Le aziende dovranno affrontare nuovi obblighi. Il mancato rispetto di tali obblighi comporterà multe milionarie.

• Il governo ha approvato un emendamento alla Legge sul Sistema di Sicurezza Nazionale (NSS). Il disegno di legge è stato presentato al Sejm.
• Le nuove normative potrebbero riguardare fino a 80.000 soggetti. L'elenco dei settori esistenti è stato ampliato per includere nuovi ambiti: smaltimento delle acque reflue, servizi postali, settore spaziale e produzione e distribuzione di prodotti chimici e alimentari.
• Gli enti interessati da queste normative dovranno implementare una serie di soluzioni costose e laboriose.
• Le violazioni delle normative saranno punite con sanzioni molto severe. Per le entità chiave, potranno raggiungere fino a 10 milioni di euro o il 2% del fatturato annuo (a seconda di quale sia l'importo più elevato), con un minimo di 20.000 PLN.

La rivoluzione della sicurezza informatica in Polonia sta prendendo piede. Il 21 ottobre 2025, il Consiglio dei Ministri ha adottato un emendamento alla legge sul sistema nazionale di sicurezza informatica , in attuazione della direttiva UE NIS2 .

Il disegno di legge, che ora passerà al Parlamento, introduce cambiamenti di portata senza precedenti che interesseranno decine di migliaia di aziende, enti locali e istituzioni pubbliche.

Le nuove normative interesseranno fino a 80.000 entità

La modifica più importante è l'ampliamento drastico dell'elenco delle entità soggette a regolamentazione.

L'emendamento sostituisce l'attuale nomenclatura degli operatori di servizi essenziali e dei fornitori di servizi digitali con due nuove categorie: entità essenziali ed entità importanti. Si stima che la nuova normativa riguarderà tra 40.000 e 80.000 entità in Polonia , con un incremento di due ordini rispetto alla situazione attuale.

La categoria delle entità chiave comprende le più grandi aziende di settori di fondamentale importanza per l'economia e la società, come l'energia, i trasporti, la finanza, la sanità e le infrastrutture digitali.

Il catalogo dei settori è stato ampliato per includere nuove aree: smaltimento delle acque reflue, servizi postali, spazio, produzione e distribuzione di prodotti chimici e alimentari .

Particolarmente controversa è la copertura dell'intero settore della pubblica amministrazione, compresi gli enti locali e le loro unità organizzative.

Ciò significa che anche le scuole, i centri di assistenza sociale e le istituzioni culturali gestite dai comuni dovranno conformarsi ai requisiti del KSC. Ciò rappresenta una sfida significativa per molti piccoli enti locali alle prese con carenze di bilancio e di personale.

Il principio di base è che la direttiva NIS2 si applica alle entità che si qualificano almeno come medie imprese, vale a dire che impiegano almeno 50 persone e realizzano un fatturato annuo superiore a 10 milioni di euro .

In genere, le micro e piccole imprese non sono soggette a tali requisiti, a meno che non siano designate come entità critiche o non forniscano servizi specifici, come la registrazione di nomi di dominio.

Sistemi di gestione del rischio, modello di segnalazione degli incidenti in tre fasi

L'emendamento introduce una serie di obblighi specifici. Il fondamento è l'implementazione di un sistema completo di gestione del rischio all'interno dell'organizzazione, basato sull'analisi del rischio ICT, che tenga conto non solo delle minacce digitali, ma anche di quelle fisiche, umane e ambientali.

Le organizzazioni saranno tenute a condurre analisi dei rischi periodiche e, sulla base dei risultati, ad attuare misure tecniche e organizzative appropriate.

L'elenco delle misure di sicurezza minime comprende policy di controllo degli accessi, crittografia, gestione degli incidenti, continuità aziendale (piani di continuità aziendale e di disaster recovery) e sicurezza della supply chain.

Le entità devono inoltre stabilire procedure di risposta agli incidenti e fornire formazione regolare ai dipendenti, compresi i dirigenti.

Il modello di segnalazione degli incidenti a tre livelli è particolarmente impegnativo. Un avviso preventivo deve essere inviato entro 24 ore dal rilevamento di un incidente grave, un rapporto dettagliato entro 72 ore e un rapporto finale entro un mese dalla segnalazione. Questo requisito impone alle organizzazioni di disporre di un sistema efficace di rilevamento e classificazione degli incidenti.

Non è più solo il reparto IT a occuparsene. La responsabilità è ai massimi livelli dell'organizzazione.

Una novità significativa è la responsabilità diretta del management in materia di sicurezza informatica . L'emendamento impone ai consigli di amministrazione e al management di prendere decisioni strategiche in materia di sicurezza informatica, pianificazione finanziaria e supervisione dell'attuazione delle responsabilità.

Si tratta di un cambiamento di paradigma: la sicurezza informatica non è più di esclusiva competenza dei dipartimenti IT, ma sta diventando una priorità strategica a livello di consiglio di amministrazione.

I dirigenti saranno ritenuti personalmente responsabili, finanziariamente e legalmente, per le violazioni normative. Ciò aumenta significativamente la posta in gioco per i decisori ai massimi livelli dell'organizzazione.

Sanzioni draconiane: le multe potrebbero raggiungere decine di milioni di zloty

La legge prevede un sistema di sanzioni pecuniarie dissuasive. Per le entità chiave, le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo (a seconda di quale sia l'importo più elevato), con una sanzione minima di 20.000 PLN. Per le entità importanti, le sanzioni possono arrivare fino a 7 milioni di euro o all'1,4% del fatturato , con una sanzione minima di 15.000 PLN.

