Unternehmen werden mit neuen Verpflichtungen konfrontiert sein. Die Nichteinhaltung könnte zu Strafzahlungen in Millionenhöhe führen.

• Die Regierung hat eine Änderung des Nationalen Sicherheitsgesetzes (NSS) verabschiedet. Der Gesetzentwurf wurde dem Sejm vorgelegt.
• Die neuen Regelungen könnten bis zu 80.000 Unternehmen betreffen. Die bestehende Liste der Sektoren wurde um neue Bereiche erweitert: Abwasserentsorgung, Postdienste, Raumfahrt sowie die Produktion und der Vertrieb von Chemikalien und Lebensmitteln.
• Die von diesen Vorschriften erfassten Einrichtungen werden eine Reihe kostspieliger und arbeitsintensiver Lösungen umsetzen müssen.
• Verstöße gegen die Bestimmungen werden mit sehr hohen Strafen geahndet. Für wichtige Unternehmen können diese bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes (je nachdem, welcher Betrag höher ist) betragen, mindestens jedoch 20.000 PLN.

Die Cybersicherheitsrevolution in Polen gewinnt an Dynamik. Am 21. Oktober 2025 verabschiedete der Ministerrat eine Änderung des Gesetzes über das nationale Cybersicherheitssystem zur Umsetzung der EU-Richtlinie NIS2 .

Der Gesetzentwurf, der nun dem Parlament vorgelegt wird, führt Änderungen in einem beispiellosen Ausmaß ein, die Zehntausende von Unternehmen, Kommunalverwaltungen und öffentlichen Einrichtungen betreffen werden.

Die neuen Bestimmungen werden bis zu 80.000 Unternehmen betreffen.

Die wichtigste Änderung ist die drastische Erweiterung der Liste der von der Regulierung erfassten Einrichtungen.

Die Änderung ersetzt die bisherige Nomenklatur für Betreiber systemrelevanter Dienstleistungen und Anbieter digitaler Dienste durch zwei neue Kategorien: systemrelevante und wichtige Einrichtungen. Schätzungen zufolge werden die neuen Regelungen zwischen 40.000 und 80.000 Einrichtungen in Polen betreffen – eine Verdopplung gegenüber der aktuellen Situation.

Zur Kategorie der Schlüsselunternehmen zählen die größten Unternehmen aus Sektoren, die für Wirtschaft und Gesellschaft von grundlegender Bedeutung sind, wie beispielsweise Energie, Transport, Finanzen, Gesundheit und digitale Infrastruktur.

Der Katalog der Sektoren wurde um neue Bereiche erweitert: Abwasserentsorgung, Postdienste, Raumfahrt, Produktion und Vertrieb von Chemikalien und Lebensmitteln .

Besonders umstritten ist die Einbeziehung des gesamten öffentlichen Verwaltungssektors, einschließlich der lokalen Regierungen und ihrer Organisationseinheiten.

Das bedeutet, dass auch Schulen, Sozialzentren und kommunale Kultureinrichtungen die KSC-Vorgaben erfüllen müssen. Dies stellt eine erhebliche Herausforderung für viele kleine Kommunen dar, die mit Budgetkürzungen und Personalmangel zu kämpfen haben.

Der Grundsatz ist, dass die NIS2-Richtlinie für Unternehmen gilt, die mindestens als mittelständische Unternehmen gelten – d. h. mindestens 50 Mitarbeiter beschäftigen und einen Jahresumsatz von mehr als 10 Millionen Euro erzielen .

Kleinst- und Kleinunternehmen sind in der Regel nicht von den Anforderungen betroffen, es sei denn, sie werden als kritische Einrichtungen eingestuft oder erbringen bestimmte Dienstleistungen, wie beispielsweise die Registrierung von Domainnamen.

Risikomanagementsysteme, dreistufiges Vorfallmeldemodell

Die Änderung führt eine Reihe konkreter Verpflichtungen ein. Grundlage ist die Implementierung eines umfassenden Risikomanagementsystems innerhalb der Organisation, basierend auf einer IKT-Risikoanalyse, die neben digitalen Bedrohungen auch physische, menschliche und umweltbedingte Risiken berücksichtigt.

Die Organisationen werden verpflichtet, regelmäßig Risikoanalysen durchzuführen und auf Grundlage der Ergebnisse geeignete technische und organisatorische Maßnahmen zu ergreifen.

