Les entreprises seront soumises à de nouvelles obligations. Le non-respect de ces obligations pourrait entraîner des amendes de plusieurs millions d'euros.

• Le gouvernement a adopté un amendement à la loi sur le système de sécurité nationale (NSS). Le projet de loi a été soumis à la Diète (Sejm).
• La nouvelle réglementation pourrait concerner jusqu'à 80 000 entités. La liste des secteurs concernés a été élargie pour inclure de nouveaux domaines : le traitement des eaux usées, les services postaux, le secteur spatial, ainsi que la production et la distribution de produits chimiques et alimentaires.
• Les entités concernées par cette réglementation devront mettre en œuvre un certain nombre de solutions coûteuses et exigeantes en main-d'œuvre.
• Toute infraction à la réglementation sera passible de sanctions très sévères. Pour les entités clés, ces sanctions pourront atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel (le montant le plus élevé étant retenu), avec un minimum de 20 000 PLN.

La révolution de la cybersécurité en Pologne prend de l'ampleur. Le 21 octobre 2025, le Conseil des ministres a adopté un amendement à la loi sur le système national de cybersécurité , transposant la directive européenne NIS2 .

Le projet de loi, qui sera maintenant soumis au Parlement, introduit des changements d'une ampleur sans précédent qui toucheront des dizaines de milliers d'entreprises, de collectivités locales et d'institutions publiques.

La nouvelle réglementation touchera jusqu'à 80 000 entités

Le changement le plus important est l'élargissement considérable de la liste des entités couvertes par la réglementation.

La modification remplace la nomenclature actuelle des opérateurs de services essentiels et des fournisseurs de services numériques par deux nouvelles catégories : les entités essentielles et les entités importantes. On estime que la nouvelle réglementation concernera entre 40 000 et 80 000 entités en Pologne , soit une augmentation de plus de 100 000 entités par rapport à la situation actuelle.

La catégorie des entités clés comprend les plus grandes entreprises des secteurs d'importance fondamentale pour l'économie et la société, tels que l'énergie, les transports, la finance, la santé et les infrastructures numériques.

Le catalogue des secteurs a été élargi pour inclure de nouveaux domaines : le traitement des eaux usées, les services postaux, l'espace, la production et la distribution de produits chimiques et alimentaires .

La couverture de l'ensemble du secteur de l'administration publique, y compris les collectivités locales et leurs unités organisationnelles, est particulièrement controversée.

Cela signifie que même les écoles, les centres sociaux et les institutions culturelles gérés par les municipalités devront se conformer aux exigences du KSC. Ceci représente un défi de taille pour de nombreuses petites collectivités locales confrontées à des difficultés budgétaires et à un manque de personnel.

Le principe de base est que la directive NIS2 s’applique aux entités qui répondent au moins aux critères d’entreprises de taille moyenne – c’est-à-dire employant au moins 50 personnes et réalisant un chiffre d’affaires annuel supérieur à 10 millions d’euros .

Les micro et petites entreprises ne seront généralement pas soumises à ces exigences, sauf si elles sont désignées comme entités critiques ou fournissent des services spécifiques, tels que l'enregistrement de noms de domaine.

Systèmes de gestion des risques, modèle de signalement des incidents en trois étapes

Cet amendement introduit un certain nombre d'obligations spécifiques. Il repose sur la mise en œuvre, au sein de l'organisation, d'un système global de gestion des risques , fondé sur une analyse des risques liés aux TIC et prenant en compte non seulement les menaces numériques, mais aussi les menaces physiques, humaines et environnementales.

Les organisations seront tenues de procéder régulièrement à des analyses de risques et, sur la base des résultats, de mettre en œuvre des mesures techniques et organisationnelles appropriées.

La liste des mesures de sécurité minimales comprend les politiques de contrôle d'accès, le chiffrement, la gestion des incidents, la continuité des activités (plans de continuité des activités et de reprise après sinistre) et la sécurité de la chaîne d'approvisionnement.

Les entités doivent également établir des procédures de réponse aux incidents et dispenser une formation régulière aux employés, y compris à la direction.

Le modèle de signalement des incidents à trois niveaux est particulièrement exigeant. Une alerte précoce doit être soumise dans les 24 heures suivant la détection d'un incident grave, un rapport détaillé dans les 72 heures et un rapport final au plus tard un mois après le signalement. Cette exigence impose aux organisations de disposer d'un système efficace de détection et de classification des incidents.

Ce n'est plus seulement le département informatique qui est concerné. La responsabilité incombe aux plus hauts niveaux de l'organisation.

Un élément nouveau et important réside dans la responsabilité directe de la direction en matière de cybersécurité . La modification législative exige que les conseils d'administration et la direction prennent des décisions stratégiques concernant la sécurité de l'information et la planification financière, et supervisent la mise en œuvre de ces responsabilités.

Il s'agit d'un changement de paradigme : la cybersécurité n'est plus le domaine exclusif des services informatiques, mais devient une priorité stratégique au niveau de la direction générale.

Les dirigeants seront tenus personnellement responsables financièrement et juridiquement des infractions réglementaires. Cela accroît considérablement les enjeux pour les décideurs au plus haut niveau de l'organisation.