Le sanzioni più severe si applicano in caso di inadempimento degli obblighi relativi ai fornitori ad alto rischio e in situazioni in cui la violazione rappresenti una grave minaccia per la sicurezza nazionale o l'ordine pubblico. Le sanzioni per ogni giorno di ritardo nell'evasione dell'ordine possono variare da 50.000 a 100.000 PLN.

I nuovi obblighi comportano costi pari a centinaia di migliaia di zloty.

L'attuazione dei requisiti della legge comporta ingenti esborsi finanziari. Le stime per la prima fase di attuazione (audit, analisi dei rischi, documentazione) per un'azienda manifatturiera di medie dimensioni variano da decine a centinaia di migliaia di zloty.

La fase successiva con l'implementazione della tecnologia costa 150-300 mila PLN, mentre il monitoraggio avanzato (SIEM/SOC) costa altri 200-500 mila PLN o più.

Una sfida altrettanto seria è la carenza di specialisti. Secondo la Camera polacca per l'informatica e le telecomunicazioni, la Polonia attualmente non dispone di oltre 10.000 esperti di sicurezza informatica . Questo divario di competenze si è aggravato in seguito all'aggressione russa contro l'Ucraina e la domanda è destinata a crescere rapidamente con l'attuazione della direttiva NIS2.

In risposta a queste sfide, il Ministero degli Affari Digitali, insieme al Ministero della Difesa Nazionale, ha avviato programmi di formazione per le entità all'interno del sistema nazionale di sicurezza informatica, iniziati nell'autunno del 2025. La formazione è stata suddivisa in tre categorie: per tutti i dipendenti (igiene informatica), per il personale dirigenziale e i dipartimenti IT e workshop specializzati.

È tempo di adattarsi, è tempo di agire

La bozza di emendamento prevede un periodo di adeguamento di sei mesi dopo l'adozione del disegno di legge. Se non adottiamo misure preparatorie prima di allora, questo periodo sarà troppo breve per prepararci.

Gli enti si trovano di fronte a un dilemma: iniziare subito, nonostante la mancanza di certezza giuridica definitiva, oppure attendere la pubblicazione della legge, rischiando di non avere tempo per una corretta attuazione.

Sono cinque le azioni che possono essere attuate indipendentemente dalla forma finale della normativa:

1. organizzare un dipartimento di sicurezza informatica (interno o esterno),
2. designazione delle persone responsabili dei contatti con le autorità di vigilanza, incluso il CSIRT,
3. inventario dettagliato dei processi, hardware e software,
4. condurre analisi dei rischi e definire le priorità,
5. sviluppo di un processo di gestione degli incidenti.

Enti locali in una situazione speciale. Programma speciale

Il settore pubblico, e in particolare gli enti locali, si trovano ad affrontare sfide particolari. Gli enti locali spesso si trovano ad affrontare carenze di bilancio e la mancanza di esperti locali in sicurezza informatica.

La portata degli obblighi è paragonabile all'attuazione del GDPR, ma con una maggiore enfasi sugli elementi ICT.

Per supportare gli enti locali, il governo ha lanciato il programma "Cybersafe Local Government" , che eroga 1,5 miliardi di zloty alle unità di governo locale. Di questo importo, 1,2 miliardi di zloty sono stati stanziati per infrastrutture hardware e software, 183 milioni di zloty per lo sviluppo di procedure, certificazioni e audit e 105 milioni di zloty per la formazione dei dipendenti.

I fondi dovranno essere utilizzati entro la fine di giugno 2026 .

Gli attacchi informatici sono in aumento e la Polonia è tra le principali vittime.

La portata delle minacce informatiche in Polonia continua a crescere. Nel 2024 sono stati segnalati oltre 600.000 incidenti di sicurezza , il 60% in più rispetto all'anno precedente.

Sono state confermate più di 100.000 violazioni effettive, con un aumento del 23%.

Particolarmente allarmanti sono i dati relativi agli attacchi gravi, aumentati del 57 percento, e alle violazioni nel settore pubblico, aumentate del 58 percento.

La Polonia è il terzo Paese più frequentemente attaccato in Europa da gruppi APT sponsorizzati da stati stranieri, principalmente dalla Russia. Le infrastrutture critiche e i servizi pubblici (trasporti, energia, acqua e assistenza sanitaria) sono i più colpiti.

Il futuro è Zero Trust e AI. Non solo un requisito, ma una necessità.

Le nuove normative definiscono la direzione per lo sviluppo della sicurezza informatica polacca nei prossimi anni. Le tendenze dominanti includeranno l'automazione della sicurezza tramite l'intelligenza artificiale, lo sviluppo di sistemi di rilevamento e prevenzione delle intrusioni in tempo reale, l'adozione diffusa dell'autenticazione a più fattori e l'architettura Zero Trust, che presuppone che nessun utente o dispositivo possa essere considerato attendibile senza verifica.

La legge sul sistema nazionale di sicurezza informatica non è solo un obbligo giuridico, ma soprattutto un investimento nella resilienza dell'organizzazione alle minacce del XXI secolo.

Nell'era della trasformazione digitale, la sicurezza informatica è una necessità aziendale e una priorità strategica per ogni organizzazione che voglia operare in modo sicuro e responsabile.