Od konwersji do konstytucji cyberbezpieczeństwa

Przyznam się Wam do czegoś. Ostatnio przeglądając statystyki swojego sklepu, wpadłem w trans analityczny tak głęboki, że nawet ekspres do kawy musiał wziąć nadgodziny. Współczynnik konwersji, porzucone koszyki, atrybucja ostatniego kliknięcia – to nasz chleb powszedni. W tym całym zgiełku przypomniałem sobie jednak o starej prawdzie: zanim podbijesz świat, sprawdź, czy Twoja firma nie trafiła właśnie na listę „ważnych”. I to nie dlatego, że Twoja mama tak twierdzi, ale dlatego, że od 7 maja 2026 roku wchodzi w życie nowy rozdział w obowiązkach polskich przedsiębiorców. Mowa o nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) i uruchomieniu samorejestracji do Wykazu Podmiotów Kluczowych i Ważnych. Brzmi poważnie? Bo jest poważnie. Usiądźcie wygodnie, bo zaraz przetłumaczę Wam ten prawniczy bełkot na nasz, ludzki język.

KSC, czyli nowy klub dla wybranych – kim są „kluczowi” i „ważni”?

Wyobraźcie sobie, że Wasz e-commerce to nie tylko strona WWW, ale mała fabryka. Nagle okazuje się, że została uznana za część infrastruktury krytycznej państwa – trochę jak elektrownia czy wodociągi. Tylko że zamiast prądu i wody, Wy produkujecie i przesyłacie… dane i usługi cyfrowe. To właśnie sedno KSC. Ustawa, zamiast patrzeć na rodzaj działalności przez pryzmat PKD, skupia się na tym, czy Wasza firma jest na tyle duża i istotna dla gospodarki, że jej ewentualny paraliż (np. przez atak hakerski) byłby dotkliwy dla obywateli lub innych biznesów.

Kogo dotyczy obowiązek samorejestracji? Mówiąc najprościej: nie każdego sklepu z jedną kamerą. Kryteria są jasno określone w załącznikach nr 1 i 2 do ustawy. To przede wszystkim wielkość przedsiębiorstwa (liczba pracowników, roczny obrót, suma bilansowa) i sektor, w którym działa. Dla nas, w e-commerce i B2B, najbardziej prawdopodobne kryteria to te związane z byciem dostawcą usług cyfrowych (np. internetowa platforma handlowa, marketplace, dostawca usług chmurowych), zarządzaniem systemami płatności czy po prostu byciem dużym przedsiębiorstwem w sektorze cyfrowym. To trochę jak z kruczkiem w regulaminie – sam musisz sprawdzić, czy podpadasz. Nie dostaniesz pisma poleconego z ministerstwa z zaproszeniem na herbatkę i certyfikat. Inicjatywa leży po Twojej stronie.

Samorejestracja do 3 października – nie przegapcie tego deadline’u!

Ministerstwo Cyfryzacji uruchomiło właśnie system, w którym sami, bez urzędniczych pośpiechów, możecie wpisać swoją firmę do wspomnianego Wykazu. To dobra wiadomość – kiedyś biurokracja wzywała z urzędu, teraz daje Wam narzędzie do ręki. Brzmi jak zrzucenie odpowiedzialności? Może trochę tak, ale za to macie kontrolę nad procesem i nie musicie czekać na wezwanie.

Kluczowe terminy: macie czas do 3 października 2026 roku. To nie jest abstrakcyjna data w dalekiej przyszłości. Przed złożeniem wniosku resort uprzejmie sugeruje, aby zweryfikować swój profil PKD (Polska Klasyfikacja Działalności). Dlaczego? Bo to na jego podstawie system może Was wstępnie zakwalifikować jako podmiot podlegający pod ustawę. To jak z deklaracją podatkową – lepiej sprawdzić dwa razy, niż potem pisać wyjaśnienia. Masz platformę B2B obsługującą setki hurtowni? A może system rezerwacyjny dla sieci hoteli? Lepiej od razu sprawdzić, czy Wasz numer PKD nie jest tym magicznym kluczykiem, który otwiera drzwi do wykazu KSC. Podmioty, które są już wpisywane z urzędu, dostaną 6 miesięcy na uzupełnienie brakujących danych – nie liczcie jednak, że to dotyczy właśnie Was, lepiej założyć scenariusz obowiązkowej samorejestracji.

