Samoidentyfikacja w NIS-2 — jak wpisać firmę do wykazu zanim minister wpisze ją za was

Trzy minuty i jedno pytanie, na które zarząd nie umie odpowiedzieć

Pewien zarząd średniej spółki energetycznej z południa Polski — czterystu pracowników, obroty po stronie dziewięciocyfrowej, dwa rozproszone ośrodki, własne centrum danych — spotyka się dwunastego maja na cotygodniowym kolegium. Punkt szósty porządku obrad: „samoidentyfikacja KSC". Wprowadzający — dyrektor IT — zadaje trzy pytania. Czy jesteśmy podmiotem kluczowym? Pochodnym? Ważnym? Tych pytań nikt na sali nie umie z dnia na dzień rozstrzygnąć. Po dwudziestu minutach dyskusji dyrektor finansowy mówi to, co myślą wszyscy: „Sprawdźmy więc, kto z naszych konkurentów już się wpisał." Sprawdzają. Z dziesięciu nazw, które znają z giełdy podwykonawców, żadna jeszcze nie figuruje w wykazie. Decyzja zarządu zostaje przesunięta na koniec miesiąca. Pojawi się przed nimi ponownie — pod większym ciśnieniem — w czerwcu, kiedy minister informacji w pojedynczym oświadczeniu prasowym potwierdzi, że nadzór już monitoruje dynamikę wpisów i przygotowuje pierwsze postępowania z urzędu wobec podmiotów ewidentnie kluczowych, które milczą.

Ten zarząd nie jest wyjątkiem. Nasze rozmowy diagnostyczne z dwoma tuzinami spółek, ośmioma jednostkami samorządu i czterema spółkami komunalnymi w pierwszych dwóch tygodniach maja 2026 r. układają się w jeden wzór. Ustawa weszła w życie 3 kwietnia. Aplikacja samoidentyfikacyjna ruszyła 7 maja. Większość zarządów zaczęła traktować temat jako pilny — dopiero teraz. I to mimo że termin 3 października 2026 r. brzmi jak komfort, a w rzeczywistości oznacza, że w trzecim tygodniu maja powinniście już mieć ustaloną kwalifikację, wybrany kanał zgłoszeniowy i wstępną wersję informacji wprowadzanych do aplikacji. Bo aplikacja — wbrew intuicji — nie jest formularzem na pięć kliknięć.

Co zmieniła samoidentyfikacja — i dlaczego to nie jest tylko inny formularz

Dotychczasowy reżim ustawy o krajowym systemie cyberbezpieczeństwa opierał się na decyzji administracyjnej wydawanej przez organ właściwy. Operatorem usługi kluczowej — w rozumieniu ustawy z 2018 r. — stawało się przedsiębiorstwo wskazane indywidualnie, po przeprowadzeniu postępowania. Krąg objętych był wąski, lista publicznie znana, a obowiązki — choć poważne — dotykały kilkuset podmiotów na całą Polskę.

Nowelizacja, która weszła w życie 3 kwietnia 2026 r., odwraca ten porządek o sto osiemdziesiąt stopni. Dyrektywa NIS-2 — a wraz z nią polska transpozycja — zastąpiła reżim wskazania reżimem samoidentyfikacji. Każdy podmiot prowadzący działalność w jednym z osiemnastu sektorów wymienionych w ustawie musi sam ocenić, czy spełnia ustawowe kryteria uznania za podmiot kluczowy lub podmiot ważny — i w terminie sześciu miesięcy od wejścia ustawy w życie zgłosić się do wykazu cyberbezpieczeństwa za pośrednictwem aplikacji uruchomionej 7 maja 2026 r. Krąg objętych obowiązkiem rośnie z kilkuset do kilkudziesięciu tysięcy podmiotów — i to dopiero szacunki, bo właśnie sześciomiesięczne okno samoidentyfikacji ma odpowiedzieć na pytanie, ile tych podmiotów rzeczywiście jest.

