Компании столкнутся с новыми обязательствами. Невыполнение требований повлечёт за собой многомиллионные штрафы.

• Правительство приняло поправку к Закону о системе национальной безопасности (СНБ). Законопроект внесён в Сейм.
• Новые правила могут охватить до 80 000 организаций. Существующий список секторов расширен за счёт новых областей: утилизация сточных вод, почтовые услуги, космическая отрасль, а также производство и распределение химикатов и продуктов питания.
• Субъектам, подпадающим под действие этих правил, придется реализовать ряд дорогостоящих и трудоемких решений.
• Нарушение правил будет караться очень суровыми штрафами. Для ключевых субъектов штраф может достигать 10 миллионов евро или 2% годового оборота (в зависимости от того, что больше), но не менее 20 000 злотых.

Революция в области кибербезопасности в Польше набирает обороты. 21 октября 2025 года Совет министров принял поправку к Закону о национальной системе кибербезопасности , реализующую директиву ЕС NIS2 .

Законопроект, который теперь будет передан на рассмотрение парламента, вносит беспрецедентные по масштабам изменения, которые затронут десятки тысяч компаний, местных органов власти и государственных учреждений.

Новые правила коснутся до 80 000 организаций.

Самым важным изменением является радикальное расширение перечня субъектов, подпадающих под регулирование.

Поправка заменяет существующую номенклатуру операторов основных услуг и поставщиков цифровых услуг двумя новыми категориями: «существенные субъекты» и «важные субъекты». Предполагается, что новые правила будут охватывать от 40 000 до 80 000 субъектов в Польше , что на два порядка больше, чем в настоящее время.

В категорию ключевых субъектов входят крупнейшие компании из секторов, имеющих основополагающее значение для экономики и общества, таких как энергетика, транспорт, финансы, здравоохранение и цифровая инфраструктура.

Каталог секторов был расширен за счет включения новых областей: очистка сточных вод, почтовые услуги, космос, производство и распределение химикатов и продуктов питания .

Особую полемику вызывает охват всего сектора государственного управления, включая органы местного самоуправления и их организационные подразделения.

Это означает, что даже школы, центры социального обеспечения и учреждения культуры, находящиеся в ведении муниципалитетов, должны будут соблюдать требования KSC. Это представляет серьёзную проблему для многих небольших местных органов власти, испытывающих дефицит бюджета и нехватку персонала.

Основной принцип заключается в том, что Директива NIS2 применяется к субъектам, которые квалифицируются как минимум как средние предприятия, т. е. в которых работает не менее 50 человек и годовой оборот которых превышает 10 миллионов евро .

Микро- и малые предприятия, как правило, не подпадают под действие требований, если только они не обозначены как критически важные организации или не предоставляют особые услуги, такие как регистрация доменных имен.

Системы управления рисками, трехэтапная модель отчетности об инцидентах

Поправка вводит ряд конкретных обязательств. Основой является внедрение комплексной системы управления рисками в организации, основанной на анализе ИКТ-рисков, учитывающей не только цифровые, но и физические, человеческие и экологические угрозы.

Организациям необходимо будет проводить регулярный анализ рисков и на основе его результатов принимать соответствующие технические и организационные меры.

В список минимальных мер безопасности входят политики контроля доступа, шифрование, управление инцидентами, обеспечение непрерывности бизнеса (планы обеспечения непрерывности бизнеса и восстановления после сбоев), а также безопасность цепочки поставок.

Организации также должны разработать процедуры реагирования на инциденты и регулярно проводить обучение сотрудников, включая руководство.

Трёхуровневая модель отчётности об инцидентах предъявляет особые требования. Раннее предупреждение должно быть предоставлено в течение 24 часов после обнаружения серьёзного инцидента, подробный отчёт — в течение 72 часов, а окончательный отчёт — не позднее одного месяца после сообщения. Это требование требует от организаций наличия эффективной системы обнаружения и классификации инцидентов.

Теперь это не просто ИТ-отдел. Ответственность на самом высоком уровне организации.

Важным новым элементом является прямая ответственность руководства за кибербезопасность . Поправка обязывает советы директоров и руководство принимать стратегические решения в отношении информационной безопасности, финансового планирования и контролировать выполнение обязанностей.

Это смена парадигмы: кибербезопасность больше не является исключительной прерогативой ИТ-отделов, а становится стратегическим приоритетом на уровне руководства.

Руководители будут нести личную финансовую и юридическую ответственность за нарушения нормативных требований. Это значительно повышает ставки для лиц, принимающих решения на самом высоком уровне организации.

Драконовские санкции: штрафы могут достичь десятков миллионов злотых

Закон предусматривает систему штрафов, направленных на сдерживание. Для ключевых субъектов штрафы могут достигать 10 миллионов евро или 2% годового оборота (в зависимости от того, что больше), при минимальном размере штрафа 20 000 злотых. Для важных субъектов штрафы могут достигать 7 миллионов евро или 1,4% годового оборота , при минимальном размере штрафа 15 000 злотых.

