Bedrijven krijgen te maken met nieuwe verplichtingen. Het niet naleven ervan kan leiden tot miljoenenboetes.

• De regering heeft een amendement op de Wet op het Nationale Veiligheidssysteem (NSS) aangenomen. Het wetsvoorstel is ingediend bij de Sejm.
• De nieuwe regelgeving zou tot 80.000 entiteiten kunnen bestrijken. De bestaande lijst met sectoren is uitgebreid met nieuwe gebieden: rioolwaterzuivering, postdiensten, ruimtevaart en de productie en distributie van chemicaliën en voedsel.
• Organisaties die onder deze regelgeving vallen, zullen een aantal kostbare en arbeidsintensieve oplossingen moeten implementeren.
• Overtredingen van de regelgeving worden bestraft met zeer zware boetes. Voor belangrijke entiteiten kunnen deze oplopen tot € 10 miljoen of 2% van de jaaromzet (afhankelijk van welk bedrag het hoogst is), met een minimum van PLN 20.000.

De cybersecurityrevolutie in Polen wint aan momentum. Op 21 oktober 2025 heeft de Ministerraad een wijziging van de Wet op het Nationaal Cybersecuritysysteem aangenomen, waarmee de EU NIS2-richtlijn wordt geïmplementeerd .

Het wetsvoorstel, dat nu naar het parlement gaat, introduceert veranderingen van ongekende omvang die gevolgen hebben voor tienduizenden bedrijven, lokale overheden en publieke instellingen.

De nieuwe regelgeving heeft betrekking op maximaal 80.000 entiteiten

De belangrijkste verandering is de drastische uitbreiding van de lijst van entiteiten die onder de regelgeving vallen.

De wijziging vervangt de bestaande nomenclatuur van aanbieders van essentiële diensten en digitale dienstverleners door twee nieuwe categorieën: essentiële entiteiten en belangrijke entiteiten. Naar schatting zullen de nieuwe regelgevingen tussen de 40.000 en 80.000 entiteiten in Polen bestrijken – een toename met twee niveaus ten opzichte van de huidige situatie.

Tot de categorie sleutelentiteiten behoren de grootste bedrijven uit sectoren die van fundamenteel belang zijn voor de economie en de samenleving, zoals energie, transport, financiën, gezondheid en digitale infrastructuur.

De catalogus van sectoren is uitgebreid met nieuwe gebieden: afvalwaterverwerking, postdiensten, ruimtevaart, productie en distributie van chemicaliën en voedingsmiddelen .

Bijzonder controversieel is de berichtgeving over de gehele publieke sector, inclusief lokale overheden en hun organisatorische eenheden.

Dit betekent dat zelfs scholen, maatschappelijke instellingen en culturele instellingen die door gemeenten worden beheerd, aan de KSC-eisen moeten voldoen. Dit vormt een aanzienlijke uitdaging voor veel kleine lokale overheden die kampen met budgettaire tekorten en personeelstekorten.

Het basisprincipe is dat de NIS2-richtlijn van toepassing is op entiteiten die ten minste als middelgrote ondernemingen kunnen worden aangemerkt, d.w.z. die ten minste 50 werknemers in dienst hebben en een jaaromzet van meer dan 10 miljoen euro behalen .

Voor micro- en kleine ondernemingen gelden de eisen doorgaans niet, tenzij ze zijn aangemerkt als kritieke entiteiten of specifieke diensten leveren, zoals domeinnaamregistratie.

Risicomanagementsystemen, driestappenmodel voor incidentenrapportage

De wijziging introduceert een aantal specifieke verplichtingen. De basis is de implementatie van een alomvattend risicomanagementsysteem binnen de organisatie, gebaseerd op ICT-risicoanalyse, dat niet alleen rekening houdt met digitale dreigingen, maar ook met fysieke, menselijke en omgevingsgerelateerde dreigingen.

