Kiedy zarejestrować firmę w systemie S46?

Po wejściu w życie polskiej nowelizacji ustawy o KSC (3 kwietnia 2026 r.) — w terminie określonym ustawą, najczęściej 30 dni od daty, w której firma stwierdziła, że spełnia warunki Podmiotu Kluczowego lub Ważnego. Rejestracji dokonuje się samodzielnie przez system S46 prowadzony przez NASK-PIB. Obowiązek jest aktywny — nikt nie wpisze firmy automatycznie.

Kto formalnie odpowiada za zarejestrowanie firmy w S46?

Zarząd, jako organ reprezentujący osobę prawną. W praktyce rejestracji może dokonać upoważniony pracownik (CSO, IOD, prokurent), ale odpowiedzialność za jej wykonanie i prawidłowość spoczywa na zarządzie. Brak rejestracji jest naruszeniem, za które podmiot odpowiada karą administracyjną; członek zarządu, który zaniechał — może odpowiadać regresowo z Art. 12a KSC.

Co trzeba podać podczas rejestracji w S46?

Dane identyfikacyjne podmiotu (KRS/NIP, adres, dane kontaktowe), wskazanie sektora i podsektora z Załączników I/II NIS2, dane osoby kontaktowej do spraw cyberbezpieczeństwa (CSIRT zwraca się do niej w razie zgłoszeń krzyżowych albo zapytania), oraz wstępną kategoryzację podmiot Kluczowy / Ważny. Szczegółowy zakres określi rozporządzenie wykonawcze do ustawy o KSC.

Czy rejestracja w S46 wystarcza, by mówić, że firma „spełnia NIS2”?

Nie. Rejestracja to formalne wpisanie firmy do rejestru organu nadzoru. Spełnienie NIS2 wymaga dodatkowo wdrożenia 10 środków technicznych z Art. 21, procedury raportowania incydentów (Art. 23), polityki łańcucha dostaw (Art. 21(2)(d)) oraz szkoleń zarządu (Art. 20). Sama rejestracja bez tych elementów oznacza pełną ekspozycję na karę przy pierwszej kontroli — z dodatkową świadomością organu, że podmiot jest objęty.

Kiedy zarejestrować w S46 — terminy, role, dane

Czym jest S46 i kto go prowadzi

S46 to system teleinformatyczny prowadzony przez NASK-PIB (Państwowy Instytut Badawczy NASK), służący do dwóch celów:

Rejestru podmiotów objętych KSC — Kluczowych i Ważnych. Tu firmy samodzielnie zgłaszają fakt podlegania obowiązkom NIS2.
Zgłoszeń istotnych incydentów — kanał cyfrowy, przez który dochodzi raportowanie 24h / 72h / 1 miesiąc do właściwego CSIRT.

System istnieje od kilku lat (powstał na podstawie ustawy o KSC z 2018 r.), ale jego pełen zakres obowiązków uruchomiła dopiero nowelizacja transponująca NIS2 — która weszła w życie 3 kwietnia 2026 r. Pełna analiza — Raportowanie do CSIRT.

Kalendarium rejestracji — od wejścia w życie do pierwszej kontroli

Realistyczny harmonogram od wejścia w życie polskiej ustawy (3 kwietnia 2026 r.):

Dzień 0 (wejście w życie) — uruchomienie obowiązku samorejestracji.
Dzień 1–30 — okres na zgłoszenie. Firma klasyfikuje się jako Podmiot Kluczowy / Ważny / nieobjęty i rejestruje status w S46. Próg czasowy zwyczajowy w europejskich transpozycjach NIS2 — Polska prawdopodobnie przyjmie analogiczny.
Dzień 30+ — brak rejestracji jest samodzielnym naruszeniem. Organ właściwy może z tego tytułu wszcząć postępowanie wyjaśniające albo nałożyć karę administracyjną.
Trzeci kwartał 2026 r. — prawdopodobne pierwsze plany kontrolne wobec Podmiotów Kluczowych. Firmy zarejestrowane są w pierwszej kolejności adresatami zapytań organu.

Kto powinien dokonać rejestracji

Formalnie — zarząd, jako organ reprezentujący osobę prawną. W praktyce delegowane do osoby pełniącej funkcję CSO, CISO, IOD albo prokurenta — zawsze na podstawie udokumentowanego pełnomocnictwa zarządu.

