As empresas enfrentarão novas obrigações. O não cumprimento poderá resultar em multas milionárias.

• O governo aprovou uma emenda à Lei do Sistema Nacional de Segurança (NSS). O projeto de lei foi submetido ao Sejm.
• As novas regulamentações podem abranger até 80.000 entidades. A lista existente de setores foi ampliada para incluir novas áreas: coleta de esgoto, serviços postais, setor espacial e produção e distribuição de produtos químicos e alimentos.
• As entidades abrangidas por essas regulamentações terão que implementar uma série de soluções dispendiosas e que exigem muita mão de obra.
• As violações das normas serão punidas com sanções muito severas. Para as principais entidades, as multas podem chegar a 10 milhões de euros ou 2% do volume de negócios anual (o que for maior), com um mínimo de 20.000 PLN.

A revolução da cibersegurança na Polônia está ganhando impulso. Em 21 de outubro de 2025, o Conselho de Ministros adotou uma emenda à Lei do Sistema Nacional de Cibersegurança , implementando a diretiva NIS2 da UE .

O projeto de lei, que agora seguirá para o parlamento, introduz mudanças em uma escala sem precedentes que afetarão dezenas de milhares de empresas, governos locais e instituições públicas.

As novas regulamentações afetarão até 80.000 entidades.

A mudança mais importante é a expansão drástica da lista de entidades abrangidas pela regulamentação.

A alteração substitui a nomenclatura existente de operadores de serviços essenciais e provedores de serviços digitais por duas novas categorias: entidades essenciais e entidades importantes. Estima-se que as novas regulamentações abrangerão entre 40.000 e 80.000 entidades na Polônia – um aumento de duas ordens de grandeza em comparação com a situação atual.

A categoria de entidades-chave inclui as maiores empresas de setores de fundamental importância para a economia e a sociedade, como energia, transporte, finanças, saúde e infraestrutura digital.

O catálogo de setores foi ampliado para incluir novas áreas: tratamento de águas residuais, serviços postais, espaço, produção e distribuição de produtos químicos e alimentos .

Particularmente controversa é a abrangência de todo o setor da administração pública, incluindo os governos locais e suas unidades organizacionais.

Isso significa que até mesmo escolas, centros de assistência social e instituições culturais administradas por municípios terão que cumprir os requisitos do KSC. Isso representa um desafio significativo para muitos pequenos governos locais que lutam contra déficits orçamentários e falta de pessoal.

O princípio básico é que a Diretiva NIS2 se aplica a entidades que se qualificam, pelo menos, como empresas de médio porte – ou seja, que empregam pelo menos 50 pessoas e atingem um volume de negócios anual superior a 10 milhões de euros .

As micro e pequenas empresas geralmente não estarão sujeitas aos requisitos, a menos que sejam designadas como entidades críticas ou forneçam serviços específicos, como o registro de nomes de domínio.

Sistemas de gestão de riscos, modelo de notificação de incidentes em três etapas

A alteração introduz uma série de obrigações específicas. O fundamento é a implementação de um sistema abrangente de gestão de riscos na organização, baseado na análise de riscos de TIC, que leve em consideração não apenas as ameaças digitais, mas também as físicas, humanas e ambientais.

As organizações serão obrigadas a realizar análises de risco regulares e, com base nos resultados, implementar medidas técnicas e organizacionais adequadas.

A lista de medidas mínimas de segurança inclui políticas de controle de acesso, criptografia, gerenciamento de incidentes, continuidade de negócios (planos de continuidade de negócios e recuperação de desastres) e segurança da cadeia de suprimentos.

As entidades também devem estabelecer procedimentos de resposta a incidentes e fornecer treinamento regular para os funcionários, incluindo a gerência.

O modelo de notificação de incidentes em três níveis é particularmente exigente. Um alerta inicial deve ser submetido em até 24 horas após a detecção de um incidente grave, um relatório detalhado em até 72 horas e um relatório final em até um mês após a notificação. Esse requisito exige que as organizações possuam um sistema eficaz de detecção e classificação de incidentes.

Não se trata mais apenas do departamento de TI. A responsabilidade recai nos mais altos níveis da organização.

Um novo elemento significativo é a responsabilidade direta da gestão pela cibersegurança . A alteração exige que os conselhos de administração e a gestão tomem decisões estratégicas relativas à segurança da informação, ao planeamento financeiro e supervisionem a implementação das responsabilidades.

Trata-se de uma mudança de paradigma: a cibersegurança deixou de ser domínio exclusivo dos departamentos de TI e está se tornando uma prioridade estratégica a nível da diretoria.

Os executivos serão responsabilizados pessoalmente, financeira e legalmente, por violações regulatórias. Isso aumenta significativamente os riscos para os tomadores de decisão nos níveis mais altos da organização.

Sanções draconianas: multas podem chegar a dezenas de milhões de zlotys

A lei prevê um sistema de multas dissuasivas. Para entidades-chave, as multas podem atingir até 10 milhões de euros ou 2% do volume de negócios anual (o que for maior), com uma multa mínima de 20.000 PLN. Para entidades importantes, as multas podem atingir até 7 milhões de euros ou 1,4% do volume de negócios , com uma multa mínima de 15.000 PLN.