Tu kryje się pierwsza pułapka, której nie widać w lekturze ustawy. Decyzja o tym, czy jesteście podmiotem kluczowym, ważnym czy żadnym — jest waszą decyzją. Pełna ekspertyza prawna, ślad audytowy, dokumentacja kwalifikacji, podpis na uzasadnieniu — wszystko po waszej stronie. Organ właściwy nie wskazuje was z góry; weryfikuje was post factum. A jeśli stwierdzi, że podmiot ewidentnie kluczowy nie zgłosił się w terminie, minister informacji wydaje decyzję o wpisie do wykazu z urzędu — z całym pakietem konsekwencji ustawowych liczonych od momentu, w którym samoidentyfikacja powinna była nastąpić.

Osiemnaście sektorów — i pojęcie sektora pochodnego, o które wszyscy się potykają

Załącznik nr 1 do znowelizowanej ustawy o KSC wymienia jedenaście sektorów o szczególnym znaczeniu (z których wywodzą się podmioty kluczowe) — energia, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna, zarządzanie usługami ICT typu „business-to-business". Załącznik nr 2 dokłada do tego siedem sektorów innych — usługi pocztowe i kurierskie, gospodarka odpadami, produkcja, dystrybucja i przesyłanie substancji chemicznych, produkcja i przetwórstwo żywności, produkcja w sektorach o szczególnym ryzyku (komputery i elektronika, maszyny, pojazdy, sprzęt transportowy, urządzenia medyczne, wyroby farmaceutyczne), dostawcy usług cyfrowych (platformy handlowe, wyszukiwarki, serwisy społecznościowe) oraz badania naukowe. To z tych sektorów wywodzą się podmioty ważne.

Pierwsza pułapka klasyfikacyjna kryje się w słowie „działalność". Ustawa nie pyta, jaki jest wasz PKD główny — pyta, czy faktycznie świadczycie usługę w danym sektorze. Producent karmy dla zwierząt, który formalnie zarejestrowany jest pod kodem PKD odpowiadającym przetwórstwu, ale w którego strukturze połowę przychodów daje dystrybucja produktów chemicznych — wpada do dwóch sektorów na raz, z kwalifikacją sięgającą dalej z każdego z nich. Spółka komunalna prowadząca jednocześnie zaopatrzenie w wodę pitną, odbiór ścieków i gospodarkę odpadami — wpada do trzech sektorów, w każdym z innym progiem i innym statusem.

Druga pułapka — i z naszej praktyki najtrudniejsza — to status pochodny. Ustawa wprowadza pojęcia podmiotu kluczowego pochodnego (świadczącego usługę zarządzania ICT typu „business-to-business" dla podmiotu kluczowego z innego sektora) oraz włączenia podmiotów uznawanych za kluczowe niezależnie od wielkości — w tym dostawców publicznych sieci komunikacji elektronicznej, podmiotów wskazanych w aktach wykonawczych Komisji Europejskiej, kwalifikowanych dostawców usług zaufania, rejestrów najwyższego szczebla nazw domen, dostawców usług DNS oraz administracji publicznej szczebla rządowego. Spółka zewnętrzna obsługująca SOC dla operatora przesyłu energii musi wpisać się do wykazu — niezależnie od własnego rozmiaru. O tym, że jest pochodnym podmiotem kluczowym, decyduje to, czyje systemy obsługuje, a nie ilu ma własnych pracowników. To zdanie warto wkleić w pierwsze trzy zdania notatki dla zarządu.

Trzecia pułapka — sektor administracji publicznej. Zgodnie z ustawą i dyrektywą NIS-2 administracja publiczna szczebla centralnego jest objęta obowiązkowo, niezależnie od progów. Dla samorządu terytorialnego — gmin, powiatów, województw — kwestia była przedmiotem długiej dyskusji w trakcie prac legislacyjnych. Ostatecznie znowelizowana ustawa o KSC obejmuje jednostki samorządu terytorialnego oraz ich jednostki organizacyjne i spółki komunalne, z zachowaniem zróżnicowania obowiązków ze względu na wielkość i charakter świadczonych usług. W praktyce oznacza to, że mała gmina nie wymyka się obowiązkowi; gminny ośrodek pomocy społecznej, biblioteka czy szkoła — w zależności od konstrukcji — albo dziedziczą status macierzystej jednostki, albo same wpisują się do wykazu jako podmioty ważne.

