Als Reaktion auf den erheblichen Anstieg der Bedrohungen im Cyberspace hat die Europäische Union die sogenannte NIS-2-Richtlinie (Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 verabschiedet. Sie ist der Nachfolger der NIS-Richtlinie von 2016, die darauf abzielt, höhere und konsistentere Cybersicherheitsstandards in der gesamten Union festzulegen.

In Polen wird die NIS-2-Richtlinie durch das Gesetz vom 23. Januar 2026 zur Änderung des Gesetzes über das nationale Cybersicherheitssystem und bestimmte andere Gesetze umgesetzt.

Am 19. Februar 2026 endete der Gesetzgebungsprozess zur Umsetzung des neuen Gesetzes mit der Unterzeichnung des oben genannten Gesetzes durch den Präsidenten der Republik Polen. Das Dokument führt zahlreiche Änderungen vor, die das polnische Cybersicherheitssystem an die Anforderungen von NIS-2 anpassen und den Umfang der Aufgaben und Verantwortlichkeiten der von der Verordnung abgedeckten Einrichtungen erheblich erweitern.

Das Gesetz  tritt einen Monat nach seiner Veröffentlichung im Gesetzblatt in Kraft.

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie zielt darauf ab, das Gesamtsicherheitsniveau von Netzwerk- und Informationssystemen in der EU zu erhöhen , indem einheitliche Anforderungen für das Cyberrisikomanagement, die Meldung von Vorfällen und die Zusammenarbeit zwischen den Mitgliedstaaten eingeführt werden. NIS-2 erweitert den Anwendungsbereich der von der Verordnung erfassten Einrichtungen, darunter:

• Einrichtungen aus Schlüsselsektoren wie Energie, Transport, Finanzen, Gesundheitswesen oder digitale Infrastruktur,
• Für das Funktionieren von Staat und Gesellschaft wichtige Einrichtungen, darunter m.in, Produktion, Wasser- und Abwassermanagement sowie der Lebensmittelsektor.

Die Richtlinie legt außerdem mehr Wert auf  die Rechenschaftspflicht der Verwaltungsorgane und legt ihnen spezifische Verpflichtungen und potenzielle Haftung für Nichteinhaltung von Cybersicherheitsverpflichtungen auf.

Was wird als Nächstes mit dem Gesetz geschehen, nachdem es unterzeichnet wurde?

• Das Gesetz zur Umsetzung der NIS-2-Richtlinie in das polnische Rechtssystem wurde unterzeichnet, während der Präsident der Republik Polen beim Verfassungsgericht einen Antrag gestellt hat, die Einhaltung einiger Bestimmungen (insbesondere der sogenannten Hochrisiko-Lieferanten) mit der Verfassung der Republik Polen zu prüfen. Dies setzt den Inkrafttreten nicht aus, kann aber nach dem Urteil des Verfassungsgerichts zu möglichen Änderungen führen.
• Das Gesetz  tritt einen Monat nach seiner Veröffentlichung im Gesetzblatt in Kraft, was den Inkrafttreten der neuen Vorschriften und der damit verbundenen Umsetzungsfristen für Unternehmen bedeutet.

Die wichtigsten Änderungen, die sich aus der Änderung ergeben haben

Die neuen Vorschriften sehen m.in vor:

• Unterteilung der Einrichtungen in Schlüssel- und Wichtigkeitsbereiche, wodurch der Katalog der unter Cybersicherheitsverpflichtungen fallenden Einheiten erheblich erweitert wird.
• Das Risikomanagementsystem sowie technische/organisatorische Verantwortlichkeiten passen sich an das Geschäftsprofil und den Risikograd an.
• Schnellere Reaktion und Vorfallberichterstattung durch ein integriertes Berichtssystem und Unterstützung durch das Computer Security Incident Response Team (CSIRT).
• Verbesserte Aufsicht und die Fähigkeit, Hochrisiko-Lieferanten zu identifizieren, was zusätzliche praktische und prozedurale Herausforderungen für Unternehmen schafft.
• Hohe Verwaltungsstrafen bei Verstößen gegen Cybersicherheitspflichten.

Was bedeutet das für Unternehmer?

Für Unternehmen, die in den von NIS-2 abgedeckten Sektoren tätig sind, und für viele Organisationen in der Lieferkette wichtiger Dienstleistungen bedeutet die Unterzeichnung des Gesetzes die Notwendigkeit:

• Selbstbestimmung und Beurteilung, ob sie den Verpflichtungen unterliegen
• Umsetzung angemessener Risikomanagementmaßnahmen und Sicherheitsmaßnahmen,
• Erstellung von Berichtsstrukturen für Vorfälle und Einhaltung neuer Compliance-Anforderungen,
• unter Berücksichtigung der potenziellen Haftung des Vorstands für seine Tätigkeiten.