Single Blog

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa zaczęła obowiązywać 3 kwietnia 2026 r. Od tego momentu dla wielu firm ruszyły terminy na samoidentyfikację, wpis do wykazu oraz wdrożenie obowiązków organizacyjnych i technicznych. Do 3 października 2026 r. podmioty kluczowe i ważne mają czas na złożenie wniosku o wpis do wykazu, a do 3 kwietnia 2027 r. podmioty spełniające ustawowe kryteria powinny wdrożyć obowiązki wynikające z nowych przepisów.

W praktyce wiele pytań pojawia się dziś w firmach produkcyjnych: wtryskowniach, zakładach formowania tworzyw, producentach opakowań, komponentów z plastiku, elementów technicznych, pojemników czy innych gotowych wyrobów z granulatu.

Najczęstsza wątpliwość brzmi:

Czy firma, która kupuje tworzywo sztuczne lub granulat i produkuje z niego gotowy wyrób, powinna być traktowana jako podmiot z sektora „Produkcja, wytwarzanie i dystrybucja chemikaliów”?

Odpowiedź nie powinna być automatyczna. Sam fakt, że firma korzysta z tworzywa sztucznego, nie oznacza jeszcze, że prowadzi działalność polegającą na produkcji, wytwarzaniu lub dystrybucji substancji albo mieszanin chemicznych. Rządowe materiały Q&A wskazują, że w tym obszarze trzeba patrzeć na definicje z REACH, a nie rozszerzać ich ponad to, co wynika z przepisów. Jednocześnie Q&A wyjaśnia, że „dalszy użytkownik” jest odrębną kategorią w REACH i co do zasady nie jest objęty odesłaniem dotyczącym producenta substancji oraz dystrybutora.

Uwaga: ten artykuł nie jest poradą prawną. To informacja i analiza przygotowana na podstawie dostępnych materiałów, przepisów oraz praktycznej analizy przypadku firmy produkcyjnej. Ostateczna decyzja o kwalifikacji podmiotu należy do zarządu i powinna być podjęta po analizie faktycznego zakresu działalności.

Dlaczego ten temat jest tak ważny dla wtryskowni?

Wdrożenie NIS2/KSC to nie tylko „kolejny dokument do podpisania”. Dla firm objętych ustawą oznacza to między innymi konieczność uporządkowania zarządzania ryzykiem, bezpieczeństwa systemów informacyjnych, backupu, dostępu do danych, procedur reagowania na incydenty, monitoringu, bezpieczeństwa dostawców IT oraz dokumentacji. Ustawa wymaga od podmiotów kluczowych i ważnych wdrożenia systemu zarządzania bezpieczeństwem informacji w systemach informacyjnych używanych w procesach wpływających na świadczenie usług. Wśród wymaganych obszarów są między innymi szacowanie ryzyka, bezpieczeństwo nabywania i utrzymania systemów, bezpieczeństwo fizyczne, zasoby ludzkie, ciągłość łańcucha dostaw ICT, plany ciągłości działania, monitoring, cyberhigiena, kryptografia, zarządzanie aktywami i kontrola dostępu.

Dla zakładu produkcyjnego może to dotyczyć nie tylko komputerów biurowych. W praktyce chodzi również o system ERP, systemy magazynowe, komputery przy produkcji, monitoring infrastruktury, konta użytkowników, dostęp zdalny serwisantów, kopie zapasowe, serwery, sieć, systemy do planowania produkcji, systemy obsługi zamówień oraz urządzenia i oprogramowanie wspierające ciągłość pracy.

Dlatego błędna kwalifikacja działa w dwie strony. Firma, która bez podstaw przyjmie, że podlega pełnemu reżimowi jako podmiot ważny, może ponieść niepotrzebne koszty i wdrożyć procesy w nadmiernym zakresie. Firma, która błędnie uzna, że nie podlega, może narazić zarząd na konsekwencje organizacyjne, nadzorcze i finansowe.

Największy błąd: „używamy granulatu, więc jesteśmy chemią”

W przypadku przetwórców tworzyw sztucznych najczęściej pojawia się uproszczenie: skoro firma kupuje tworzywo, granulat, barwniki lub dodatki, to działa w sektorze chemikaliów.

To zbyt szybki wniosek.

Trzeba rozdzielić dwie sytuacje:

1. firma produkuje, wytwarza lub dystrybuuje substancje albo mieszaniny chemiczne;
2. firma kupuje surowiec, przetwarza go w procesie produkcyjnym i sprzedaje gotowy wyrób.

