Uruchomienie wykazu podmiotów kluczowych i podmiotów ważnych, do którego wpisywane będą podmioty objęte przepisami Ustawy o krajowym systemie cyberbezpieczeństwa,  nie jest tylko technicznym dodatkiem do wdrożenia NIS2 w Polsce. To moment, od którego dla wielu organizacji zaczyna się bardzo konkretna praktyka compliance: trzeba ustalić, czy podmiot w ogóle podlega pod przepisy ustawy, czy powinien znaleźć się w wykazie, kiedy ma złożyć wniosek i jak szybko musi zacząć realizować nowe obowiązki. Właśnie na tym etapie najłatwiej o błąd: część firm zakłada, że skoro nie dostała żadnego pisma, to temat jej nie dotyczy. To może być bardzo ryzykowne założenie.

Wykaz już ruszył – i ustawia tempo wdrożenia

Ministerstwo Cyfryzacji wskazało, że 13 kwietnia 2026 r. uruchomiono wykaz podmiotów kluczowych i ważnych. W okresie od 13 kwietnia do 6 maja 2026 r. odbywają się wpisy z urzędu, a od 7 maja do 3 października 2026 r.przewidziano samorejestrację dla podmiotów, które nie są wpisywane automatycznie. Dla nowych podmiotów możliwość korzystania z systemu S46 ma ruszyć 12 czerwca 2026 r., a okres dostosowawczy dla podmiotów, które już w dniu wejścia w życie ustawy spełniały przesłanki uznania za podmiot kluczowy albo ważny, kończy się 3 kwietnia 2027 r.

To ważne, bo wpis do wykazu nie ma charakteru „uznaniowego” ani konstytutywnego. Ustawa przesądza, że wpis, zmiana wpisu i wykreślenie mają charakter deklaratoryjny, a sam wpis następuje z chwilą złożenia wniosku w systemie teleinformatycznym. Innymi słowy: to nie wykaz „tworzy” obowiązek podlegania pod ustawę. Wykaz porządkuje i formalizuje status, który wynika już wcześniej z samych przepisów.

To nie jest zwykły rejestr

Ustawa wprost wskazuje, że wykaz służy trzem celom: identyfikacji podmiotów kluczowych i ważnych, zapewnieniu wymiany informacji w zakresie cyberbezpieczeństwa oraz umożliwieniu prowadzenia czynności nadzorczych. W praktyce oznacza to, że nie chodzi wyłącznie o listę nazw podmiotów. W wykazie mają znaleźć się również m.in. dane kontaktowe, sektory i rodzaje działalności, wykorzystywane domeny internetowe, zakresy publicznych adresów IP, informacje o administratorze konta, a także dane o korzystaniu z usług MSSP.

Co istotne, ustawodawca wyraźnie odciął te dane od zwykłego reżimu jawności. Do danych zgromadzonych w wykazie nie stosuje się przepisów o dostępie do informacji publicznej ani o otwartych danych. Publicznie mają być udostępniane tylko dane zagregowane, czyli liczba podmiotów w podziale na sektory, podsektory i rodzaje działalności. To ważny sygnał: ustawodawca od początku traktował wykaz jako narzędzie operacyjne i nadzorcze, a nie publiczny katalog firm.

Kogo to dotyczy? Nie każdej firmy, ale znacznie większej grupy niż dotychczas

Największy praktyczny problem polega na tym, że odpowiedź na pytanie „czy my podlegamy?” bardzo często nie wynika wprost z jednego przepisu. Zakres podmiotowy ustawy opiera się na połączeniu kilku elementów: sektora, rodzaju działalności, progu wielkości oraz wyjątków. Ustawa kwalifikuje jako podmioty kluczowe lub ważne m.in. podmioty z załącznika nr 1 i załącznika nr 2, przy czym dla wielu z nich znaczenie ma osiągnięcie co najmniej progu średniego przedsiębiorcy, a dla wybranych kategorii ustawodawca przewiduje reguły szczególne albo objęcie niezależnie od wielkości. Przepisy wskazują również, że ustawa obejmuje podmioty prowadzące działalność w Polsce, także przez oddział lub transgranicznie, a dla części podmiotów cyfrowych przewidziano reguły dotyczące głównego miejsca prowadzenia działalności i przedstawiciela w UE.