Wybór osoby kontaktowej do spraw cyberbezpieczeństwa (wpisywanej w S46) jest decyzją strategiczną. Ta osoba:

Otrzymuje wszystkie komunikaty z CSIRT (w tym tzw. „signal” o zagrożeniach sektorowych).
Jest pierwszą linią kontaktu podczas postępowania kontrolnego organu właściwego.
Powinna mieć dostęp 24/7 do procedury obsługi incydentów i uprawnienie do uruchomienia kaskady raportowania.

W mniejszych podmiotach rolę osoby kontaktowej często łączy się z funkcją zewnętrzną — vCISO albo prokurent ds. compliance. Wybór ma długoterminowe skutki dla skuteczności reakcji w razie incydentu.

Jakie dane wpisuje się do S46

Pełny zakres określi rozporządzenie wykonawcze do nowelizacji ustawy o KSC. Na podstawie obecnego projektu i praktyki innych państw UE, minimalny zakres obejmuje:

Dane identyfikacyjne podmiotu — KRS, NIP, REGON, adres siedziby, adres do doręczeń elektronicznych.
Klasyfikacja — Podmiot Kluczowy / Podmiot Ważny, sektor i podsektor z Załączników I / II NIS2, kryteria klasyfikacji (próg wielkości lub wpisanie z urzędu).
Dane osoby kontaktowej — imię, nazwisko, stanowisko, adres e-mail, numer telefonu (najczęściej dedykowany numer 24/7).
Dane zastępcy osoby kontaktowej — dla zapewnienia ciągłości w przypadku absencji.
Wstępna informacja o stosowanych środkach bezpieczeństwa — krótka samoocena na poziomie wysokim (np. czy podmiot ma SOC, czy stosuje MFA dla dostępu administracyjnego, czy ma plan ciągłości działania).

Szczegółowy zakres pól w formularzu S46 — i ewentualnych załączników — opublikuje NASK-PIB po wejściu w życie ustawy.

Co jeżeli firma nie wie, czy jest Podmiotem Kluczowym czy Ważnym

Decyzja klasyfikacyjna należy do zarządu i powinna być udokumentowana notatką z podstawą prawną. Trzy sytuacje typowe:

Sektor jasny, próg jasny — szybkie sprawdzenie w klasyfikatorze NIS2.
Sektor jasny, próg na pograniczu — wątpliwość rozstrzyga się na korzyść objęcia (zasada ostrożności). Pełna analiza — Podmioty Kluczowe i Ważne.
Sektor wątpliwy — konsultacja prawna lub z vCISO. Decyzję klasyfikacyjną zarząd dokumentuje notatką podsumowującą analizę.

Najczęstszy błąd organizacyjny. Zarząd rejestruje firmę w S46 jako Podmiot Ważny „na razie”, z zamiarem później ewentualnie skorygować na Kluczowy. To błąd: niedoszacowanie klasyfikacji jest samodzielnym naruszeniem. Organ właściwy, który stwierdzi, że podmiot powinien być Kluczowym (np. spełnia próg dużego przedsiębiorstwa), nałoży karę nie tylko za brak odpowiednich środków, ale także za błędną samoklasyfikację. Lepsze podejście: jeżeli wątpliwość — sklasyfikować się wyżej (Kluczowy) i ewentualnie zmienić w dół po udokumentowanej analizie.

Krótko

Rejestracja w S46 — obowiązek aktywny, samodzielny.
Termin: typowo 30 dni od ustalenia klasyfikacji, licząc od wejścia w życie nowelizacji KSC (3 kwietnia 2026 r.).
Odpowiedzialność formalna — zarząd; technicznie — delegowana osoba kontaktowa do spraw cyberbezpieczeństwa.
Sama rejestracja nie oznacza zgodności z NIS2 — wymaga uzupełnienia o środki Art. 21, Art. 20, Art. 23.
Niedoszacowanie klasyfikacji (Ważny zamiast Kluczowego) jest samodzielnym naruszeniem.

Marka Cyber Alterity prowadzi bezpłatną 20-minutową konsultację przygotowania do rejestracji w S46 — w tym przegląd notatki klasyfikacyjnej zarządu i decyzji o wyborze osoby kontaktowej.