Dla wtryskowni typowy model wygląda następująco: przedsiębiorstwo kupuje granulat, wykorzystuje go we własnym procesie produkcji, a następnie sprzedaje gotowy wyrób, na przykład element z tworzywa, pojemnik, obudowę, część techniczną lub komponent dla innego producenta.

W takim modelu zasadnicze pytanie brzmi: czy firma faktycznie działa jako producent lub dystrybutor substancji albo mieszanin chemicznych, czy jako producent gotowego wyrobu?

Rządowe Q&A wskazuje, że samo podleganie REACH nie oznacza automatycznie objęcia ustawą o KSC, a o objęciu ustawą decyduje identyfikacja jako podmiot kluczowy lub ważny w rozumieniu NIS2 i KSC. W sektorze chemikaliów REACH pełni istotną rolę definicyjną, ale nie należy z niego wywodzić automatycznej kwalifikacji każdego podmiotu korzystającego z substancji lub mieszanin.

Co mówi załącznik nr 2 do ustawy o KSC?

Załącznik nr 2 do ustawy o KSC obejmuje sektory ważne. Wśród nich znajduje się sektor „Produkcja, wytwarzanie i dystrybucja chemikaliów”. W samym załączniku wskazano między innymi przedsiębiorstwa zajmujące się produkcją substancji oraz dystrybucją substancji lub mieszanin, odwołując się do art. 3 pkt 9 i 14 rozporządzenia REACH. Wskazano także przedsiębiorstwa zajmujące się wytwarzaniem z substancji lub mieszanin wyrobów, o których mowa w art. 3 pkt 3 REACH.

To ważny fragment, bo pokazuje, że analiza nie może kończyć się na jednym zdaniu: „firma produkuje z plastiku, więc na pewno nie podlega” albo „firma używa chemii, więc na pewno podlega”.

Prawidłowa analiza powinna odpowiedzieć przynajmniej na kilka pytań:

• co firma faktycznie produkuje i sprzedaje;
• czy sprzedaje substancje, mieszaniny, granulat, dodatki, barwniki lub półprodukty chemiczne;
• czy wyłącznie kupuje surowiec i wykorzystuje go do produkcji gotowego wyrobu;
• czy jej działalność mieści się w jednym z rodzajów działalności wskazanych w załączniku nr 1 albo nr 2;
• czy spełnia kryteria wielkości przedsiębiorstwa;
• czy prowadzi dodatkową działalność, na przykład dystrybucję surowców, mieszanin lub chemikaliów;
• czy występują inne podstawy kwalifikacji, niezwiązane z sektorem chemikaliów.

Ministerstwo Cyfryzacji w komunikacie o samoidentyfikacji podkreśla, że przedsiębiorcy powinni samodzielnie przeanalizować, czy podlegają regulacjom, biorąc pod uwagę profil działalności, właściwy kod PKD oraz wielkość podmiotu. Przy ocenie pomocniczo można korzystać z PKD, ale decydujący jest faktyczny zakres świadczonych usług lub wykonywanych zadań.

Przetwórca tworzyw jako „dalszy użytkownik” — dlaczego to ma znaczenie?

W wielu wtryskowniach proces wygląda następująco: firma nie produkuje substancji, nie tworzy mieszanin i nie prowadzi ich dystrybucji. Kupuje granulat lub tworzywo jako surowiec, a następnie wykorzystuje je w procesie technologicznym do produkcji gotowych wyrobów.

W takim przypadku mocnym argumentem jest to, że firma nie działa jako producent substancji ani dystrybutor substancji lub mieszanin. Rządowe Q&A wskazuje, że przedsiębiorstwa zajmujące się produkcją lub dystrybucją substancji albo mieszanin co do zasady nie obejmują dalszych użytkowników, ponieważ „dalszy użytkownik” jest odrębną kategorią w REACH i nie jest wskazany w tym odesłaniu.

Dla producenta gotowych wyrobów z plastiku oznacza to, że nie należy go automatycznie kwalifikować jako podmiotu z sektora chemikaliów tylko dlatego, że w procesie produkcji wykorzystuje tworzywo sztuczne.