Progi wielkościowe — gdzie kończy się micro-, a zaczyna ważny

Dla sektora prywatnego ustawa stosuje progi unijne odpowiadające definicji MŚP. Podmiotem kluczowym jest co do zasady przedsiębiorstwo, które w sektorze załącznika nr 1 zatrudnia co najmniej 250 osób lub osiąga obrót roczny powyżej 50 milionów euro i sumę bilansową powyżej 43 milionów euro. Podmiotem ważnym — przedsiębiorstwo, które zatrudnia od 50 do 249 osób lub osiąga obrót powyżej 10 milionów euro i sumę bilansową powyżej 10 milionów euro. Poniżej tych progów — co do zasady poza obowiązkiem, ale z istotnymi wyjątkami: podmioty wskazane przez ustawę jako kluczowe niezależnie od wielkości (operatorzy telekomunikacyjni, dostawcy usług zaufania, dostawcy DNS itd.) oraz podmioty pochodne.

W praktyce te trzy zdania kryją trzy niespodzianki, na które warto być przygotowanym. Pierwsza — liczba pracowników liczona jest w ujęciu skonsolidowanym dla grupy kapitałowej, jeżeli między spółkami zachodzą powiązania zgodnie z zaleceniem Komisji 2003/361/WE. Drobna spółka-córka holdingu z trzystoma pracownikami w spółce-matce może być podmiotem kluczowym, choć sama zatrudnia dwadzieścia osób. Druga — liczone są pełne etaty oraz pracownicy tymczasowi, z wyłączeniem stażystów; outsourcing usług produkcyjnych nie zwalnia z liczenia osób faktycznie zatrudnionych po stronie usługodawcy. Trzecia — w sektorach, w których ustawa wskazuje kluczowość niezależnie od progów, weryfikujcie kategorię najpierw z listą ustawową, a dopiero potem z arytmetyką progów.

Dla samorządu terytorialnego progi finansowe nie mają zastosowania. Decyduje charakter działalności i — w przypadku jednostek pomocniczych — przynależność do struktury administracji.

Aplikacja wykaz-ksc.gov.pl — co dokładnie wprowadza się w polu drugim i dlaczego trzeba przygotować to wcześniej

Aplikacja samoidentyfikacyjna, której prowadzącym jest minister właściwy do spraw informatyzacji, weszła do produkcji 7 maja 2026 r. Wejście do aplikacji odbywa się przez profil zaufany lub e-Dowód osoby uprawnionej do reprezentacji podmiotu w rozumieniu KRS lub innego rejestru właściwego. Pierwszy wniosek o wpis składa osoba reprezentująca podmiot zgodnie z reprezentacją wpisaną do KRS — to nie jest formularz, który może wypełnić dyrektor IT z własnego konta. Jest to oświadczenie woli organu osoby prawnej. W spółkach z reprezentacją łączną oznacza to konieczność udziału co najmniej dwóch członków zarządu — co dla harmonogramu zarządczego ma niebagatelne znaczenie.

Dane, które aplikacja wymaga, dzielą się na cztery bloki. Pierwszy — identyfikacja podmiotu: nazwa, NIP, REGON, KRS, dane teleadresowe siedziby i miejsc prowadzenia działalności, dane osób reprezentujących. Drugi — kwalifikacja sektorowa: wskazanie sektora i podsektora z załącznika ustawowego, opis świadczonej usługi, uzasadnienie kwalifikacji jako podmiot kluczowy lub ważny, w razie wielosektorowości — kwalifikacja w każdym z sektorów osobno. Trzeci — dane wielkościowe: liczba pracowników, obrót roczny, suma bilansowa, status w grupie kapitałowej. Czwarty — dane operacyjne: lista usług świadczonych w sektorze, państwa członkowskie, w których podmiot działa, dane kontaktowe osoby odpowiedzialnej za cyberbezpieczeństwo (pełnomocnik ds. cyberbezpieczeństwa lub odpowiednik), kanały zgłaszania incydentów.