Najpierw kwalifikacja, potem wpis, a zaraz potem wdrożenie

Podmiot kluczowy lub ważny ma co do zasady 6 miesięcy od dnia spełnienia przesłanek na złożenie wniosku o wpis do wykazu. Jeżeli dane się zmienią, wniosek o zmianę wpisu trzeba złożyć w terminie 14 dni.

Samo zarejestrowanie to jednak dopiero początek. Ustawa wymaga wdrożenia systemu zarządzania bezpieczeństwem informacji w systemach wykorzystywanych w procesach wpływających na świadczenie usług, powołania wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo albo zawarcia umowy z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa, a także wykonywania obowiązków incydentowych. Kluczowe terminy incydentowe są bardzo krótkie: 24 godziny na wczesne ostrzeżenie, 72 godziny na zgłoszenie incydentu poważnego i co do zasady miesiąc na sprawozdanie końcowe.

Dla podmiotów, które już w dniu wejścia w życie ustawy spełniały przesłanki uznania za podmiot kluczowy albo ważny, ustawodawca przewidział okres dostosowawczy: na wdrożenie obowiązków z rozdziału 3 jest 12 miesięcy, a dla podmiotów kluczowych na pierwszy audyt – 24 miesiące.

Brak wpisu to nie drobny formalizm

Najważniejsza praktyczna informacja jest taka, że brak złożenia wniosku o wpis do wykazu został przez ustawodawcę wprost powiązany z sankcją. Organ właściwy może nałożyć karę pieniężną na podmiot, który w terminie z art. 7c ust. 1 nie złożył wniosku o wpis do wykazu. Dla podmiotu kluczowego kara może sięgnąć do
10 000 000 euro albo 2% rocznego przychodu, a dla podmiotu ważnego do 7 000 000 euro albo 1,4% rocznego przychodu. W przypadkach szczególnie poważnych, gdy naruszenie powoduje bezpośrednie i poważne cyberzagrożenie albo grozi poważną szkodą majątkową lub poważnymi utrudnieniami w świadczeniu usług, sankcja może wynieść nawet 100 000 000 zł.

Ustawa idzie dalej: karze może podlegać również kierownik podmiotu, w tym za niewykonanie obowiązku złożenia wniosku o wpis. Maksymalny wymiar tej kary to co do zasady 300% wynagrodzenia. Co więcej, jeżeli podmiot nie złoży wniosku sam, organ właściwy może wpisać go do wykazu z urzędu i następnie wezwać do uzupełnienia brakujących danych pod rygorem kolejnej sankcji.

Jednocześnie ustawodawca przewidział, że nowe kary pieniężne mogą być po raz pierwszy nakładane dopiero po upływie 2 lat od wejścia w życie ustawy. To nie oznacza jednak, że można spokojnie odłożyć temat. Przeciwnie: ten czas ma służyć kwalifikacji podmiotów, rejestracji i wdrożeniu obowiązków, a nie biernemu oczekiwaniu.

To jest moment na ocenę statusu – nie na zgadywanie

W praktyce największe ryzyko nie polega dziś na tym, że firma „nic nie wdrożyła”. Największe ryzyko polega często na tym, że błędnie założyła, iż ustawa jej nie dotyczy. Tymczasem kwalifikacja podmiotowa bardzo często wymaga analizy więcej niż jednego elementu: rzeczywistego modelu działalności, sektora, progów wielkości, relacji z podmiotami powiązanymi, zakresu systemów informacyjnych i roli w łańcuchu dostaw.

Właśnie w tym obszarze wsparcie prawne ma dziś największą wartość. W kancelarii pomagamy:

• ocenić, czy dany podmiot jest podmiotem kluczowym albo ważnym,
• ustalić, czy i kiedy powinien złożyć wniosek o wpis do wykazu,
• przygotować dokumenty i proces rejestracyjny,
• uporządkować obowiązki wdrożeniowe po stronie zarządu i organizacji,
• przełożyć wymagania ustawy na dokumentację, procedury i relacje kontraktowe z dostawcami.

Jeżeli nie masz pewności, czy Twoja organizacja powinna znaleźć się w wykazie, to właśnie teraz jest najlepszy moment, żeby to sprawdzić. W wielu przypadkach problem nie polega na braku dobrej woli, tylko na tym, że odpowiedź naprawdę nie wynika z przepisów „na pierwszy rzut oka”.