Przejdź do treści
dyrektywanis2.com

Klasyfikacja

Podmioty Kluczowe i Podmioty Ważne

NIS2 wprowadza dwie kategorie firm objętych obowiązkami: Podmiot Kluczowy i Podmiot Ważny. To dwie różne klasy nadzoru, kar i obowiązków raportowych. Ten przewodnik wyjaśnia, jak Państwo sami klasyfikują swoją firmę i jak unika się błędu, który kończy się dotkliwą karą.

Skąd biorą się dwie kategorie

Dyrektywa NIS2 zastąpiła nieostre pojęcie „operatora usługi kluczowej" z poprzedniej dyrektywy NIS dwoma jasnymi kategoriami. Zostały one wprowadzone, aby usunąć rozbieżności między państwami członkowskimi — pod NIS w 2018 r. dany producent samochodów był uznany za operatora kluczowego w Niemczech, a w Polsce nie. NIS2 ujednolica klasyfikację: kryteria są obiektywne i wynikają z dwóch elementów — sektora oraz wielkości przedsiębiorstwa.

Definicja Podmiotu Kluczowego

Podmiotem Kluczowym (po angielsku essential entity) jest firma, która spełnia łącznie dwa warunki:

  1. prowadzi działalność w jednym z sektorów wskazanych w Załączniku I dyrektywy NIS2 (energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT B2B, administracja publiczna, przestrzeń kosmiczna);
  2. przekracza próg wielkości przedsiębiorstwa średniej skali — tj. zatrudnia powyżej 250 osób albo osiąga obroty powyżej 50 mln EUR rocznie oraz sumę bilansową przekraczającą 43 mln EUR.

Niezależnie od wielkości — niektóre podmioty są klasyfikowane jako Kluczowe „z urzędu". To dotyczy m.in. publicznych dostawców usług telekomunikacyjnych, kwalifikowanych dostawców usług zaufania (e-podpis, e-pieczęć), rejestrów TLD oraz administracji publicznej centralnego szczebla. Mniejsze firmy z sektorów krytycznych mogą być objęte regulacją przez wskazanie sektorowego organu właściwego — gdy ich usługa ma znaczenie systemowe (np. jedyny dostawca w danym regionie).

Definicja Podmiotu Ważnego

Podmiotem Ważnym (important entity) jest firma, która prowadzi działalność w sektorze wskazanym w Załączniku I lub Załączniku II dyrektywy i osiąga próg wielkości średniego przedsiębiorstwa w rozumieniu rekomendacji KE 2003/361/WE — czyli zatrudnia co najmniej 50 osób albo osiąga obroty co najmniej 10 mln EUR rocznie przy sumie bilansowej co najmniej 10 mln EUR.

Innymi słowy — Podmiot Ważny to często ta sama branża co Podmiot Kluczowy, ale w mniejszej skali, oraz wszystkie firmy z Załącznika II (logistyka, gospodarka odpadami, produkcja żywności, produkcja przemysłowa, chemikalia, dostawcy usług cyfrowych, organizacje badawcze). Mikro- i małe przedsiębiorstwa (poniżej 50 osób i 10 mln EUR obrotu) są co do zasady wyłączone — chyba że są wskazane „z urzędu".

Trzy kluczowe progi liczbowe — w jednym miejscu

KategoriaZatrudnienieObrót rocznySuma bilansowa
Mikro / małeponiżej 50poniżej 10 mln EURponiżej 10 mln EUR
Średnie → Podmiot Ważny50–24910–50 mln EUR10–43 mln EUR
Duże → Podmiot Kluczowy≥ 250≥ 50 mln EUR≥ 43 mln EUR

Wystarczy spełnić jeden z dwóch progów (zatrudnienia LUB obrotu). Klasyfikacja obejmuje grupy kapitałowe — wielkość liczy się dla całej grupy, nie pojedynczej spółki.

Co realnie różni te dwie kategorie

Zakres technicznych i organizacyjnych obowiązków jest identyczny — to ważne. Obie kategorie muszą wdrożyć dziesięć minimalnych środków z Art. 21 NIS2, raportować incydenty w trzech etapach (24 h, 72 h, 1 miesiąc) i prowadzić dokumentację zarządzania ryzykiem. Różnice dotyczą trzech obszarów:

  • Maksymalna kara administracyjna. Podmiot Kluczowy — do 10 mln EUR lub 2% rocznego obrotu globalnego. Podmiot Ważny — do 7 mln EUR lub 1,4% obrotu. W obu przypadkach stosuje się próg wyższy.
  • Charakter nadzoru. Podmiot Kluczowy podlega nadzorowi ex ante — organ właściwy może z własnej inicjatywy wszcząć kontrolę zgodności. Podmiot Ważny podlega nadzorowi ex post — kontrola zazwyczaj jest reakcją na incydent, sygnał z zewnątrz albo skargę.
  • Sankcje wobec osób kierujących. Polski projekt Art. 12a KSC przewiduje regres do 600% wynagrodzenia członka zarządu w obu kategoriach, ale praktyka pokazuje, że dla podmiotu kluczowego presja kontrolna jest istotnie większa.

