28.04.2026

CyberSec Update #17 – wpis do wykazu UKSC

Rejestracja do wykazu podmiotów kluczowych i ważnych możliwa już od 7 maja 2026 r.

Stało się. Prowadzona przez Ciebie organizacja podlega pod UKSC, a kolejnym obowiązkowym krokiem jest rejestracja w wykazie podmiotów kluczowych i podmiotów ważnych.

Czas na dopełnienie tego obowiązku biegnie nieubłaganie. Jeżeli w dniu wejścia w życie UKSC, tj. 3 kwietnia 2026 r., Twoja firma spełniała przesłanki wskazane w ustawie, wniosek o wpis do wykazu musisz złożyć najpóźniej do 3 października 2026 r.

Kto zostanie wpisany do wykazu z urzędu?

Ustawodawca zwolnił z obowiązku samodzielnego składania wniosku bardzo wąską grupę podmiotów, które zostaną wpisane do wykazu z urzędu. Są to wyłącznie:

  • przedsiębiorcy telekomunikacyjni,
  • dostawcy usług zaufania,
  • podmioty publiczne,
  • dotychczasowi operatorzy usług kluczowych.

Wszystkie pozostałe organizacje muszą samodzielnie złożyć wniosek o wpis do wykazu.

System S46 – gdzie i jak złożyć wniosek?

Wnioski o wpis do wykazu składane są za pośrednictwem systemu S46. System ten funkcjonuje już od kilku lat, jednak w ostatnim czasie przeszedł istotne zmiany związane z wdrożeniem UKSC.

Co prawda ustawa przewiduje możliwość wpisania podmiotów kluczowych i ważnych z urzędu również w innych przypadkach – jeżeli w terminie 6 miesięcy od momentu kwalifikacji pod UKSC same nie złożą wniosku. W praktyce nie rekomendujemy korzystania z tego rozwiązania.

Kary za brak wpisu do wykazu

Brak samodzielnego złożenia wniosku w terminie naraża organizację na nałożenie kary pieniężnej:

  • co najmniej 20 000 zł – w przypadku podmiotu kluczowego,
  • co najmniej 15 000 zł – w przypadku podmiotu ważnego.

Górny limit sankcji jest jednak znacznie wyższy i może wynieść:

  • do 10 mln euro lub 2% przychodów – dla podmiotu kluczowego,
  • do 7 mln euro lub 1,4% przychodów – dla podmiotu ważnego.

Ryzyko jest zatem realne i zdecydowanie nie warto go podejmować.

Podpis elektroniczny – kluczowy element procedury

Przed złożeniem wniosku należy pamiętać, że system S46 wymaga podpisania dokumentów przez reprezentanta:

  • kwalifikowanym podpisem elektronicznym lub
  • profilem zaufanym.

Warto zwrócić uwagę, że wiele popularnych rozwiązań (np. DocuSign) może nie spełniać wymogów kwalifikowanego podpisu elektronicznego.

Ma to szczególne znaczenie w przypadku spółek z zagranicznym zarządem. W takiej sytuacji praktycznym rozwiązaniem może być kwalifikowana pieczęć elektroniczna, z której może skorzystać każdy odpowiednio umocowany pracownik.

Jakie informacje trzeba wskazać we wniosku?

Poza podstawowymi danymi identyfikującymi podmiot oraz wskazaniem sektora działalności zgodnie z załącznikami do UKSC, we wniosku należy określić m.in.:

  • zakres publicznych adresów IP wykorzystywanych przez podmiot w sposób ciągły,
  • zakres nazw domen wykorzystywanych w sposób ciągły,
  • wielkość przedsiębiorstwa ustalaną na podstawie obrotów oraz poziomu zatrudnienia,
  • państwa członkowskie UE, w których podmiot prowadzi działalność,
  • czy organizacja zawarła umowę o świadczenie usług MSP w zakresie bezpieczeństwa na realizację zadań systemu zarządzania bezpieczeństwem danych.

S46 to nie tylko rejestr

Warto już teraz ustalić osoby odpowiedzialne za obsługę systemu S46 i nadać im odpowiednie uprawnienia. System ten nie służy wyłącznie do złożenia wniosku o wpis do wykazu.

To właśnie w S46:

  • zgłaszane będą incydenty cyberbezpieczeństwa,
  • publikowane będą informacje o podatnościach i cyberzagrożeniach,
  • udostępniane będą dobre praktyki.

Dlatego nie ma na co czekać – już teraz warto ustalić, kto w organizacji będzie odpowiadał za zarządzanie tymi obszarami. A o tym, co zrobić w przypadku wystąpienia incydentu cyberbezpieczeństwa, opowiemy wkrótce.

Autor

Alicja Szyrner

 alicja.szyrner@kwkr.pl

Eksperci KWKR

1 40 41 42 43 44 53

Newsletter

Chcesz być na bieżąco?
Zapisz się do naszego newslettera

Wpisując powyżej swój adres e-mail i klikając „Subskrybuję!” oświadczasz, że zapoznałeś/aś się i akceptujesz Regulamin serwisu oraz zapisujesz się do newslettera, czyli informacji o tematyce prawniczej, w tym informacji o istotnych wydarzeniach z dziedziny prawa, zmian legislacyjnych oraz działalności, usługach i produktach Kancelarii, za pośrednictwem komunikacji e-mail.

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu realizacji usługi newslettera, a tym samym wysyłania na podany adres e-mail informacji handlowych i marketingowych, zgodnie z Polityką Prywatności oraz Regulaminem serwisu. Więcej informacji o zasadach przetwarzania danych osobowych, w tym prawach, jakie Ci przysługują, znajdziesz w Polityce Prywatności.

Please wait...

Dziękujemy za zapisanie się do naszego newslettera