcza,

  • jakie błędy najczęściej popełniają organizacje,

  • jak wygląda audyt zero przed rejestracją,

  • jakie dane trzeba zebrać do Wykazu KSC,

  • jakie „niespodzianki” mogą pojawić się w procesie samorejestracji,

  • dlaczego Excel przestaje działać,

  • jak uporządkować dostawców, ryzyka, dokumentację, incydenty i dowody zgodności w jednym systemie.

W części poświęconej samoidentyfikacji pokażemy również praktyczne narzędzie wspierające wstępną ocenę statusu organizacji. Następnie przejdziemy przez case’y z życia: firmę z produkcyjnym PKD, która lokalnie nie prowadzi produkcji, oraz firmę „handlową”, która okazuje się istotnym dostawcą systemu dla klienta z sektora regulowanego.

W drugiej części spotkania Red Into Green pokaże, jak wygląda przejście od Excela do systemowego zarządzania zgodnością: ryzykami, dostawcami, dokumentacją, incydentami, działaniami naprawczymi i dowodami do audytu.

Kto poprowadzi spotkanie?

Webinar poprowadzimy wspólnie jako Spiree oraz Red Into Green.

Współprowadzącym będzie Arkadiusz Reiter — Strategic Governance & Risk Advisor w DAPR oraz ekspert ds. bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych, analizy ryzyka i compliance z ponad 20-letnim doświadczeniem.

Arkadiusz specjalizuje się w audytach bezpieczeństwa i zgodności, analizie ryzyka, ocenie dostawców i usług IT, ciągłości działania oraz wdrożeniach w obszarach RODO, NIS2, DORA, ISO 27001, ISO 27701 i ISO 22301. Jest audytorem wiodącym ISO 27001 i ISO 22301, posiada certyfikat CIPP/E oraz pełni funkcję Członka Zarządu SABI. W DAPR wspiera organizacje w przekładaniu wymagań regulacyjnych na praktyczne mechanizmy nadzoru, kontroli i zarządzania ryzykiem.

Dla kogo jest ten webinar?

To spotkanie jest szczególnie dla firm, które:

  • nie są pewne, czy podlegają pod KSC/NIS2,

  • mają działalność produkcyjną, techniczną, logistyczną lub operacyjną,

  • korzystają z systemów ERP, MES, WMS, TMS, SCADA, OT lub rozbudowanej infrastruktury IT,

  • są dostawcami dla większych organizacji albo sektorów regulowanych,

  • muszą uporządkować dostawców, systemy, ryzyka i dokumentację,

  • chcą przygotować się do samorejestracji bez działania „na ostatnią chwilę”.

Najważniejsza myśl

Nie chodzi tylko o to, żeby wpisać się do Wykazu KSC.

Chodzi o to, żeby wiedzieć, czy naprawdę trzeba to zrobić, co dokładnie zgłaszamy, jakie dane za tym stoją i czy będziemy potrafili później udowodnić zgodność.

Dlatego przed rejestracją warto zrobić krok wstecz: przeanalizować faktyczną działalność, systemy, dostawców i ryzyka.

A potem — zamiast zostawiać wszystko w Excelu — zbudować proces, który da się utrzymać również po wakacjach.

Zarejestruj się na webinar i sprawdź, co warto mieć z głowy jeszcze przed wakacjami.

Od alertu do decyzji. Dlaczego NIS2 zmienia sposób zarządzania incydentami bezpieczeństwa›