Las empresas se enfrentarán a nuevas obligaciones. El incumplimiento conllevará multas millonarias.

• El gobierno ha aprobado una enmienda a la Ley del Sistema Nacional de Seguridad (SNS). El proyecto de ley ha sido presentado al Sejm.
• La nueva normativa podría abarcar hasta 80.000 entidades. La lista de sectores existentes se ha ampliado para incluir nuevas áreas: eliminación de aguas residuales, servicios postales, sector espacial y producción y distribución de productos químicos y alimentos.
• Las entidades sujetas a estas regulaciones tendrán que implementar una serie de soluciones costosas y que requieren mucha mano de obra.
• Las infracciones de la normativa se sancionarán con multas muy severas. Para las entidades clave, estas multas pueden alcanzar los 10 millones de euros o el 2 % de la facturación anual (la cantidad que sea mayor), con un mínimo de 20 000 PLN.

La revolución de la ciberseguridad en Polonia está cobrando impulso. El 21 de octubre de 2025, el Consejo de Ministros aprobó una enmienda a la Ley del Sistema Nacional de Ciberseguridad , implementando la directiva NIS2 de la UE .

El proyecto de ley, que ahora pasará al parlamento, introduce cambios a una escala sin precedentes que afectarán a decenas de miles de empresas, gobiernos locales e instituciones públicas.

Las nuevas regulaciones afectarán hasta a 80.000 entidades.

El cambio más importante es la drástica ampliación de la lista de entidades sujetas a regulación.

La modificación sustituye la nomenclatura actual de operadores de servicios esenciales y proveedores de servicios digitales por dos nuevas categorías: entidades esenciales y entidades importantes. Se estima que la nueva normativa abarcará entre 40 000 y 80 000 entidades en Polonia , lo que supone un aumento del doble con respecto a la situación actual.

La categoría de entidades clave incluye las mayores empresas de sectores de fundamental importancia para la economía y la sociedad, como la energía, el transporte, las finanzas, la salud y las infraestructuras digitales.

El catálogo de sectores se ha ampliado para incluir nuevas áreas: eliminación de aguas residuales, servicios postales, espacio, producción y distribución de productos químicos y alimentos .

Particularmente controvertida es la cobertura de todo el sector de la administración pública, incluidos los gobiernos locales y sus unidades organizativas.

Esto significa que incluso las escuelas, los centros de asistencia social y las instituciones culturales municipales deberán cumplir con los requisitos del KSC. Esto supone un reto importante para muchos gobiernos locales pequeños que luchan contra la escasez de presupuesto y de personal.

El principio básico es que la Directiva NIS2 se aplica a las entidades que califican al menos como empresas medianas, es decir , que emplean al menos a 50 personas y alcanzan una facturación anual superior a 10 millones de euros .

Las microempresas y las pequeñas empresas generalmente no estarán sujetas a estos requisitos a menos que estén designadas como entidades críticas o presten servicios específicos, como el registro de nombres de dominio.

Sistemas de gestión de riesgos, modelo de notificación de incidentes en tres pasos

La modificación introduce una serie de obligaciones específicas. Su fundamento es la implementación de un sistema integral de gestión de riesgos dentro de la organización, basado en el análisis de riesgos de las TIC, que considera no solo las amenazas digitales, sino también las físicas, humanas y ambientales.

Las organizaciones deberán realizar análisis de riesgos periódicos y, en función de los resultados, implementar las medidas técnicas y organizativas adecuadas.

La lista de medidas mínimas de seguridad incluye políticas de control de acceso, cifrado, gestión de incidentes, continuidad del negocio (planes de continuidad del negocio y de recuperación ante desastres) y seguridad de la cadena de suministro.

Las entidades también deben establecer procedimientos de respuesta ante incidentes y proporcionar capacitación periódica a los empleados, incluida la gerencia.

El modelo de notificación de incidentes de tres niveles es particularmente exigente. Se debe enviar una alerta temprana dentro de las 24 horas posteriores a la detección de un incidente grave, un informe detallado dentro de las 72 horas y un informe final a más tardar un mes después de la notificación. Este requisito exige que las organizaciones cuenten con un sistema eficaz de detección y clasificación de incidentes.

Ya no es solo responsabilidad del departamento de TI. Es responsabilidad de los más altos niveles de la organización.

Un elemento nuevo e importante es la responsabilidad directa de la dirección en materia de ciberseguridad . La enmienda exige que los consejos de administración y la dirección tomen decisiones estratégicas en materia de seguridad de la información y planificación financiera, y que supervisen el cumplimiento de sus responsabilidades.

Esto supone un cambio de paradigma: la ciberseguridad ya no es dominio exclusivo de los departamentos de TI, sino que se está convirtiendo en una prioridad estratégica a nivel de la junta directiva.

Los ejecutivos serán personalmente responsables, tanto financiera como legalmente, por las infracciones normativas. Esto aumenta considerablemente la responsabilidad de quienes toman las decisiones en los niveles más altos de la organización.

Sanciones draconianas: las multas podrían alcanzar decenas de millones de zlotys.