Sanctions draconiennes : les amendes pourraient atteindre des dizaines de millions de zlotys

La loi prévoit un système d'amendes dissuasives. Pour les entreprises clés, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel (le montant le plus élevé étant retenu), avec un montant minimal de 20 000 PLN. Pour les entreprises importantes, les amendes peuvent atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires , avec un montant minimal de 15 000 PLN.

Les sanctions les plus sévères s'appliquent en cas de non-respect des obligations contractuelles envers les fournisseurs à haut risque et lorsque l'infraction constitue une menace grave pour la sécurité nationale ou l'ordre public. Les pénalités pour chaque jour de retard d'exécution peuvent aller de 50 000 à 100 000 PLN.

Ces nouvelles obligations engendrent des coûts se chiffrant en centaines de milliers de zlotys.

La mise en œuvre des dispositions de la loi implique des dépenses financières importantes. Les estimations pour la première phase de mise en œuvre (audit, analyse des risques, documentation) pour une entreprise manufacturière de taille moyenne varient de quelques dizaines à plusieurs centaines de milliers de zlotys.

La phase suivante, avec la mise en œuvre de la technologie, coûte entre 150 000 et 300 000 PLN, et la surveillance avancée (SIEM/SOC) coûte entre 200 000 et 500 000 PLN , voire plus.

Un autre défi tout aussi sérieux est la pénurie de spécialistes. Selon la Chambre polonaise des technologies de l'information et des télécommunications, la Pologne manque actuellement de plus de 10 000 experts en cybersécurité . Ce déficit de compétences s'est accentué suite à l'agression russe contre l'Ukraine, et la demande augmentera rapidement avec la mise en œuvre de la directive NIS2.

En réponse à ces défis, le ministère des Affaires numériques, en collaboration avec le ministère de la Défense nationale, a lancé des programmes de formation pour les entités du système national de cybersécurité, qui ont débuté à l'automne 2025. La formation était divisée en trois catégories : pour tous les employés (cyberhygiène), pour le personnel de direction et les services informatiques, et des ateliers spécialisés.

Le moment de s'adapter est le moment d'agir

Le projet d'amendement prévoit une période d'ajustement de six mois après l'adoption du projet de loi. Si nous ne prenons pas de mesures préparatoires d'ici là, ce délai sera trop court.

Les entités sont confrontées à un dilemme : commencer maintenant, malgré l’absence de certitude juridique définitive, ou attendre la publication de la loi, au risque de manquer de temps pour une mise en œuvre correcte.

Cinq actions peuvent être mises en œuvre quelle que soit la forme finale de la réglementation :

1. organiser un département de cybersécurité (interne ou externe),
2. désignation des personnes responsables des contacts avec les autorités de surveillance, notamment le CSIRT,
3. inventaire détaillé des processus, du matériel et des logiciels,
4. réaliser une analyse des risques et définir les priorités,
5. développement d'un processus de gestion des incidents.

Collectivités locales en situation particulière. Programme spécial

Le secteur public, et les collectivités locales en particulier, sont confrontés à des défis spécifiques. Ces dernières sont souvent aux prises avec des déficits budgétaires et un manque d'experts locaux en cybersécurité.

L’ampleur des obligations est comparable à la mise en œuvre du RGPD, mais avec une plus grande importance accordée aux éléments liés aux TIC.

Pour soutenir les collectivités locales, le gouvernement a lancé le programme « Collectivités locales cybersécurisées » , doté d'un budget de 1,5 milliard de zlotys . Sur ce montant, 1,2 milliard de zlotys sont alloués à l'infrastructure matérielle et logicielle, 183 millions au développement des procédures, à la certification et aux audits, et 105 millions à la formation des employés.

Les fonds doivent être utilisés d'ici fin juin 2026 .

Les cyberattaques sont en hausse, la Pologne figurant parmi les principales victimes.

L’ampleur des cybermenaces en Pologne ne cesse de croître. Plus de 600 000 incidents de sécurité ont été recensés en 2024, soit 60 % de plus que l’année précédente.

Plus de 100 000 violations de données ont été confirmées, soit une augmentation de 23 %.

Les chiffres concernant les attaques graves, qui ont augmenté de 57 %, et les violations de données dans le secteur public, de 58 %, sont particulièrement alarmants.

La Pologne est le troisième pays d'Europe le plus fréquemment la cible d'attaques perpétrées par des groupes APT parrainés par des États étrangers, principalement la Russie. Les infrastructures critiques et les services publics — transports, énergie, eau et santé — sont les plus souvent visés.

L'avenir, c'est le Zero Trust et l'IA. Non pas une simple exigence, mais une nécessité.

La nouvelle réglementation définit les orientations du développement de la cybersécurité en Pologne pour les années à venir. Les tendances dominantes seront l'automatisation de la sécurité grâce à l'intelligence artificielle, le développement de systèmes de détection et de prévention des intrusions en temps réel, la généralisation de l'authentification multifacteurs et l'architecture Zero Trust, qui repose sur le principe qu'aucun utilisateur ni appareil ne doit être considéré comme fiable sans vérification.

La loi sur le système national de cybersécurité n'est pas seulement une obligation légale, mais surtout un investissement dans la résilience de l'organisation face aux menaces du XXIe siècle.

À l'ère de la transformation numérique, la cybersécurité est une nécessité commerciale et une priorité stratégique pour toute organisation qui souhaite opérer de manière sûre et responsable.