Drugi blok — kwalifikacja sektorowa — jest jednocześnie najprostszy i najtrudniejszy. Najprostszy, bo formalnie wybór następuje z gotowej listy. Najtrudniejszy, bo do każdej kwalifikacji aplikacja wymaga uzasadnienia — pole opisowe, w którym składacie pod swoim podpisem dokument, do którego wróci za rok, za dwa albo za pięć każdy kontroler. Tu robi się ekspertyza prawna. Tu rozstrzyga się to, jaką w razie sporu macie linię obrony. I tu, w naszej praktyce, większość podmiotów improwizuje — co bywa kosztowne.

Czego nie warto pisać w polu „uzasadnienie kwalifikacji"

W trakcie pierwszych dwóch tygodni pracy aplikacji, w rozmowach z naszymi klientami, którzy konsultowali z nami treść uzasadnień, zebraliśmy katalog najczęściej powracających błędów. Pierwszy — uzasadnienie w trzech zdaniach typu „spółka świadczy usługi w sektorze X, przekraczamy progi". To nie jest uzasadnienie, to jest jednozdaniowa konkluzja. Uzasadnienie zawiera: opis prowadzonej działalności, wskazanie konkretnego punktu załącznika ustawowego, wyjaśnienie, dlaczego ten punkt obejmuje waszą działalność (przytoczenie definicji ustawowej i mapowanie jej na rzeczywistość), obliczenie progów ze wskazaniem źródeł danych (sprawozdanie finansowe, sprawozdania okresowe ZUS, dane GUS), wreszcie — wskazanie, czy istnieją powody, dla których powinniście być traktowani jako kluczowi mimo nieprzekroczenia progów, albo odwrotnie — dlaczego nie jesteście kluczowi, choć formalnie pasowalibyście do sektora.

Drugi — pomijanie powiązań korporacyjnych. Spółka, która działa w grupie kapitałowej, ale uzasadnia kwalifikację, jakby była niezależna, w razie kontroli ma poważny problem: organ właściwy ma dostęp do KRS i do dokumentacji zarządczej dostawcy i sam dolicza progi grupowe. Trzeci — opisywanie usługi językiem marketingowym. „Spółka jest liderem w obszarze cyfrowej transformacji" jest niepoprawne nawet jako wstęp; uzasadnienie operuje pojęciami ustawy, nie pojęciami strony www. Czwarty — brak wskazania państw członkowskich UE, w których podmiot działa. Dla podmiotów świadczących usługi transgraniczne właściwym organem może być organ innego państwa, a w niektórych przypadkach — wymagana rejestracja w więcej niż jednym państwie. Piąty, najpoważniejszy — wpisanie się jako podmiot ważny, gdy w rzeczywistości jesteście kluczowi. Ten błąd jest bardzo dobrze widoczny w danych z aplikacji, bo organ łatwo zestawia waszą deklarację z publicznie znanymi przychodami. Konsekwencją bywa decyzja o korekcie wpisu z urzędu i — w niesprzyjających okolicznościach — kara administracyjna za niewdrożenie obowiązków kluczowych w terminie obowiązującym kluczowych, nawet jeśli przez kilka tygodni żyliście w przeświadczeniu, że jesteście ważni.