Przykłady — Podmiot Kluczowy

  • Energetyka: operator sieci dystrybucyjnej, OSD elektroenergetyczny, dystrybutor gazu, operator magazynów ropy, ciepłownia miejska o przyłączu większym niż 5 MW.
  • Transport: linia lotnicza, port lotniczy, zarząd portu morskiego, spedytor kolejowy, zarządca infrastruktury kolejowej.
  • Bankowość: bank komercyjny, bank spółdzielczy (powyżej progów), SKOK większego rozmiaru.
  • Ochrona zdrowia: szpital powiatowy lub większy, laboratorium referencyjne, producent leków na receptę.
  • Woda i ścieki: MPWiK miasta wojewódzkiego, zarząd zbiornika retencyjnego.
  • Infrastruktura cyfrowa: operator chmury publicznej, rejestr nazw domen, IXP, operator CDN, większe centrum danych.

Przykłady — Podmiot Ważny

  • Logistyka i kurierzy: operator pocztowy, kurier paczkowy (DHL, DPD, InPost), spedytor TSL o większym wolumenie.
  • Gospodarka odpadami: zakład zagospodarowania odpadów komunalnych, sortownia, instalacja MBP, spalarnia odpadów medycznych.
  • Produkcja żywności: duży zakład mleczarski, producent mięsa, browar regionalny, zakład pakujący.
  • Produkcja przemysłowa: zakład motoryzacyjny, producent wyrobów medycznych, fabryka elektroniki, producent maszyn rolniczych.
  • Chemikalia: producent objęty REACH, dystrybutor chemii przemysłowej.
  • Dostawcy usług cyfrowych: platforma e-commerce, marketplace B2B, wyszukiwarka, większy SaaS.

Samoidentyfikacja w systemie S46

Najważniejsza zmiana w stosunku do poprzedniej ustawy o KSC: to przedsiębiorstwo, a nie urząd, ma obowiązek zgłoszenia się jako Podmiot Kluczowy lub Ważny. Zgłoszenie odbywa się przez krajowy portal teleinformatyczny S46 prowadzony przez NASK Państwowy Instytut Badawczy. Termin rejestracji liczony jest od dnia wejścia w życie nowelizacji ustawy o KSC (marzec 2026 r.) i wynosi — w projekcie — dwa miesiące.

Sam fakt rejestracji w S46 nie generuje natychmiastowego obowiązku kontroli ani kary. Generuje go jednak niezarejestrowanie firmy, która kwalifikuje się do jednej z dwóch kategorii — to jest traktowane jako odrębne naruszenie obowiązku informacyjnego i podlega karze administracyjnej. Nie ma sytuacji „nikt mnie nie zauważył": w trakcie kontroli sektorowej organ właściwy weryfikuje listę PKD i sumę bilansową firmy i sam stwierdza, że powinna ona być w S46.

Pytania, które najczęściej padają przy klasyfikacji

Wyjątki sektorowe i sytuacje specjalne

Kilka sytuacji wymyka się prostej klasyfikacji i warto je znać, zanim Państwa firma utwierdzi się w błędnym przekonaniu o swoim statusie:

  • Spółki z sektorem mieszanym. Firma prowadzi handel hurtowy żywnością (Załącznik II) oraz dystrybucję ciepła sieciowego (Załącznik I). Klasyfikacja przyjmuje wyższą kategorię — w tym przypadku Podmiot Kluczowy, bo wystarczy działalność w sektorze Załącznika I.
  • Holdingi z polską spółką serwisową. Spółka usługowa świadcząca usługi IT dla zagranicznej grupy może być zakwalifikowana jako „zarządzanie usługami ICT B2B" (Załącznik I, podpunkt 13) — niezależnie od tego, że klientem wewnątrzgrupowym jest tylko jedna spółka matka.
  • Wyłączenia podmiotowe. Dyrektywa wyłącza wprost niektóre kategorie: spółki obronne objęte odrębnym reżimem, organy ścigania, sądy, Sejm. Polska nowelizacja zachowuje to wyłączenie.
  • Działalność transgraniczna. Polska spółka świadcząca usługi cyfrowe (np. SaaS) klientom w wielu państwach UE klasyfikuje się w państwie głównej siedziby — czyli w Polsce. Wyjątek: niektórzy dostawcy ICT B2B mogą być uznawani za podmioty w każdym państwie, w którym mają znaczną liczbę klientów.

Co dalej, gdy klasyfikacja jest jasna

Jeżeli ustalili Państwo, że firma jest Podmiotem Kluczowym albo Ważnym — kolejny krok to przegląd dziesięciu obowiązków technicznych z Art. 21 NIS2. Omawiamy je w pillarze Obowiązki techniczne NIS2 razem z mapowaniem na ISO 27001 Annex A. Następnym krokiem jest zaplanowanie raportowania do polskich CSIRT — o tym piszemy w pillarze Raportowanie do CSIRT.

Jeżeli nie są Państwo pewni, w której kategorii się znajdują — albo podejrzewają, że firma może w ogóle nie podlegać dyrektywie — rekomendujemy audyt zerowy: 20-minutową rozmowę z ekspertem Alterity Solutions, która kończy się jednoznaczną klasyfikacją i listą działań priorytetowych na następne 30 dni. To najtańszy sposób uniknięcia błędnej decyzji o pominięciu rejestracji w S46. Sankcja za błąd jest tutaj szczegółowo opisana — Art. 12a i kary.

Umów konsultację