La Ley prevé un sistema de multas disuasorias. Para las entidades clave, las multas pueden alcanzar hasta 10 millones de euros o el 2 % de la facturación anual (la cantidad que sea mayor), con una multa mínima de 20 000 PLN. Para las entidades importantes, las multas pueden alcanzar hasta 7 millones de euros o el 1,4 % de la facturación , con una multa mínima de 15 000 PLN.

Las sanciones más severas se aplican al incumplimiento de las obligaciones con proveedores de alto riesgo y en situaciones donde la infracción representa una grave amenaza para la seguridad nacional o el orden público. Las multas por cada día de retraso en la entrega del pedido pueden oscilar entre 50.000 y 100.000 PLN.

Las nuevas obligaciones implican costes que ascienden a cientos de miles de zlotys.

La implementación de los requisitos de la Ley implica importantes desembolsos financieros. Las estimaciones para la primera fase de implementación (auditoría, análisis de riesgos, documentación) para una empresa manufacturera de tamaño mediano oscilan entre decenas y cientos de miles de zlotys.

La siguiente fase, que incluye la implementación de tecnología, tiene un costo de entre 150 y 300 mil PLN, y la monitorización avanzada (SIEM/SOC) supone otros 200 a 500 mil PLN o más.

Un desafío igualmente grave es la escasez de especialistas. Según la Cámara Polaca de Tecnologías de la Información y las Telecomunicaciones, Polonia actualmente carece de más de 10 000 expertos en ciberseguridad . Esta brecha de talento se ha agudizado tras la agresión rusa contra Ucrania, y la demanda crecerá rápidamente con la implementación de la directiva NIS2.

En respuesta a estos desafíos, el Ministerio de Asuntos Digitales, junto con el Ministerio de Defensa Nacional, puso en marcha programas de capacitación para las entidades que integran el sistema nacional de ciberseguridad, los cuales comenzaron en otoño de 2025. La capacitación se dividió en tres categorías: para todos los empleados (higiene cibernética), para el personal directivo y los departamentos de TI, y talleres especializados.

El momento de adaptarse es el momento de actuar.

El proyecto de enmienda prevé un período de ajuste de seis meses tras la aprobación del proyecto de ley. Si no tomamos medidas preparatorias antes de ese plazo, será demasiado breve para prepararnos.

Las entidades se enfrentan a un dilema: comenzar ahora, a pesar de la falta de certeza jurídica definitiva, o esperar a la publicación de la ley, arriesgándose a no tener tiempo suficiente para su correcta implementación.

Existen cinco acciones que pueden implementarse independientemente de la forma final de la normativa:

1. organizar un departamento de ciberseguridad (interno o externo),
2. designación de las personas responsables de los contactos con las autoridades de supervisión, incluido el CSIRT,
3. inventario detallado de procesos, hardware y software,
4. realizar análisis de riesgos y definir prioridades,
5. desarrollo de un proceso de gestión de incidentes.

Gobiernos locales en situación especial. Programa especial.

El sector público, y en particular los gobiernos locales, se enfrentan a desafíos específicos. Las unidades de gobierno local a menudo lidian con déficits presupuestarios y la falta de expertos locales en ciberseguridad.

La magnitud de las obligaciones es comparable a la de la implementación del RGPD, pero con un mayor énfasis en los elementos TIC.

Para apoyar a los gobiernos locales, el gobierno puso en marcha el programa «Gobierno Local Ciberseguro» , que destina 1.500 millones de PLN a las unidades de gobierno local. De esta cantidad, 1.200 millones de PLN se han asignado a infraestructura de hardware y software, 183 millones de PLN al desarrollo de procedimientos, certificación y auditorías, y 105 millones de PLN a la formación de empleados.

Los fondos deben utilizarse antes de finales de junio de 2026 .

Los ciberataques están en aumento, y Polonia se encuentra entre las principales víctimas.

La magnitud de las ciberamenazas en Polonia sigue creciendo. En 2024 se registraron más de 600.000 incidentes de seguridad , un 60% más que el año anterior.

Se confirmaron más de 100.000 brechas de seguridad reales, lo que supone un aumento del 23 por ciento.

Particularmente alarmantes son las cifras de ataques graves, que aumentaron un 57 por ciento, y de brechas en el sector público, un 58 por ciento.

Polonia es el tercer país de Europa más atacado por grupos APT patrocinados por estados extranjeros, principalmente Rusia. Las infraestructuras críticas y los servicios públicos —transporte, energía, agua y sanidad— son los más atacados.

El futuro es Zero Trust e IA. No es solo un requisito, sino una necesidad.

La nueva normativa marca el rumbo del desarrollo de la ciberseguridad en Polonia durante los próximos años. Las tendencias predominantes incluirán la automatización de la seguridad mediante inteligencia artificial, el desarrollo de sistemas de detección y prevención de intrusiones en tiempo real, la adopción generalizada de la autenticación multifactor y la arquitectura de Confianza Cero, que parte de la premisa de que ningún usuario ni dispositivo debe ser considerado de confianza sin verificación.

La Ley sobre el Sistema Nacional de Ciberseguridad no es solo una obligación legal, sino sobre todo una inversión en la resiliencia de la organización ante las amenazas del siglo XXI.

En la era de la transformación digital, la ciberseguridad es una necesidad empresarial y una prioridad estratégica para toda organización que desee operar de forma segura y responsable.