Zur Liste der Mindestsicherheitsmaßnahmen gehören Zugangskontrollrichtlinien, Verschlüsselung, Vorfallmanagement, Geschäftskontinuität (Geschäftskontinuitäts- und Notfallwiederherstellungspläne) und Lieferkettensicherheit.

Die Organisationen müssen außerdem Verfahren zur Reaktion auf Zwischenfälle festlegen und regelmäßige Schulungen für ihre Mitarbeiter, einschließlich des Managements, anbieten.

Das dreistufige Meldeverfahren für Vorfälle ist besonders anspruchsvoll. Innerhalb von 24 Stunden nach Feststellung eines schwerwiegenden Vorfalls muss eine Frühwarnung, innerhalb von 72 Stunden ein detaillierter Bericht und spätestens einen Monat nach der Meldung ein Abschlussbericht eingereicht werden. Diese Anforderung setzt ein effektives System zur Erkennung und Klassifizierung von Vorfällen voraus.

Es ist nicht mehr nur Sache der IT-Abteilung. Verantwortung liegt nun auf den höchsten Ebenen der Organisation.

Ein wesentliches neues Element ist die direkte Verantwortung des Managements für Cybersicherheit . Die Änderung verpflichtet Vorstände und Management, strategische Entscheidungen in Bezug auf Informationssicherheit und Finanzplanung zu treffen und die Umsetzung der Verantwortlichkeiten zu überwachen.

Dies ist ein Paradigmenwechsel – Cybersicherheit ist nicht länger ausschließlich Aufgabe der IT-Abteilungen, sondern entwickelt sich zu einer strategischen Priorität auf Vorstandsebene.

Führungskräfte haften persönlich finanziell und rechtlich für Verstöße gegen regulatorische Bestimmungen. Dies erhöht den Druck auf Entscheidungsträger in den höchsten Ebenen des Unternehmens erheblich.

Drakonische Sanktionen: Geldstrafen könnten Dutzende Millionen Zloty betragen

Das Gesetz sieht ein System abschreckender Geldbußen vor. Für Schlüsselunternehmen können die Geldbußen bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes (je nachdem, welcher Betrag höher ist) betragen, mit einer Mindestgeldbuße von 20.000 PLN. Für bedeutende Unternehmen können die Geldbußen bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes betragen, mit einer Mindestgeldbuße von 15.000 PLN.

Die härtesten Sanktionen gelten für die Nichterfüllung von Verpflichtungen gegenüber Hochrisikolieferanten und in Fällen, in denen der Verstoß eine ernsthafte Bedrohung für die nationale Sicherheit oder die öffentliche Ordnung darstellt. Die Strafen für jeden Tag der Verzögerung bei der Auftragserfüllung können zwischen 50.000 und 100.000 PLN liegen.

Neue Verpflichtungen bedeuten Kosten in Höhe von Hunderttausenden von Zloty.

Die Umsetzung der Anforderungen des Gesetzes ist mit erheblichen finanziellen Aufwendungen verbunden. Die Kostenschätzungen für die erste Phase der Umsetzung (Audit, Risikoanalyse, Dokumentation) für ein mittelständisches Produktionsunternehmen belaufen sich auf mehrere zehn bis hunderttausend Zloty.

Die nächste Phase mit der Technologieimplementierung kostet 150.000 bis 300.000 PLN, und die erweiterte Überwachung (SIEM/SOC) kostet weitere 200.000 bis 500.000 PLN oder mehr.

Eine ebenso gravierende Herausforderung ist der Fachkräftemangel. Laut der Polnischen Kammer für Informationstechnologie und Telekommunikation fehlen in Polen derzeit über 10.000 Cybersicherheitsexperten . Diese Qualifikationslücke hat sich nach Russlands Aggression gegen die Ukraine verschärft, und der Bedarf wird mit der Umsetzung der NIS2-Richtlinie rapide steigen.

Als Reaktion auf diese Herausforderungen initiierte das Ministerium für Digitales zusammen mit dem Verteidigungsministerium Schulungsprogramme für Einrichtungen innerhalb des nationalen Cybersicherheitssystems, die im Herbst 2025 begannen. Die Schulungen wurden in drei Kategorien unterteilt: für alle Mitarbeiter (Cyberhygiene), für Führungskräfte und IT-Abteilungen sowie spezialisierte Workshops.