Самые строгие санкции применяются за неисполнение обязательств, связанных с поставщиками с высоким уровнем риска, и в ситуациях, когда нарушение представляет серьёзную угрозу национальной безопасности или общественному порядку. Штрафы за каждый день просрочки исполнения заказа могут составлять от 50 000 до 100 000 злотых.

Новые обязательства означают затраты в сотни тысяч злотых.

Реализация требований закона требует значительных финансовых затрат. Стоимость первого этапа внедрения (аудит, анализ рисков, документирование) для среднего производственного предприятия оценивается от десятков до сотен тысяч злотых.

Следующий этап внедрения технологий обойдется в 150–300 тыс. злотых, а расширенный мониторинг (SIEM/SOC) — еще в 200–500 тыс. злотых и более.

Не менее серьёзной проблемой является нехватка специалистов. По данным Польской палаты информационных технологий и телекоммуникаций, в настоящее время в Польше не хватает более 10 000 специалистов по кибербезопасности . Этот дефицит специалистов обострился после агрессии России против Украины, и спрос на них резко возрастёт с внедрением директивы NIS2.

В ответ на эти вызовы Министерство цифровых технологий совместно с Министерством национальной обороны инициировало программы обучения для субъектов национальной системы кибербезопасности, которые начались осенью 2025 года. Обучение было разделено на три категории: для всех сотрудников (кибергигиена), для руководящего состава и ИТ-отделов, а также специализированные семинары.

Время адаптироваться — время действовать

Проект поправки предусматривает шестимесячный период адаптации после принятия законопроекта. Если мы не предпримем подготовительные шаги до этого срока, этого времени будет слишком мало для подготовки.

Субъекты сталкиваются с дилеммой: начать сейчас, несмотря на отсутствие окончательной правовой определенности, или дождаться публикации закона, рискуя не успеть его надлежащую реализацию.

Независимо от окончательной формы правил могут быть реализованы пять действий:

1. организация отдела кибербезопасности (внутреннего или внешнего),
2. назначение лиц, ответственных за контакты с надзорными органами, включая CSIRT,
3. подробный перечень процессов, оборудования и программного обеспечения,
4. проведение анализа рисков и определение приоритетов,
5. разработка процесса управления инцидентами.

Местные органы власти в особой ситуации. Специальная программа.

Государственный сектор, и в частности органы местного самоуправления, сталкиваются с особыми трудностями. Органы местного самоуправления часто сталкиваются с дефицитом бюджета и нехваткой местных экспертов по кибербезопасности.

Масштаб обязательств сопоставим с реализацией GDPR, но с большим упором на элементы ИКТ.

Чтобы помочь органам местного самоуправления, правительство запустило программу «Кибербезопасное местное самоуправление» , в рамках которой органам местного самоуправления выделено 1,5 млрд злотых . Из этой суммы 1,2 млрд злотых выделено на аппаратную и программную инфраструктуру, 183 млн злотых — на разработку процедур, сертификацию и аудит, а 105 млн злотых — на обучение сотрудников.

Средства должны быть использованы до конца июня 2026 года .

Число кибератак растет, и Польша входит в число основных жертв.

Масштаб киберугроз в Польше продолжает расти. В 2024 году было зарегистрировано более 600 000 инцидентов безопасности — на 60% больше, чем годом ранее.

Было подтверждено более 100 000 фактических нарушений, что на 23 процента больше.

Особую тревогу вызывают цифры серьезных атак, которые увеличились на 57 процентов, и нарушений в государственном секторе — на 58 процентов.

Польша занимает третье место в Европе по частоте атак со стороны группировок APT, спонсируемых иностранными государствами, в первую очередь Россией. Наиболее часто атакам подвергаются критически важные объекты инфраструктуры и общественные службы — транспорт, энергетика, водоснабжение и здравоохранение.

Будущее — за нулевым доверием и искусственным интеллектом. Не просто требование, а необходимость.

Новые правила задают направление развития польской кибербезопасности на ближайшие годы. Среди основных тенденций будут автоматизация безопасности с использованием искусственного интеллекта, разработка систем обнаружения и предотвращения вторжений в режиме реального времени, широкое внедрение многофакторной аутентификации и архитектуры Zero Trust, которая предполагает, что ни один пользователь или устройство не могут быть доверены без проверки.

Закон о национальной системе кибербезопасности — это не только юридическое обязательство, но, прежде всего, инвестиция в устойчивость организации к угрозам XXI века.

В эпоху цифровой трансформации кибербезопасность становится бизнес-необходимостью и стратегическим приоритетом для каждой организации, которая стремится работать безопасно и ответственно.