As sanções mais severas aplicam-se ao incumprimento de obrigações relacionadas com fornecedores de alto risco e a situações em que a violação represente uma grave ameaça à segurança nacional ou à ordem pública. As penalidades por cada dia de atraso no cumprimento da encomenda podem variar entre 50.000 e 100.000 PLN.

As novas obrigações implicam custos que ascendem a centenas de milhares de zlotys.

A implementação dos requisitos da lei envolve desembolsos financeiros significativos. As estimativas para a primeira fase de implementação (auditoria, análise de riscos, documentação) para uma empresa de manufatura de médio porte variam de dezenas a centenas de milhares de zlotys.

A próxima fase, com a implementação da tecnologia, custa entre 150 e 300 mil PLN, e o monitoramento avançado (SIEM/SOC) custa outros 200 a 500 mil PLN ou mais.

Um desafio igualmente sério é a escassez de especialistas. De acordo com a Câmara Polonesa de Tecnologia da Informação e Telecomunicações, a Polônia atualmente carece de mais de 10.000 especialistas em cibersegurança . Essa lacuna de competências se intensificou após a agressão da Rússia contra a Ucrânia, e a demanda crescerá rapidamente com a implementação da diretiva NIS2.

Em resposta a esses desafios, o Ministério de Assuntos Digitais, juntamente com o Ministério da Defesa Nacional, iniciou programas de treinamento para entidades dentro do sistema nacional de cibersegurança, que começaram no outono de 2025. O treinamento foi dividido em três categorias: para todos os funcionários (higiene cibernética), para a equipe de gestão e departamentos de TI, e workshops especializados.

A hora de se adaptar é hora de agir.

A proposta de emenda prevê um período de adaptação de seis meses após a aprovação do projeto de lei. Se não tomarmos medidas preparatórias antes disso, o prazo será muito curto para nos prepararmos.

As entidades enfrentam um dilema: começar agora, apesar da falta de segurança jurídica definitiva, ou esperar pela publicação da lei, correndo o risco de não haver tempo suficiente para uma implementação adequada.

Existem cinco ações que podem ser implementadas independentemente da forma final das regulamentações:

1. Organizar um departamento de cibersegurança (interno ou externo),
2. designação das pessoas responsáveis ​​pelos contatos com as autoridades de supervisão, incluindo o CSIRT,
3. Inventário detalhado de processos, hardware e software,
4. Realizar análises de risco e definir prioridades,
5. Desenvolvimento de um processo de gestão de incidentes.

Governos locais em situação especial. Programa especial

O setor público, e os governos locais em particular, enfrentam desafios específicos. As unidades governamentais locais frequentemente lutam contra déficits orçamentários e a falta de especialistas locais em cibersegurança.

A dimensão das obrigações é comparável à implementação do RGPD, mas com maior ênfase nos elementos de TIC.

Para auxiliar os governos locais, o governo lançou o programa "Governo Local Ciberseguro" , que destina 1,5 bilhão de zlotys às unidades governamentais locais. Desse montante, 1,2 bilhão de zlotys foram alocados para infraestrutura de hardware e software, 183 milhões de zlotys para desenvolvimento de procedimentos, certificação e auditorias, e 105 milhões de zlotys para treinamento de funcionários.

Os fundos devem ser utilizados até o final de junho de 2026 .

Os ciberataques estão em ascensão, sendo a Polônia um dos países mais afetados.

A escala das ameaças cibernéticas na Polônia continua a crescer. Mais de 600.000 incidentes de segurança foram relatados em 2024 – 60% a mais do que no ano anterior.

Mais de 100.000 violações de segurança foram confirmadas, um aumento de 23%.

Particularmente alarmantes são os números relativos a ataques graves, que aumentaram 57%, e a violações no setor público, que aumentaram 58%.

A Polônia é o terceiro país mais atacado na Europa por grupos APT patrocinados por estados estrangeiros, principalmente a Rússia. Infraestruturas críticas e serviços públicos — transporte, energia, água e saúde — são os alvos mais frequentes dos ataques.

O futuro é Zero Trust e IA. Não apenas um requisito, mas uma necessidade.

As novas regulamentações definem a direção para o desenvolvimento da cibersegurança na Polônia nos próximos anos. As principais tendências incluem a automação da segurança por meio de inteligência artificial, o desenvolvimento de sistemas de detecção e prevenção de intrusões em tempo real, a ampla adoção da autenticação multifatorial e a arquitetura Zero Trust — que parte do princípio de que nenhum usuário ou dispositivo deve ser considerado confiável sem verificação.

A Lei sobre o Sistema Nacional de Cibersegurança não é apenas uma obrigação legal, mas sobretudo um investimento na resiliência da organização face às ameaças do século XXI.

Na era da transformação digital, a cibersegurança é uma necessidade empresarial e uma prioridade estratégica para todas as organizações que desejam operar de forma segura e responsável.