Organisaties moeten regelmatig risicoanalyses uitvoeren en op basis van de resultaten passende technische en organisatorische maatregelen implementeren.

De lijst met minimale beveiligingsmaatregelen omvat toegangscontrolebeleid, encryptie, incidentbeheer, bedrijfscontinuïteit (bedrijfscontinuïteits- en noodherstelplannen) en beveiliging van de toeleveringsketen.

Organisaties moeten ook procedures voor het reageren op incidenten opstellen en hun werknemers, inclusief het management, regelmatig trainen.

Het drietrapsmodel voor incidentenrapportage is bijzonder veeleisend. Een vroege waarschuwing moet binnen 24 uur na het detecteren van een ernstig incident worden ingediend, een gedetailleerd rapport binnen 72 uur en een eindrapport uiterlijk een maand na melding. Deze vereiste vereist dat organisaties beschikken over een effectief systeem voor incidentdetectie en -classificatie.

Het gaat niet langer alleen om de IT-afdeling. Verantwoordelijkheid ligt op het hoogste niveau van de organisatie.

Een belangrijk nieuw element is de directe verantwoordelijkheid van het management voor cyberbeveiliging . De wijziging vereist dat besturen en management strategische beslissingen nemen over informatiebeveiliging en financiële planning, en toezicht houden op de uitvoering van verantwoordelijkheden.

Dit is een paradigmaverschuiving: cyberbeveiliging is niet langer het exclusieve domein van IT-afdelingen, maar wordt een strategische prioriteit op het niveau van de raad van bestuur.

Leidinggevenden worden persoonlijk financieel en juridisch aansprakelijk gesteld voor overtredingen van de regelgeving. Dit verhoogt de druk op de hoogste niveaus van de organisatie aanzienlijk.

Draconische sancties: boetes kunnen oplopen tot tientallen miljoenen zloty's

De wet voorziet in een systeem van afschrikwekkende boetes. Voor belangrijke entiteiten kunnen de boetes oplopen tot € 10 miljoen of 2 procent van de jaaromzet (afhankelijk van welk bedrag het hoogst is), met een minimum van PLN 20.000. Voor belangrijke entiteiten kunnen de boetes oplopen tot € 7 miljoen of 1,4 procent van de jaaromzet , met een minimum van PLN 15.000.

De zwaarste sancties zijn van toepassing op het niet nakomen van verplichtingen met betrekking tot risicovolle leveranciers en situaties waarin de overtreding een ernstige bedreiging vormt voor de nationale veiligheid of de openbare orde. De boetes voor elke dag vertraging bij de uitvoering van de opdracht kunnen variëren van 50.000 tot 100.000 PLN.

Nieuwe verplichtingen brengen kosten met zich mee die oplopen tot honderdduizenden zloty's.

De implementatie van de wet vereist aanzienlijke financiële uitgaven. De ramingen voor de eerste implementatiefase (audit, risicoanalyse, documentatie) voor een middelgroot productiebedrijf variëren van tienduizenden tot honderdduizenden zloty's.

De volgende fase met de implementatie van de technologie kost 150.000 tot 300.000 PLN en geavanceerde monitoring (SIEM/SOC) kost nog eens 200.000 tot 500.000 PLN of meer.

Een even ernstige uitdaging is het tekort aan specialisten. Volgens de Poolse Kamer voor Informatietechnologie en Telecommunicatie heeft Polen momenteel een tekort aan meer dan 10.000 cybersecurity-experts . Deze vaardigheidskloof is nog groter geworden door de Russische agressie tegen Oekraïne, en de vraag zal snel toenemen met de implementatie van de NIS2-richtlijn.

Als reactie op deze uitdagingen heeft het Ministerie van Digitale Zaken samen met het Ministerie van Defensie trainingsprogramma's geïnitieerd voor entiteiten binnen het nationale cybersecuritysysteem. Deze zijn in het najaar van 2025 van start gegaan. De training was verdeeld in drie categorieën: voor alle medewerkers (cyberhygiëne), voor managementpersoneel en IT-afdelingen, en gespecialiseerde workshops.