Okiem eksperta: Szansa czy kolejny obowiązek z piekła rodem? (Wyważony komentarz)

Dobra, odłóżmy na chwilę instrukcje. Co to wszystko oznacza w praktyce dla kogoś, kto ma na głowie nie tylko SEO, ale i logistykę, płatności i reklamy? Spójrzmy na to z dwóch stron, bez emocji, jak na dane z Google Analytics.

Plusy i szanse:

Uporządkowanie bezpieczeństwa: Oficjalne znalezienie się w wykazie wymusza przeprowadzenie audytu i wdrożenie środków bezpieczeństwa. Dla wielu z Was to może być impuls, by w końcu porządnie zająć się polityką haseł, aktualizacjami i backupami. Wasz integrator płatności PayU będzie Wam mógł uścisnąć dłoń z większym szacunkiem.
Wiarygodność: Dla dużych kontrahentów B2B fakt, że jesteście wpisani do wykazu podmiotów kluczowych, może być argumentem: „Hej, oni o cyberbezpieczeństwie wiedzą więcej niż standardowy Januszex ze skryptem”. To element budowania zaufania, które w wycenie firmy ma realną wartość.
Zdrowy przymus: Często najtrudniej jest zacząć. Ustawa daje Wam solidnego kopa, by zrobić to, co odkładaliście od miesięcy – uporządkować infrastrukturę cyfrową.

Minusy i zagrożenia:

Biurokracja i stracony czas: Zmierzycie się z formularzami, analizą PKD i koniecznością zrozumienia przepisów. Czas, który moglibyście przeznaczyć na kampanię Google Ads czy integrację z fakturowniowymy, poświęcicie na „papierologię”.
Koszty: Dostosowanie się do wymogów KSC (audyty, nowe zabezpieczenia, dedykowany personel) nie jest darmowe. Dla mniejszych podmiotów, które wpadną do wykazu, może to być niemałe obciążenie finansowe.
Ryzyko niezastosowania: Co, jeśli spełniacie kryteria, ale tego nie wiecie i nie dokonacie wpisu? Ryzykujecie kary administracyjne. Niewiedza w oczywisty sposób nie zwalnia z odpowiedzialności.
Dodatkowa sprawozdawczość: Bycie w wykazie to nie jednorazowy wpis. To nowe obowiązki raportowania incydentów, co przy złożonych systemach e-commerce opartych na dziesiątkach integracji może być wyzwaniem.

Reasumując: traktuję to jak nowy obowiązek OPP czy zmianę w RODO – na początku chaos i frustracja, ale docelowo służy uporządkowaniu fundamentalnych kwestii, które mogą Was uratować przed katastrofą. A widziałem już sklepy, które po ataku ransomware płakały nad utraconą bazą klientów z 10 lat.

Kończąc ten wywód… sprawdziliście już swój PKD?

Zamiast więc zastanawiać się, czy wielki brat patrzy, lepiej sprawdzić, czy to przypadkiem nie Wasz sklep stał się dla państwa kimś „ważnym”. Zostawiam Was z tą myślą i jednocześnie pytam retorycznie, ale bardzo praktycznie: ile z Was już dzisiaj, czytając ten tekst, sprawdziło swój numer PKD i profil działalności pod kątem nowych przepisów KSC? Dajcie znać w komentarzach – czekam na Wasze pierwsze wrażenia z systemu samorejestracji, jeśli zdążyliście już w nim pogłówkować. Bez ocen, po prostu podzielcie się doświadczeniami.