Wpis do wykazu NIS2: kto musi się zarejestrować, do kiedy i jakie kary grożą za błąd?
Firma, która błędnie uzna, że nie podlega NIS2, może przegapić termin rejestracji i narazić się na wysokie kary. Nowe obowiązki rejestracyjne wynikające ze znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa wymagają od części przedsiębiorców samodzielnego sprawdzenia, czy podlegają regulacji. Przedsiębiorca nie powinien czekać na decyzję organu. Pierwszym krokiem jest ustalenie, czy firma jest podmiotem kluczowym albo ważnym i czy musi złożyć wniosek o wpis do wykazu.
Samoidentyfikacja: pierwszy obowiązek przedsiębiorcy
Nowelizacja ustawy o KSC opiera się na modelu, w którym to organizacja ocenia swój status i – jeżeli spełnia ustawowe kryteria – składa wniosek o wpis do wykazu podmiotów kluczowych lub ważnych.
Podmiot kluczowy lub ważny to organizacja działająca w określonych sektorach gospodarki, która ze względu na skalę działalności, rodzaj świadczonych usług albo znaczenie dla rynku i państwa zostaje objęta dodatkowymi obowiązkami związanymi z cyberbezpieczeństwem. Różnica między tymi kategoriami wpływa na zakres obowiązków, intensywność nadzoru i wysokość potencjalnych kar.
Ocena statusu powinna zacząć się od kilku pytań. Czy firma działa w sektorze wskazanym w ustawie? Czy spełnia kryteria kwalifikujące ją jako średniego lub dużego przedsiębiorcę? Czy świadczy usługi cyfrowe, telekomunikacyjne, chmurowe, DNS, usługi zaufania albo usługi polegające na zarządzaniu systemami IT lub cyberbezpieczeństwem klientów? Czy działa w grupie kapitałowej albo prowadzi kilka rodzajów działalności? Odpowiedzi na te pytania mogą przesądzić, czy obowiązek rejestracyjny powstaje.
Obowiązek może dotyczyć nie tylko energetyki, transportu czy ochrony zdrowia, ale również dostawców usług cyfrowych, chmurowych, pocztowych i kurierskich, podmiotów zarządzających systemami IT lub cyberbezpieczeństwem klientów, a także wybranych wytwórców i hurtowych dystrybutorów żywności, chemikaliów, urządzeń medycznych lub innych wyrobów przemysłowych, podmiotów zajmujących się gospodarowaniem odpadami oraz organizacji badawczych.
Kto powinien sprawdzić status w pierwszej kolejności?
Status powinny zweryfikować przede wszystkim firmy, które działają w sektorach regulowanych, przekroczyły próg kwalifikujący do grupy średnich lub dużych przedsiębiorców, świadczą usługi cyfrowe lub ICT, są częścią grupy kapitałowej albo dostarczają rozwiązania dla większych podmiotów z sektorów objętych NIS2. W takich przypadkach ryzyko błędnej kwalifikacji jest większe.
Warto też odróżnić obowiązek ustawowy od presji kontraktowej. Nie każdy dostawca podmiotu objętego NIS2 będzie automatycznie zobowiązany do wpisu do wykazu. Może jednak odczuć skutki regulacji pośrednio – przez nowe wymagania klientów, ankiety bezpieczeństwa, klauzule umowne, obowiązki raportowania incydentów lub audyty dostawców.
Dlatego nawet firma, która ostatecznie nie będzie podmiotem kluczowym ani ważnym, powinna sprawdzić swoją rolę w łańcuchu dostaw. Dla wielu kontrahentów NIS2 stanie się wymogiem biznesowym, a nie tylko regulacją administracyjną.
Termin na wpis do wykazu nie zawsze będzie taki sam
Podmiot kluczowy lub ważny składa wniosek o wpis do wykazu w terminie 6 miesięcy od dnia spełnienia przesłanek uznania go za taki podmiot. Dla firm, które spełniały kryteria już 3 kwietnia 2026 r., termin ten upływa zasadniczo 3 października 2026 r. Jeżeli firma spełni kryteria później, termin biegnie od tego późniejszego momentu.
Firma może wejść w zakres regulacji po wzroście zatrudnienia, przekroczeniu progów finansowych, rozpoczęciu nowej działalności, wejściu w sektor objęty ustawą, przejęciu innego podmiotu albo zmianie struktury grupy kapitałowej. Dlatego ocena statusu powinna być powiązana z procesami biznesowymi, a nie odłożona do działu IT jako zadanie techniczne.
Wniosek składa się elektronicznie w systemie teleinformatycznym przewidzianym w ustawie. Wpis następuje z chwilą złożenia wniosku w systemie. Jeżeli firma prowadzi kilka rodzajów działalności objętych regulacją, powinna wykazać je odrębnie. Ma to znaczenie dla spółek wielobranżowych, grup kapitałowych i organizacji, które łączą działalność produkcyjną, usługową oraz cyfrową.