To nie znaczy jednak, że każda wtryskownia może zakończyć analizę jednym zdaniem. Załącznik nr 2 zawiera także kategorię dotyczącą wytwarzania wyrobów z substancji lub mieszanin, dlatego trzeba zbadać pełny stan faktyczny, profil działalności i sposób rozumienia danego rodzaju podmiotu w konkretnym przypadku. W uzasadnieniu do projektu wskazano, że przy ocenie, czy coś jest wyrobem w rozumieniu REACH, analizuje się między innymi to, czy przedmiot podczas produkcji otrzymuje określony kształt, powierzchnię, konstrukcję lub wygląd zewnętrzny, który decyduje o jego funkcji bardziej niż skład chemiczny.

Przykład: producent gotowych wyrobów z granulatu

Wyobraźmy sobie firmę produkcyjną, która:

• kupuje granulat tworzywa sztucznego od dostawców;
• nie produkuje substancji chemicznych;
• nie wprowadza do obrotu mieszanin chemicznych;
• nie sprzedaje granulatu ani dodatków jako surowców;
• wykorzystuje granulat wyłącznie we własnym procesie produkcyjnym;
• sprzedaje gotowe wyroby z tworzywa, na przykład produkty ogrodnicze, techniczne lub użytkowe.

W takiej sytuacji nie należy automatycznie uznawać, że przedsiębiorstwo prowadzi działalność polegającą na produkcji lub dystrybucji substancji albo mieszanin chemicznych. W naszej ocenie taki podmiot powinien mieć możliwość obrony stanowiska, że nie kwalifikuje się do sektora chemikaliów wyłącznie na podstawie tego, że wykorzystuje tworzywo sztuczne jako surowiec.

Kluczowe jest jednak słowo: wyłącznie.

Jeżeli ta sama firma prowadzi dodatkowo sprzedaż granulatu, dystrybucję dodatków, konfekcjonowanie mieszanin, produkcję mieszanek lub działalność typowo chemiczną, analiza może prowadzić do innych wniosków.

Samoidentyfikacja KSC: zarząd powinien mieć ślad decyzyjny

Proces samoidentyfikacji nie jest wyłącznie zadaniem działu IT. To decyzja na styku prawa, organizacji, produkcji, finansów i technologii. Ministerstwo Cyfryzacji wskazuje, że proces samoidentyfikacji jest przeprowadzany samodzielnie przez dany podmiot, a analiza powinna opierać się w szczególności na art. 5 oraz załącznikach nr 1 i 2 do ustawy.

Dlatego zarząd powinien mieć udokumentowane, jaką analizę przeprowadzono i na jakiej podstawie przyjęto określone stanowisko. Dobra praktyka to przygotowanie krótkiej notatki kwalifikacyjnej, w której opisuje się:

1. faktyczny profil działalności;
2. główne i poboczne PKD;
3. rodzaj sprzedawanych produktów;
4. informację, czy firma produkuje lub dystrybuuje substancje albo mieszaniny;
5. analizę załącznika nr 1 i nr 2 do ustawy o KSC;
6. ocenę wielkości przedsiębiorstwa;
7. ocenę przedsiębiorstw powiązanych i partnerskich;
8. wnioski oraz decyzję zarządu.

To szczególnie istotne, ponieważ nowe przepisy wprowadzają odpowiedzialność kierownictwa za realizację zadań z zakresu cyberbezpieczeństwa. Komunikat Ministerstwa Cyfryzacji wskazuje wprost, że nowe przepisy wprowadzają odpowiedzialność kierowników za realizację zadań z zakresu cyberbezpieczeństwa.

A co, jeśli firma nie podlega KSC?

Nawet jeżeli analiza wykaże, że konkretna wtryskownia lub producent wyrobów z tworzyw sztucznych nie podlega pod KSC jako podmiot ważny, temat cyberbezpieczeństwa nie znika.

Dlaczego?

Bo firmy produkcyjne są coraz mocniej zależne od IT. Przestój systemu ERP, zaszyfrowanie serwera, brak dostępu do dokumentacji produkcyjnej, awaria backupu lub przejęcie konta pracownika mogą zatrzymać zamówienia, logistykę, fakturowanie i komunikację z klientami.

Dodatkowo więksi kontrahenci coraz częściej pytają dostawców o bezpieczeństwo łańcucha dostaw. Nawet jeśli firma nie ma formalnego obowiązku wynikającego z KSC, może zostać poproszona o potwierdzenie, że posiada podstawowe procedury, backup, kontrolę dostępu, zabezpieczenie poczty, ochronę endpointów, plan ciągłości działania i zasady reagowania na incydenty.

