2026 年 4 月 2 日,波兰政府宣布,波兰《网络安全法》的修订后法案(修正案)于 2026 年 4 月 3 日生效。自该日起,修正案所涵盖实体的法定截止日期开始适用。修正案对波兰国家网络安全框架进行了重组,并使其与欧盟范围内实现高共同网络安全水平的措施指令(NIS2 指令)保持一致,扩大了受监管实体的范围,并明确了合规义务。
主要要点
修订后的网络安全法:波兰修订后的网络安全法于2026年4月3日生效,符合NIS2指令。
合规截止日期:关键和重要实体必须在2026年10月3日前注册,并在2027年4月3日和2028年4月3日前完成各项网络安全义务。
事件报告:严重的网络安全事件必须在24小时内报告,并在72小时内完整记录。
执法:自2028年4月3日起,对不合规行为将处以行政罚款。
支持措施:数字事务部将通过问答、公告和标准化映射提供支持。
初始合规截止日期
根据该修正案以及数字事务部的问答(Q&A)内容,关键和重要机构需在 2026 年 10 月 3 日之前提交入册申请。这六个月的期限旨在让各机构评估自身是否符合范围要求,并完成必要的手续。
注册通过 S46 系统进行,该系统是全国网络安全系统内注册、事件报告和信息交换的中央平台。某些机构,包括电信运营商、信任服务提供商、公共实体以及现有关键服务的运营者,将由数字事务部部长直接纳入登记册。
后续义务与时间表
该修正案引入了对经济战略部门实体的新义务。主要里程碑包括:
截至2027年4月3日,关键和重要实体必须连接到S46系统;
实施信息安全管理系统(ISMS),该系统涵盖用于提供受监管服务的各类系统;
关键实体必须在2028年4月3日前完成首次强制性网络安全审计;
持续的后续网络安全审计必须至少每三年进行一次。
重要实体只有在主管机关要求时才会接受审计。
事故报告义务
问答确认所有关键和重要实体必须内部管理网络安全事件,但只有严重事件才需强制报告。严重事件必须通过S46系统向相关部门的计算机安全事件响应小组(CSIRT)报告,具体情况包括:
在发现后的24小时内提交早期预警;
在发现后的72小时内提交完整事件报告。
被归类为重要实体的公共实体可享受简化的报告义务,如问答中所述。
执法与制裁
修正案规定了合规过渡期。在大多数情况下,行政罚款只能在修正案生效的两年后,即自2028年4月3日起处以。
支持措施
数字事务部宣布将开展一系列支持活动,以促进修订法案的适用。这些内容包括发布问答、发布一系列解释性公告,以及准备将网络安全标准化文件与修订法案的要求进行对应。
新闻来源:https://www.dataguidance.com/news/poland-amended-cybersecurity-act-implementing-nis2
波兰《网络安全法》(修正案)正式生效
作者:王捷来源:垦丁(广州)律所

2026 年 4 月 2 日,波兰政府宣布,波兰《网络安全法》的修订后法案(修正案)于 2026 年 4 月 3 日生效。自该日起,修正案所涵盖实体的法定截止日期开始适用。