Zeit zum Anpassen ist Zeit zum Handeln

Der Änderungsentwurf sieht eine sechsmonatige Übergangsfrist nach Verabschiedung des Gesetzes vor. Wenn wir bis dahin keine Vorbereitungsmaßnahmen ergreifen, wird diese Frist zu kurz sein.

Die Unternehmen stehen vor einem Dilemma: Entweder sie beginnen jetzt, trotz der fehlenden endgültigen Rechtssicherheit, oder sie warten auf die Veröffentlichung des Gesetzes und riskieren damit, dass ihnen die Zeit für eine ordnungsgemäße Umsetzung fehlt.

Es gibt fünf Maßnahmen, die unabhängig von der endgültigen Ausgestaltung der Vorschriften umgesetzt werden können:

1. Organisation einer Cybersicherheitsabteilung (intern oder extern),
2. Benennung von Personen, die für die Kontakte mit Aufsichtsbehörden, einschließlich CSIRT, zuständig sind,
3. detaillierte Bestandsaufnahme der Prozesse, Hardware und Software,
4. Risikoanalysen durchführen und Prioritäten festlegen,
5. Entwicklung eines Vorfallmanagementprozesses.

Kommunen in einer Sondersituation. Sonderprogramm.

Der öffentliche Sektor und insbesondere die Kommunalverwaltungen stehen vor besonderen Herausforderungen. Kommunale Verwaltungseinheiten kämpfen häufig mit Budgetengpässen und einem Mangel an lokalen Cybersicherheitsexperten.

Der Umfang der Verpflichtungen ist vergleichbar mit der Umsetzung der DSGVO, allerdings mit einem stärkeren Fokus auf IKT-Elemente.

Zur Unterstützung der Kommunen hat die Regierung das Programm „Cybersichere Kommunalverwaltung“ ins Leben gerufen, das den Kommunen 1,5 Milliarden PLN zur Verfügung stellt. Davon sind 1,2 Milliarden PLN für die Hardware- und Softwareinfrastruktur, 183 Millionen PLN für die Entwicklung von Verfahren, Zertifizierungen und Audits sowie 105 Millionen PLN für Mitarbeiterschulungen vorgesehen.

Die Gelder müssen bis Ende Juni 2026 verwendet werden.

Cyberangriffe nehmen zu, Polen gehört zu den am stärksten betroffenen Ländern.

Das Ausmaß der Cyberbedrohungen in Polen nimmt weiter zu. Im Jahr 2024 wurden über 600.000 Sicherheitsvorfälle gemeldet – 60 Prozent mehr als im Vorjahr.

Es wurden mehr als 100.000 tatsächliche Verstöße bestätigt, ein Anstieg um 23 Prozent.

Besonders alarmierend sind die Zahlen für schwere Angriffe, die um 57 Prozent gestiegen sind, und für Verstöße im öffentlichen Sektor, die um 58 Prozent zugenommen haben.

Polen ist das dritthäufigste Ziel von APT-Angriffen durch ausländische Staaten, vorwiegend Russland. Kritische Infrastrukturen und öffentliche Dienstleistungen – Transport, Energie, Wasser und Gesundheitswesen – sind am häufigsten betroffen.

Die Zukunft gehört Zero Trust und KI. Nicht nur eine Anforderung, sondern eine Notwendigkeit.

Die neuen Bestimmungen geben die Richtung für die Entwicklung der polnischen Cybersicherheit in den kommenden Jahren vor. Zu den wichtigsten Trends zählen die Sicherheitsautomatisierung mithilfe künstlicher Intelligenz, die Entwicklung von Echtzeit-Systemen zur Erkennung und Abwehr von Eindringlingen, die breite Anwendung der Multi-Faktor-Authentifizierung sowie die Zero-Trust-Architektur – die davon ausgeht, dass keinem Benutzer oder Gerät ohne vorherige Überprüfung vertraut werden sollte.

Das Gesetz über das nationale Cybersicherheitssystem ist nicht nur eine rechtliche Verpflichtung, sondern vor allem eine Investition in die Widerstandsfähigkeit der Organisation gegenüber Bedrohungen des 21. Jahrhunderts.

Im Zeitalter der digitalen Transformation ist Cybersicherheit eine geschäftliche Notwendigkeit und eine strategische Priorität für jede Organisation, die sicher und verantwortungsbewusst agieren möchte.