To oznacza, że NIS2 i KSC mogą wpływać na firmę pośrednio — przez wymagania klientów, audyty dostawców, zapisy umowne i standardy bezpieczeństwa w łańcuchu dostaw.

Co powinna zrobić wtryskownia lub przetwórca tworzyw?

Najrozsądniejsze podejście to nie panika i nie automatyczne wpisywanie się „na wszelki wypadek”, ale spokojna, udokumentowana analiza.

W praktyce warto przejść przez siedem kroków:

1. Opisz faktyczną działalność

Nie zaczynaj od PKD. Zacznij od realnego opisu działalności: co firma kupuje, co przetwarza, co sprzedaje, komu sprzedaje i czy prowadzi dodatkowy obrót surowcami, substancjami lub mieszaninami.

2. Sprawdź załącznik nr 1 i nr 2 do ustawy

Zweryfikuj, czy działalność mieści się w którymkolwiek sektorze lub podsektorze. Nie ograniczaj analizy wyłącznie do chemikaliów. Niektóre firmy produkcyjne mogą być objęte ustawą z innej podstawy.

3. Sprawdź wielkość przedsiębiorstwa

KSC różnicuje status podmiotów między innymi według wielkości. Trzeba uwzględnić liczbę zatrudnionych, dane finansowe oraz — tam, gdzie ma to znaczenie — przedsiębiorstwa powiązane i partnerskie. Ministerstwo wskazuje, że przy określaniu wielkości należy brać pod uwagę progi mikro, małych i średnich przedsiębiorstw, a także przedsiębiorstwa powiązane i partnerskie.

4. Oddziel produkcję wyrobu od produkcji substancji lub mieszaniny

To kluczowy punkt dla wtryskowni. Samo używanie granulatu nie oznacza jeszcze, że firma produkuje lub dystrybuuje substancje albo mieszaniny. Trzeba jednak osobno przeanalizować kategorię wytwarzania wyrobów z substancji lub mieszanin.

5. Sprawdź działalność poboczną

Czasem główna działalność firmy nie budzi wątpliwości, ale poboczna już tak. Przykład: produkcja gotowych wyrobów z tworzyw może być poza jedną kategorią, ale sprzedaż surowców, dodatków lub mieszanin może zmienić ocenę.

6. Udokumentuj decyzję

Nawet jeżeli wniosek brzmi „nie podlegamy”, warto mieć dokument pokazujący tok rozumowania. To ważne dla zarządu, audytu, kontrahentów i ewentualnej korespondencji z organem.

7. Zrób przegląd bezpieczeństwa IT niezależnie od kwalifikacji

To najbardziej praktyczny wniosek. Niezależnie od tego, czy firma formalnie podlega KSC, powinna wiedzieć, gdzie ma największe ryzyka: backup, dostęp zdalny, poczta, konta administratorów, serwery, aktualizacje, segmentacja sieci, systemy produkcyjne, ERP, monitoring i procedury awaryjne.

KSC to nie „papierologia”. Kupiona dokumentacja nie wystarczy

Warto podkreślić jeszcze jedną rzecz. Wdrożenie wymagań cyberbezpieczeństwa nie polega na kupieniu paczki dokumentów i odłożeniu jej do segregatora. Rządowe Q&A wskazuje, że organizacja musi być świadoma swoich aktywów, ryzyk i cyberzagrożeń oraz mieć wdrożone, przetestowane i stosowane w praktyce procedury zarządzania incydentami. Samo posiadanie dokumentacji „zgodnej z NIS2” nie zapewnia realnego cyberbezpieczeństwa.

To szczególnie ważne w firmach produkcyjnych. Dokument nie przywróci serwera po ransomware. Nie zatrzyma ataku na konto pocztowe. Nie sprawdzi, czy backup faktycznie da się odtworzyć. Nie wykryje podejrzanego logowania administratora.

Dlatego analiza prawna powinna iść w parze z analizą techniczną.

Jak NodeIT może pomóc firmom produkcyjnym?

NodeIT wspiera firmy w praktycznym uporządkowaniu środowiska IT: od rozmowy i wstępnej analizy, przez audyt lub przegląd infrastruktury, backupu, bezpieczeństwa, sieci, serwerów, usług chmurowych i dostępów, aż po rekomendacje, wdrożenia oraz utrzymanie środowiska.

