Samoidentyfikacja na gruncie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC)
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), wdrażająca dyrektywę NIS 2 do polskiego porządku prawnego, wprowadza fundamentalną zmianę w sposobie obejmowania podmiotów obowiązkami z zakresu cyberbezpieczeństwa. Kluczowym elementem nowego modelu regulacyjnego jest samoidentyfikacja, czyli obowiązek samodzielnej oceny przez organizację, czy spełnia kryteria uznania jej za podmiot kluczowy lub podmiot ważny.
Samoidentyfikacja nie ma charakteru czysto formalnego. Jest to punkt wyjścia dla całego reżimu UKSC, determinujący zakres obowiązków w obszarze zarządzania ryzykiem, wdrażania systemu zarządzania bezpieczeństwem informacji, raportowania incydentów oraz podlegania nadzorowi organów właściwych.
Dlaczego samoidentyfikacja w UKSC jest tak istotna?
Błędna kwalifikacja statusu podmiotu może prowadzić do dwóch skrajnie niekorzystnych sytuacji. Z jednej strony może skutkować nieuzasadnionym ponoszeniem kosztów, w szczególności wdrażaniem rozbudowanych środków organizacyjnych i technicznych właściwych dla podmiotów kluczowych, mimo że podmiot faktycznie nie podlega tak rygorystycznym wymogom. Z drugiej strony – i jest to ryzyko znacznie poważniejsze – nieprawidłowa lub zaniechana samoidentyfikacja może prowadzić do naruszenia obowiązków ustawowych, a w konsekwencji do nałożenia sankcji administracyjnych.
W tym kontekście szczególne znaczenie ma fakt, że wpis do wykazu podmiotów kluczowych i ważnych ma charakter deklaratoryjny. Oznacza to, że status podmiotu wynika z samego spełnienia ustawowych przesłanek, a nie z dokonania wpisu. Brak złożenia wniosku o wpis nie powoduje więc „pozostania poza ustawą”. Przeciwnie – w przypadku niespełnienia obowiązku samoidentyfikacji organ właściwy może dokonać wpisu z urzędu, obejmując podmiot nadzorem regulacyjnym niezależnie od jego inicjatywy.
Zaniechanie lub błędne przeprowadzenie samoidentyfikacji nie chroni zatem przed odpowiedzialnością, lecz może prowadzić do sytuacji, w której podmiot zostaje objęty pełnym reżimem UKSC w sposób reaktywny i niekontrolowany, bez wcześniejszego przygotowania organizacyjnego i technicznego.
Samoidentyfikacja w sektorze publicznym – więcej niż formalność
W sektorze publicznym często pojawia się przekonanie, że status podmiotu kluczowego lub ważnego wynika automatycznie z charakteru jednostki. Nowelizacja UKSC pokazuje jednak, że taka uproszczona perspektywa jest błędna.
Status jednostki zależy m.in. od:
- rodzaju podmiotu (urząd, jednostka budżetowa, instytucja kultury, uczelnia, podmiot samorządowy, podmiot państwowy, itp.),
- zakresu faktycznie realizowanych zadań,
- w niektórych przypadkach – liczby zatrudnionych pracowników.
Przykładowo: urząd gminy może być zarówno podmiotem ważnym, jak i kluczowym, w zależności od progu zatrudnienia, podczas gdy inne jednostki organizacyjne gminy co do zasady pozostają podmiotami ważnymi. Kluczowe znaczenie mają także sytuacje zbiegu działalności – np. realizacja zadań z sektora dostaw wody pitnej, która może skutkować kwalifikacją jako podmiot kluczowy niezależnie od wielkości jednostki.
Samoidentyfikacja w sektorze prywatnym – sektor i wielkość to nie wszystko
W sektorze prywatnym samoidentyfikacja co do zasady opiera się na analizie kryteriów sektorowych oraz kryteriów wielkościowych, jednak nowelizacja UKSC znacząco komplikuje ten model, wprowadzając liczne wyjątki, doprecyzowania i mechanizmy korekcyjne. W praktyce oznacza to, że sam fakt prowadzenia działalności w określonej branży lub osiągnięcia określonych progów zatrudnienia czy obrotu nie zawsze przesądza o statusie podmiotu jako kluczowego lub ważnego.
Szczególnie problematyczne są:
- grupy kapitałowe, w których konieczna jest ocena niezależności systemów informacyjnych,
- działalność wielosektorowa,
- automatyczne przypisywanie statusu na podstawie kodów PKD, mimo że decydujące znaczenie ma faktyczna działalność.
Ocena samoidentyfikacyjna wymaga więc nie tylko analizy prawnej, ale często również technicznej i organizacyjnej.
Webinar: samoidentyfikacja podmiotów kluczowych i ważnych – praktyczne podejście
W odpowiedzi na liczne wątpliwości interpretacyjne zapraszamy na webinar „Samoidentyfikacja podmiotów kluczowych i ważnych na gruncie NIS 2 i UKSC”, który odbędzie się 10 kwietnia 2026 r. o godz. 12:00.
Webinar jest bezpłatny dla użytkowników LEX Cyberbezpieczeństwo oraz odpłatny (99 zł) dla pozostałych uczestników.
Podczas szkolenia omówimy:
- ramy prawne samoidentyfikacji;
- kryteria kwalifikacji podmiotów kluczowych i ważnych;
- najczęstsze błędy i ryzyka w procesie samoidentyfikacji;
- konsekwencje braku lub błędnej samoidentyfikacji, w tym wpis z urzędu do wykazu.
W trakcie webinaru będzie możliwość zadawania pytań do naszych Ekspertów. Nagranie ze szkolenia będzie dostępne w LEX Cyberbezpieczeństwo.
Webinar poprowadzą:
Mateusz Jakubik – prawnik specjalizujący się w cyberbezpieczeństwie i ochronie danych, łączący kompetencje prawne z praktyką IT. Zawodowo związany m.in. z Bonnier Business Polska (CISO) oraz InfinityLawTech (Partner). Certyfikowany auditor wiodący ISO/IEC 27001, ISO 22301 oraz ISO/IEC 42001. Doświadczenie zdobywał zarówno w kancelariach prawnych, jak i w spółkach sektora energetycznego. Na co dzień pełni funkcję Inspektora Ochrony Danych oraz wykładowcy akademickiego, koncentrując się na praktycznym stosowaniu przepisów w środowisku cyfrowym.
Rafał Tomasz Prabucki – doktor nauk prawnych i inżynier, menedżer zarządzania cyberbezpieczeństwem (Polskie Towarzystwo Informatyki), partner InfinityLawTech. Auditor wiodący ISO/IEC 27001, ISO 22301 oraz ISO/IEC 42001, posiadacz certyfikatu Certified in Cybersecurity (ISC)². Członek Społecznego Zespołu Ekspertów przy Prezesie UODO, adiunkt na Uniwersytecie Śląskim oraz ekspert Łukasiewicz AI. Specjalizuje się w regulacjach NIS 2, UKSC, ochronie danych i cyberbezpieczeństwie w ujęciu systemowym.