Wniosek to nie tylko formularz
Rejestracja do wykazu NIS2 nie sprowadza się do podania nazwy firmy i numeru NIP. Wniosek obejmuje między innymi dane identyfikacyjne, sektor i rodzaj działalności, dane kontaktowe, informacje o państwach, w których firma prowadzi działalność, oraz dane techniczne, takie jak domeny internetowe i zakresy publicznych adresów IP wykorzystywanych w sposób ciągły.
Przygotowanie wniosku może wymagać współpracy kilku obszarów: zarządu, IT, cyberbezpieczeństwa, compliance, działu prawnego i osób odpowiedzialnych za dostawców. Problemem często nie jest samo kliknięcie w systemie, ale ustalenie, które informacje są aktualne, kto je potwierdza i kto będzie odpowiadał za późniejsze zmiany.
Dane formalne zwykle są łatwo dostępne. Trudniej bywa z informacjami o domenach, adresach IP, systemach, usługach i osobach odpowiedzialnych, bo często są rozproszone między różnymi działami. Jeżeli firma korzysta z usług zewnętrznych dostawców, część informacji może wymagać dodatkowej weryfikacji.
Wniosek zawiera również oświadczenie osoby zarządzającej podmiotem kluczowym lub ważnym, że dane są zgodne z prawdą. Oświadczenie jest składane pod rygorem odpowiedzialności karnej za fałszywe oświadczenie. Zarząd lub inna osoba uprawniona do podpisania wniosku powinny więc mieć podstawę do uznania, że dane zostały sprawdzone i są aktualne.
Po wpisie obowiązek nie znika. Zmiany danych objętych wpisem trzeba zgłaszać w terminie 14 dni od ich zaistnienia. Oznacza to konieczność ustalenia wewnętrznej procedury aktualizacji, na przykład przy zmianie domen, adresów IP, danych kontaktowych, dostawcy usług zarządzanych albo struktury działalności.
Brak wniosku nie oznacza braku ryzyka
Jeżeli firma spełnia przesłanki uznania za podmiot kluczowy lub ważny, ale nie złoży wniosku w terminie, organ może wpisać ją do wykazu z urzędu. W takim przypadku podmiot może zostać wezwany do uzupełnienia brakujących danych w terminie 6 miesięcy od doręczenia wezwania, pod rygorem kary pieniężnej.
Z perspektywy zarządu lepszym rozwiązaniem jest samodzielna analiza statusu niż oczekiwanie na pismo organu. Wpis z urzędu może ujawnić, że organizacja wcześniej nie przeprowadziła właściwej kwalifikacji, nie przygotowała danych i nie ustaliła odpowiedzialności wewnętrznej.
W kontekście rejestracji ryzykowne są zwłaszcza cztery sytuacje: brak wniosku mimo spełniania kryteriów, błędna kwalifikacja firmy, brak aktualizacji danych po wpisie oraz podpisanie oświadczenia bez wcześniejszej weryfikacji informacji.
Sankcje za naruszenia obowiązków w systemie NIS2 są wysokie. W przypadku podmiotów kluczowych kara może sięgać 10 mln euro albo 2% rocznego obrotu. Dla podmiotów ważnych progi te wynoszą odpowiednio 7 mln euro albo 1,4% tego obrotu. Przewidziano też kary minimalne: 20 000 zł dla podmiotów kluczowych i 15 000 zł dla podmiotów ważnych. W najpoważniejszych przypadkach, związanych z zagrożeniem bezpieczeństwa państwa, sankcje mogą być jeszcze wyższe.
Nowe przepisy oznaczają też osobiste ryzyko dla zarządu. Kara może zostać nałożona nie tylko na firmę, ale również na osobę zarządzającą podmiotem kluczowym lub ważnym. W sektorze prywatnym może sięgnąć 300% miesięcznego wynagrodzenia, a w podmiotach publicznych co do zasady 100% miesięcznego wynagrodzenia. Dlatego kwalifikacja firmy, dane wpisywane do wykazu i podpisywane oświadczenie powinny być wcześniej realnie zweryfikowane, a nie traktowane jako formalność.
Co warto zrobić teraz?
- Sprawdź, czy profil działalności firmy mieści się w sektorach objętych NIS2.
- Ustal wielkość firmy oraz wpływ grupy kapitałowej na kwalifikację.
- Zweryfikuj wyjątki, które mogą obejmować także mniejsze podmioty.
- Zbierz dane do wniosku, w tym nazwy domen, publiczne adresy IP, dane osób kontaktowych i informacje o dostawcach.
- Wyznacz właściciela procesu, który będzie odpowiadał za wpis i późniejsze aktualizacje.
Rejestracja do wykazu NIS2 powinna być potraktowana jako pierwszy test gotowości organizacji do wypełnienia nowych obowiązków związanych z cyberbezpieczeństwem. W razie wątpliwości warto omówić sytuację firmy z JGA Doradztwo Prawne i Podatkowe, aby potwierdzić status organizacji, termin rejestracji i zakres danych potrzebnych do wpisu.
