Die Novelle des Gesetzes über das nationale Cybersicherheitssystem (UKSC) wurde veröffentlicht. Nun setzt eine intensive Phase der Anpassung an die neuen Anforderungen im Bereich der Cybersicherheit ein

Am 2. März 2026 wurde im Gesetzblatt die Novelle des Gesetzes über das nationale Cybersicherheitssystem veröffentlicht, mit der die Anforderungen der NIS-2-Richtlinie in polnisches Recht umgesetzt werden. Die neuen Vorschriften treten bereits am 3. April 2026 in Kraft und werden nach Schätzungen der Regierung mehr als 40.000 neue Unternehmen betreffen.

Die Veröffentlichung der UKSC-Novelle im Gesetzblatt stellt einen Meilenstein in den fast zwei Jahre andauernden Arbeiten zur Anpassung der polnischen Rechtsordnung an die Anforderungen der NIS-2-Richtlinie dar.

Mit der Verkündung des Gesetzes begann die einmonatige Übergangsfrist, und die Novelle selbst tritt am 3. April 2026 in Kraft. Ab diesem Datum beginnen die Fristen für die Erfüllung der Pflichten zu laufen, die für die von der Regelung betroffenen Unternehmen, d. h. für kritische und wichtige Unternehmen, vorgesehen sind.

Im Rahmen der parlamentarischen Beratungen über die Verordnung wurden einige Fristen für die Erfüllung der Verpflichtungen verlängert; der endgültige Zeitplan sieht wie folgt aus:

• bis zum 3. Oktober 2026 sind kritische und wichtige Unternehmen verpflichtet, sich selbst zu identifizieren und in das Verzeichnis der kritischen und wichtigen Unternehmen eintragen zu lassen;
• bis zum 3. April 2027 müssen kritische und wichtige Unternehmen die meisten neuen Verpflichtungen erfüllen, darunter vor allem die Umsetzung geeigneter technischer und organisatorischer Maßnahmen im Rahmen ihres Informationssicherheits-Managementsystems;
• bis zum 3. April 2028 müssen kritische Unternehmen (nicht anwendbar bei wichtigen Unternehmen) die erste Sicherheitsprüfung ihres Informationssystems durchführen; jede weitere Prüfung hat mindestens alle drei Jahre zu erfolgen.

In der Praxis bedeutet dies, dass der Gesetzgeber eine einjährige Frist für die Anpassung an den wesentlichen Teil der neuen Verpflichtungen vorgesehen hat. Das ändert jedoch nichts daran, dass sich diese Frist für viele Organisationen als zu kurz erweisen kann, insbesondere wenn gleichzeitig eine Analyse der Anwendbarkeit der Vorschriften durchgeführt, neue Verfahren erarbeitet, technische Maßnahmen umgesetzt oder das Personal geschult werden müssen.

Eine besondere Erwähnung verdient die Frage der Sanktionen bei nicht fristgerechter Erfüllung der Verpflichtungen. Die neuen Vorschriften sehen die Möglichkeit vor, bei der Umgehung gesetzlicher Pflichten hohe Geldstrafen zu verhängen. Von großer Bedeutung ist jedoch die Einführung eines Moratoriums für Geldstrafen. Gemäß den Übergangsbestimmungen dürfen administrative Geldstrafen erstmals erst zwei Jahre nach Inkrafttreten der Novelle verhängt werden. Dies gilt jedoch nicht für die sogenannte qualifizierte Geldbuße, die bis zu einer Höhe von 100 Millionen Zloty verhängt werden kann, falls die Pflichtverletzung unter anderem eine ernsthafte Gefahr für die Verteidigung und Sicherheit des Staates, die öffentliche Ordnung oder das Leben und die Gesundheit der Menschen darstellt.

Es sei darauf hingewiesen, dass der Präsident der Republik Polen mit der Unterzeichnung der Novelle des UKSC gleichzeitig einen Antrag an das Verfassungsgericht auf nachträgliche Überprüfung der neuen Vorschriften gestellt hat. Der Antrag betrifft unter anderem die Prüfung der umstrittenen Praxis, bestimmte Akteure als Hochrisiko-Lieferanten einzustufen. Eine eventuelle spätere Entscheidung des Gerichtshofs kann sich auf die Beurteilung der Verfassungsmäßigkeit bestimmter Vorschriften auswirken, schiebt jedoch weder das Inkrafttreten der Gesetzesänderung noch den Ablauf der für die von der Regelung betroffenen Unternehmen vorgesehenen Fristen auf.