Co dzieje się po wpisie — kalendarz, który zaczyna biec w ciągu trzech dni

Wpis do wykazu nie kończy procesu — on go zaczyna. Trzeci dzień po wpisie aktywuje obowiązek formalnego powołania osoby odpowiedzialnej za cyberbezpieczeństwo (pełnomocnika ds. cyberbezpieczeństwa) oraz zgłoszenia jej danych kontaktowych do właściwego CSIRT — sektorowego lub krajowego, w zależności od kwalifikacji. Czternasty dzień zamyka okno na pierwsze działania komunikacyjne wewnątrz organizacji: poinformowanie kadry kierowniczej o nowym statusie, ustanowienie wewnętrznej procedury raportowania, wprowadzenie tematu cyberbezpieczeństwa do najbliższego posiedzenia organu zarządzającego.

Dalej zaczynają biec dwa zegary, o których pisaliśmy w artykule dotyczącym nowelizacji ustawy o KSC. Pierwszy — 3 kwietnia 2027 r. — termin wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie (analiza ryzyka, polityka bezpieczeństwa, obsługa incydentów, ciągłość działania, łańcuch dostaw, bezpieczeństwo rozwoju i utrzymania, ocena skuteczności środków, cyberhigiena i szkolenia, kryptografia, kontrola dostępu i aktywa, uwierzytelnianie wieloskładnikowe). Drugi — 3 kwietnia 2028 r. — pełen wymiar kar administracyjnych. W praktyce oznacza to, że po wpisie do wykazu macie nieco mniej niż jedenaście miesięcy na zbudowanie systemu — a najwcześniej dziewiętnaście miesięcy spokoju przed pierwszą realną ekspozycją na karę administracyjną. „Spokój" w cudzysłowie: organ właściwy może prowadzić czynności kontrolne od dnia wpisu do wykazu, a stwierdzone zaniedbania bywają punktem wyjścia dla postępowań kończących się decyzjami już po kwietniu 2028 r.

Trzeci, mniej oczywisty obowiązek — raportowanie incydentów poważnych. Ten obowiązek nie czeka na kwiecień 2027 r. Liczy się od dnia wpisu do wykazu, jako konsekwencja przyjętej kwalifikacji. Trójstopniowy schemat — wczesne ostrzeżenie w 24 godziny, zgłoszenie pełne w 72 godziny, raport końcowy w 30 dni — wymaga gotowości operacyjnej, której większość średnich firm nie ma. Bez choćby zadeklarowanego adresu CSIRT-u i bez krótkiego mailowego notesu z procedurą trójstopniową obok telefonu CEO — pierwszy realny incydent skończy się przekroczeniem 24-godzinnego okna, a wraz z nim ekspozycją na sankcję autonomiczną, niezależną od tego, czy reszta SZBI jest zbudowana.

Co się stanie, jeśli zignorujecie samoidentyfikację

W krótkim okresie — nic. W praktyce ministerialnej, którą obserwowaliśmy w trakcie procedury rejestracji operatorów usług kluczowych w latach 2018–2023, wiadomo, że administracja działa cierpliwie, ale konsekwentnie. W ciągu pierwszych dwunastu miesięcy obowiązywania nowelizacji minister będzie przede wszystkim weryfikował kompletność wykazu — w oparciu o dane z KRS, GUS, sektorowych regulatorów (URE, UKE, UTK, UODO) i opinii organów branżowych. Listy podmiotów, które ewidentnie wpadają pod ustawę, a nie zgłosiły się w terminie, są — i będą — porównywane z listą wpisów.

Po upływie sześciomiesięcznego okna minister informacji otrzymuje wprost ustawową kompetencję do wydania decyzji administracyjnej o wpisie do wykazu z urzędu. Konsekwencje takiej decyzji są daleko idące. Po pierwsze — terminy ustawowe biegną tak, jakby wpis nastąpił w terminie, z czego najmocniej kuje 3 kwietnia 2027 r., bo na pełne wdrożenie wymagań pozostają wam już nie jedenaście miesięcy, lecz tyle, ile dzieli moment decyzji od kwietnia 2027 r. — w skrajnych przypadkach to kilka tygodni. Po drugie — w aktach sprawy pojawia się zapis o niewykonaniu obowiązku samoidentyfikacji, który jest okolicznością obciążającą przy ewentualnym wymiarze kary administracyjnej. Po trzecie — informacja o niezgłoszeniu się w terminie jest dostępna dla każdej kontroli i każdego audytora due diligence; w przetargach publicznych, w finansowaniu i w negocjacjach z ubezpieczycielem cyberryzyk — staje się obciążeniem.