W kontekście NIS2/KSC dla wtryskowni i przetwórców tworzyw szczególnie ważne są:

• audyt bezpieczeństwa IT;
• przegląd backupu i procedur odtwarzania;
• zabezpieczenie serwerów i stacji roboczych;
• monitoring infrastruktury;
• ochrona endpointów, EDR/XDR;
• uporządkowanie dostępów administratorów i użytkowników;
• segmentacja sieci;
• wsparcie w przygotowaniu technicznej części planu działań;
• przygotowanie firmy na pytania kontrahentów o cyberbezpieczeństwo.

NodeIT wdraża między innymi rozwiązania EDR, które umożliwiają ciągłe monitorowanie aktywności na urządzeniach końcowych oraz szybsze wykrywanie podejrzanych działań, zanim staną się poważnym incydentem. Oferuje też audyt, projekt, wdrożenie, konfigurację, monitoring i zarządzanie backupem, co jest jednym z kluczowych elementów odporności firmy na awarie i ransomware.

Podsumowanie: wtryskownia nie powinna wpadać do KSC automatycznie

W przypadku przetwórców tworzyw sztucznych najważniejsza jest precyzyjna analiza. Nie każda firma, która wykorzystuje granulat, działa jako producent lub dystrybutor substancji albo mieszanin chemicznych. W wielu przypadkach mówimy o produkcji gotowego wyrobu, a nie o działalności chemicznej w potocznym rozumieniu.

Jednocześnie załącznik nr 2 do ustawy wymaga dokładnego sprawdzenia, bo sektor chemikaliów odwołuje się również do wytwarzania wyrobów z substancji lub mieszanin. Dlatego bezpieczna konkluzja brzmi:

Wtryskownia lub producent wyrobów z plastiku nie powinien być kwalifikowany automatycznie. Powinien przeprowadzić samoidentyfikację, rozróżnić produkcję substancji/mieszanin od produkcji gotowych wyrobów, sprawdzić załączniki do ustawy i udokumentować decyzję zarządu.

A niezależnie od wyniku tej analizy — warto uporządkować cyberbezpieczeństwo. Bo nawet jeśli obowiązek ustawowy nie wystąpi, ryzyko biznesowe pozostaje.

FAQ

Czy wtryskownia automatycznie podlega pod NIS2/KSC?

Nie. Sam fakt korzystania z tworzywa sztucznego lub granulatu nie przesądza jeszcze o kwalifikacji. Trzeba sprawdzić faktyczny profil działalności, załączniki nr 1 i 2 do ustawy, definicje REACH oraz wielkość przedsiębiorstwa.

Czy produkcja pojemników albo elementów z plastiku to produkcja chemikaliów?

Nie należy tak zakładać automatycznie. Jeżeli firma kupuje granulat i wytwarza z niego gotowy wyrób, a nie produkuje ani nie dystrybuuje substancji lub mieszanin, ma argumenty, aby nie kwalifikować się jako producent lub dystrybutor chemikaliów. Nadal trzeba jednak przeanalizować pełną treść załącznika nr 2.

Czy „dalszy użytkownik” REACH jest objęty KSC?

Rządowe Q&A wskazuje, że co do zasady nie w odniesieniu do kategorii produkcji lub dystrybucji substancji i mieszanin, ponieważ „dalszy użytkownik” jest odrębną kategorią w REACH i nie jest wskazany w tym odesłaniu.

Czy PKD wystarczy do samoidentyfikacji?

Nie. PKD może być pomocnicze, ale decydujący jest faktyczny zakres działalności. Ministerstwo Cyfryzacji wskazuje, że przy ocenie należy brać pod uwagę rzeczywisty charakter prowadzonej działalności.

Czy firma, która nie podlega KSC, powinna inwestować w cyberbezpieczeństwo?

Tak. Brak formalnego obowiązku nie oznacza braku ryzyka. W firmie produkcyjnej awaria ERP, ransomware, utrata backupu lub przejęcie konta administratora mogą zatrzymać produkcję, logistykę i obsługę klientów.

Czy wystarczy kupić dokumentację NIS2?

Nie. Dokumentacja musi odzwierciedlać realne procedury, aktywa, ryzyka i środki bezpieczeństwa. Rządowe Q&A podkreśla, że sama dokumentacja schowana w „szafie NIS2” nie zapewni realnego cyberbezpieczeństwa.