Zgodnie z przepisami znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa („UKSC”) podmioty, które spełniają przesłanki podlegania przepisom UKSC, mają obowiązek dokonać wpisu do wykazu podmiotów kluczowych i ważnych. Brak realizacji lub nienależyta realizacja tego obowiązku (polegająca np. na przekazaniu nieprawdziwych informacji) może skutkować nałożeniem sankcji finansowych lub choćby karnych.
Kiedy należy złożyć wniosek o wpis do wykazu podmiotów kluczowych i ważnych?
Ustawa reguluje, iż wniosek o wpis powinien zostać złożony w terminie 6 miesięcy od uzyskania statusu podmiotu kluczowego lub ważnego. A zatem większość podmiotów, które spełniały przesłanki uznania za podmiot najważniejszy lub istotny już w dniu wejścia w życie ustawy nowelizującej UKSC (tj. 3 kwietnia 2026 r.), będą musiały dokonać wpisu najpóźniej do 3 października 2026 r.
Wnioski składa się w postaci elektronicznej za pośrednictwem systemu S46. Moduł umożliwiający składanie wniosków o wpis do wykazu jest już dostępny pod adresem: https://wykaz-ksc.gov.pl/login.
Co powinien zawierać wniosek o wpis do wykazu?
Wniosek o wpis do wykazu podmiotów kluczowych lub ważnych powinien zawierać następujące dane:
- nazwę podmiotu,
- sektor, podsektor i rodzaj lub rodzaje podmiotu – zgodnie z załącznikiem nr 1 (sektory kluczowe) lub 2 (sektory ważne) do UKSC,
- adres siedziby i adres do korespondencji,
- adres do doręczeń elektronicznych (jeżeli został wpisany do bazy adresów elektronicznych),
- adres poczty elektronicznej,
- numer NIP (jeżeli został nadany),
- numer REGON (jeżeli został nadany),
- numer we adekwatnym rejestrze działalności regulowanej (jeżeli został nadany),
- zakres publicznych adresów IP wykorzystywanych przez podmiot w sposób ciągły,
- domeny internetowe wykorzystywane przez podmiot w sposób ciągły,
- dane osób do kontaktu z podmiotami z krajowego systemu cyberbezpieczeństwa,
- numer telefonu przyporządkowany do wykonywanej działalności,
- wielkość przedsiębiorstwa (w przypadku podmiotu leczniczego, który nie jest przedsiębiorcą, oraz urzędu gminy – deklarację wskazującą liczbę zatrudnionych osób),
- informację, w których państwach UE podmiot wykonuje działalność, wraz z określeniem rodzaju wykonywanej działalności,
- główne miejsce prowadzenia działalności w przypadku wybranych podmiotów,
- informację o zawarciu umowy z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa,
- informację o ustanowieniu przedstawiciela dla podmiotu, który nie posiada jednostki organizacyjnej w jednym z państw UE,
- informację o zawarciu przez podmiot porozumienia dotyczącego wymiany informacji dotyczących cyberbezpieczeństwa (porozumienia, o którym mowa w art. 8h ust. 6 UKSC).
Do wniosku należy również dołączyć oświadczenie kierownika podmiotu kluczowego lub ważnego potwierdzające, iż podane informacje są zgodne z prawdą. Oświadczenie to jest składane pod rygorem odpowiedzialności karnej. Natomiast wszelkie zmiany zawartych we wniosku danych należy zgłaszać w terminie 14 dni.
Które podmioty zostaną z urzędu wpisane do wykazu?
Co istotne, przepisy UKSC po nowelizacji zawierają wyjątki od obowiązku dokonania zgłoszenia do wykazu. Na mocy nowych przepisów Minister Cyfryzacji, w określonych przypadkach, dokonuje wpisu z urzędu na podstawie danych pochodzących z rejestrów publicznych, bazy adresów elektronicznych lub informacji przekazanych przez adekwatne organy. Wyjątek ten obejmuje następujące grupy podmiotów:
- przedsiębiorców telekomunikacyjnych;
- dostawców usług zaufania,
- podmioty publiczne,
- podmioty krytyczne (w rozumieniu nowelizowanej ustawy o zarządzaniu kryzysowym).
Ponadto, z urzędu wpisani zostaną również dotychczasowi operatorzy usług kluczowych, tj. podmioty podlegające regulacjom UKSC jeszcze przed 3 kwietnia 2026 r.
Wszystkie ww. podmioty będą zobowiązane do uzupełnienia brakujących danych w wykazie. Na realizację tego obowiązku będą mieć 6 miesięcy od dnia doręczenia im wezwania przez Ministra Cyfryzacji.
Jakie sankcje grożą za brak prawidłowej realizacji obowiązków dotyczących wpisu do wykazu?
Jeżeli podmiot najważniejszy lub istotny nie zrealizuje należycie obowiązków związanych z wpisem do wykazu podmiotów kluczowych i ważnych, adekwatny organ nadzoru, w zależności od sposobu naruszenia przepisów UKSC, może nałożyć na ten podmiot karę w wysokości:
- do 10 000 000 euro lub równowartości 2% przychodów osiągniętych w poprzednim roku obrotowym (ale nie mniej niż 20 000 zł) – w przypadku podmiotów kluczowych,
- do 7 000 000 euro lub równowartości 1,4% przychodów osiągniętych w poprzednim roku obrotowym (ale nie mniej niż 15 000 zł) – w przypadku podmiotów ważnych.
Ponadto w przypadku gdy podmiot, który spełnia przesłanki uznania go za podmiot istotny lub kluczowy, nie złoży wniosku o wpis, organ nadzoru może z urzędu dokonać wpisu tego podmiotu do wykazu.
W przypadku naruszeń związanych z dokonywaniem wpisu, UKSC przewiduje również odrębne kary, które są bezpośrednio nakładane na kierownika podmiotu kluczowego lub ważnego. Maksymalna wysokość tej sankcji wynosi 300% otrzymywanego przez niego wynagrodzenia, a w przypadku podmiotów publicznych maksymalna kwota kary może wynieść do 100% wynagrodzenia kierownika tego podmiotu.
Jednocześnie złożenie fałszywego oświadczenia, iż dane zawarte we wniosku o wpis są zgodne z prawdą, jest zagrożone karą do 8 lat pozbawienia wolności. Z zakresu odpowiedzialność za złożenie fałszywego oświadczenia jest wyłączone jedynie podanie zakresów adresów IP oraz zakresów nazw domenowych.
UKSC nadaje organom adekwatnym ds. cyberbezpieczeństwa uprawnienie do weryfikacji danych zawartych w wykazie. jeżeli organ nadzoru stwierdzi, iż są one niezgodnie ze stanem faktycznym, może wezwać podmiot najważniejszy lub istotny do ich skorygowania w terminie 7 dni od otrzymania wezwania. Niewykonanie tego obowiązku również może skutkować nałożeniem kary pieniężnej.
Co ważne, opisane wyżej kary pieniężne mogą być nakładane dopiero po upływie 2 lat od wejścia w życie znowelizowanej UKSC, tj. od 4 kwietnia 2028 r.