Kara administracyjna za niezarejestrowanie się w wykazie w terminie jest autonomiczną podstawą sankcji — nie wymaga wykazania zaniedbania w zakresie środków bezpieczeństwa. Ustawa pozwala organowi nałożyć karę administracyjną w wysokości do 10 milionów euro lub 2% rocznego obrotu dla podmiotu kluczowego oraz 7 milionów euro lub 1,4% obrotu dla podmiotu ważnego. Tak, słownie: za sam brak wpisu do wykazu.

Co zrobić w pozostałych dniach maja

Sekwencję działań, którą rekomendujemy zarządom rozpoczynającym pracę dziś, układamy w sześć kroków, możliwych do wykonania w trzytygodniowym horyzoncie — kończącym się około połowy czerwca, z dwustronnym buforem do 3 października.

Krok pierwszy — kwalifikacja sektorowa. Jednostronicowy dokument z odpowiedziami na trzy pytania: w którym sektorze (z załączników 1 i 2) realizujemy działalność, czy spełniamy progi unijne MŚP (z konsolidacją grupową), czy istnieją powody, dla których jesteśmy kluczowi niezależnie od progów. Wykonalne w trzy dni z udziałem prawnika i CFO.

Krok drugi — inwentaryzacja usług. Lista wszystkich usług, które świadczycie w obrębie sektora — dane wejściowe do bloku czwartego aplikacji. Dla większości podmiotów to dwie–cztery godziny pracy zespołu operacyjnego.

Krok trzeci — uzasadnienie. Pięcio- do siedmiostronicowy dokument formalny, podpisywany przez członka zarządu, zawierający kwalifikację sektorową, rozliczenie progów i analizę powiązań grupowych. To dokument, który będzie wracał w każdym audycie przez najbliższe pięć lat. Pisze się go w siedem do dziesięciu dni roboczych, najlepiej z udziałem zewnętrznego pełnomocnika ds. bezpieczeństwa informacji albo radcy prawnego z doświadczeniem w obszarze KSC.

Krok czwarty — powołanie osoby odpowiedzialnej za cyberbezpieczeństwo. Funkcja, którą można pełnić wewnętrznie (najczęściej pełnomocnik ds. bezpieczeństwa informacji, czasem CISO, w mniejszych podmiotach pełnomocnik ds. ochrony danych) albo zlecić zewnętrznie. Dla większości średnich firm i samorządów rekomendujemy model hybrydowy — pisaliśmy o tym w artykule poświęconym outsourcingowi pełnomocnika ds. bezpieczeństwa informacji.

Krok piąty — komplet danych do aplikacji. Wyciągi z KRS, sprawozdanie finansowe, lista podmiotów powiązanych, dane teleadresowe, profil zaufany osób reprezentujących. Krok administracyjny, ale jego pominięcie potrafi opóźnić złożenie wniosku o tydzień.

Krok szósty — złożenie wniosku. Rekomendujemy podpisanie wniosku w pierwszej połowie września 2026 r. — z trzytygodniowym buforem przed deadline'em. Wnioski składane w ostatnim tygodniu września będą się piętrzyć, a aplikacja — jak każda nowo uruchomiona usługa publiczna — może spowolnić.

Spełnienie tego harmonogramu daje wam komfort, w którym kwiecień 2027 r. (pełne wdrożenie środków zarządzania ryzykiem) zastaje was z poukładaną dokumentacją SZBI, działającym pełnomocnikiem, przeprowadzoną analizą ryzyka i przeszkolonym zarządem. Jego zlekceważenie sprowadza was — w najlepszym razie — do trybu „dokończmy w październiku" i ekspozycji na wpis z urzędu.