Tijd om je aan te passen is tijd om te handelen

Het wijzigingsvoorstel voorziet in een aanpassingsperiode van zes maanden na de aanname van het wetsvoorstel. Als we vóór die tijd geen voorbereidende stappen ondernemen, is dit te kort om ons voor te bereiden.

Organisaties staan ​​voor een dilemma: moeten ze nu beginnen, ondanks het gebrek aan definitieve rechtszekerheid, of moeten ze wachten tot de wet is gepubliceerd, met het risico dat er te weinig tijd is voor een correcte implementatie?

Er zijn vijf acties die kunnen worden uitgevoerd, ongeacht de uiteindelijke vorm van de regelgeving:

1. het organiseren van een cybersecurityafdeling (intern of extern),
2. aanwijzing van personen die verantwoordelijk zijn voor de contacten met toezichthoudende autoriteiten, waaronder CSIRT,
3. gedetailleerde inventarisatie van processen, hardware en software,
4. het uitvoeren van risicoanalyses en het bepalen van prioriteiten,
5. ontwikkeling van een incidentmanagementproces.

Lokale overheden in een bijzondere situatie. Speciaal programma

De publieke sector, en met name lokale overheden, kampen met specifieke uitdagingen. Lokale overheden kampen vaak met budgettekorten en een tekort aan lokale cybersecurity-experts.

De omvang van de verplichtingen is vergelijkbaar met de implementatie van de AVG, maar met een grotere nadruk op ICT-elementen.

Om lokale overheden te helpen, lanceerde de overheid het programma "Cybersafe Local Government" , dat 1,5 miljard PLN ter beschikking stelt aan lokale overheidsinstanties. Hiervan is 1,2 miljard PLN bestemd voor hardware- en software-infrastructuur, 183 miljoen PLN voor procedureontwikkeling, certificering en audits, en 105 miljoen PLN voor de opleiding van medewerkers.

De middelen moeten uiterlijk eind juni 2026 gebruikt worden.

Het aantal cyberaanvallen neemt toe en Polen behoort tot de grootste slachtoffers.

De omvang van cyberdreigingen in Polen blijft toenemen. In 2024 werden meer dan 600.000 beveiligingsincidenten gemeld – 60 procent meer dan het jaar ervoor.

Er werden meer dan 100.000 daadwerkelijke inbreuken bevestigd, een stijging van 23 procent.

Bijzonder alarmerend zijn de cijfers van ernstige aanvallen, die met 57 procent toenamen, en van inbreuken in de publieke sector, die met 58 procent toenamen.

Polen is het derde land in Europa dat het vaakst wordt aangevallen door APT-groepen die worden gesponsord door buitenlandse staten, voornamelijk Rusland. Kritieke infrastructuur en openbare diensten – transport, energie, water en gezondheidszorg – worden het vaakst aangevallen.

De toekomst is Zero Trust en AI. Niet alleen een vereiste, maar een noodzaak.

De nieuwe regelgeving bepaalt de richting voor de ontwikkeling van Poolse cybersecurity in de komende jaren. De belangrijkste trends zijn onder meer beveiligingsautomatisering met behulp van kunstmatige intelligentie (AI), de ontwikkeling van realtime systemen voor inbraakdetectie en -preventie, de brede acceptatie van multifactorauthenticatie en Zero Trust-architectuur – die ervan uitgaat dat geen enkele gebruiker of apparaat zonder verificatie vertrouwd mag worden.

De Wet op het Nationaal Cybersecuritysysteem is niet alleen een wettelijke verplichting, maar vooral een investering in de weerbaarheid van de organisatie tegen bedreigingen van de 21e eeuw.

In het tijdperk van digitale transformatie is cyberbeveiliging een zakelijke noodzaak en een strategische prioriteit voor elke organisatie die veilig en verantwoord wil opereren.