Dlaczego z Fib.Code

Samoidentyfikacja w NIS-2 brzmi jak formalność administracyjna; w praktyce jest decyzją strategiczną zarządu, której konsekwencje finansowe, reputacyjne i operacyjne sięgają trzech kolejnych lat. Mylna kwalifikacja — w jedną albo w drugą stronę — kosztuje albo niepotrzebnie zbudowany SZBI po stronie przeszacowania, albo niewdrożone obowiązki i otwartą drogę do kary po stronie niedoszacowania. Decyzja musi być prawnie poprawna, finansowo opłacalna, operacyjnie wykonalna — i obroniona uzasadnieniem, do którego organ właściwy wróci nie raz.

Zespół Fib.Code obsługuje samoidentyfikację dla podmiotów z trzech grup, z którymi pracujemy najczęściej: samorządu terytorialnego (gminy, powiaty, województwa, ich jednostki podległe), spółek komunalnych (wod-kan, ciepłownictwo, gospodarka odpadami, komunikacja miejska) oraz średnich przedsiębiorstw z sektorów objętych załącznikami ustawy. Nasze podejście trzyma się trzech zasad. Pierwsza — najpierw kwalifikacja, potem aplikacja. Pełna analiza ekspercka zamknięta w dokument kwalifikacji powstaje, zanim ktokolwiek dotknie pola opisowego w aplikacji ministerialnej. Druga — uzasadnienie jako dokument obronny. Każde uzasadnienie piszemy w taki sposób, by w razie kontroli organ właściwy nie miał o co się zaczepić; każda liczba jest udokumentowana, każdy fragment definicji ustawowej zacytowany w pełnym brzmieniu. Trzecia — wpis to początek, nie koniec. Razem z wnioskiem dostarczamy harmonogram wdrożeniowy do kwietnia 2027 r. — z listą zadań, ról i terminów, w którym samoidentyfikacja jest pierwszą pozycją, a nie jedyną.

Pracujemy w modelu, w którym możemy w pełni wziąć na siebie ciężar samoidentyfikacji — albo w modelu wsparcia, w którym wasze zespoły wykonują pracę operacyjną, a my zapewniamy kontrolę jakości i dokument kwalifikacji. W obu wariantach efektem jest komplet dokumentacji odpornej na kontrolę i jasne ułożenie odpowiedzialności w organizacji.

Co zrobić w tym tygodniu

Jeden e-mail. Z zarządu — do CFO, dyrektora prawnego i pełnomocnika ds. bezpieczeństwa informacji (jeżeli jest powołany), z czterema pytaniami. Po pierwsze — w których sektorach z załączników 1 i 2 prowadzimy działalność. Po drugie — jakie są nasze dane wielkościowe, w ujęciu skonsolidowanym grupy kapitałowej. Po trzecie — czy istnieją powody, dla których jesteśmy kluczowi niezależnie od progów (np. status pochodny, sektor objęty kluczowością niezależną od wielkości). Po czwarte — kto u nas wykonuje pracę samoidentyfikacyjną do końca sierpnia.

Jeżeli na którekolwiek z czterech pytań odpowiedź brzmi „nie wiem" lub „nie mamy" — zostały wam niecałe cztery miesiące, a w trzecim tygodniu sierpnia zaczyna się sezon urlopowy. Czas zacząć.

Zapraszamy do kontaktu: l.grabowski@fibcode.com | fibcode.com/pl/kontakt. O bezpośrednio powiązanych tematach pisaliśmy w artykułach Nowelizacja KSC 2026 — co musisz wiedzieć po 3 kwietnia, Cyber Resilience Act — twoje urządzenie z pluskwą wkrótce zniknie z rynku UE oraz Wodociągi wobec NIS-2 — specyfika sektora wod-kan — samoidentyfikacja jest pierwszym ogniwem w łańcuchu wdrożenia, do którego wracają wszystkie trzy.