Nye cybersikkerhedsregler i Polen: Bøder kan nå 10 mio. euro og også ramme danske firmaer

Cybersikkerhedsregler i Polen er blevet markant vigtigere for virksomheder, efter at Polen endelig har gennemført EU’s NIS2-direktiv i national lovgivning. Den polske præsident underskrev ændringen af loven om det nationale cybersikkerhedssystem den 19. februar 2026, og reglerne træder i kraft efter en måneds vacatio legis fra offentliggørelsen, altså i begyndelsen af april 2026.

For danske virksomheder med aktivitet i Polen er det ikke bare en teknisk nyhed. Cybersikkerhedsregler i Polen kan få direkte betydning for selskaber med polske datterselskaber, lokale leverandører, IT-drift, kundedata eller anden forretningsaktivitet i landet. Samtidig er det især bødeniveauet, der gør udviklingen svær at ignorere: ved alvorlig manglende overholdelse kan bøderne nå op på 10 millioner euro eller 2 procent af den globale årsomsætning for væsentlige enheder.

Hvad betyder de nye cybersikkerhedsregler i Polen?

De nye cybersikkerhedsregler i Polen er landets implementering af EU’s NIS2-direktiv, som skal styrke digital sikkerhed i hele EU. Direktivet udvider kravene til blandt andet risikostyring, hændelsesrapportering, leverandørkædesikkerhed og ledelsesansvar.  Det betyder, at cybersikkerhed ikke længere kun er et spørgsmål for IT-afdelingen, men i høj grad også er blevet et ledelses- og complianceområde.

Polen kom sent i mål med implementeringen. Fristen for medlemslandene var 17. oktober 2024, men den polske lov blev først endeligt vedtaget i 2026. Det har skabt en længere periode med usikkerhed for virksomheder, som længe har vidst, at nye krav var på vej, men ikke præcist hvordan de ville blive udformet i Polen.

Hvorfor er cybersikkerhedsregler i Polen relevante for danske virksomheder?

For Mit Polens læsere er den danske vinkel ret oplagt. Mange danske virksomheder bruger Polen som marked, produktionsland, outsourcingbase eller logistisk knudepunkt. Derfor er cybersikkerhedsregler i Polen ikke kun noget, der vedrører polske virksomheder. Har man kunder, medarbejdere, systemer eller samarbejdspartnere i Polen, kan de nye regler også få betydning indirekte eller direkte.

Det gælder især virksomheder, der arbejder med kritiske data, digitale tjenester, transport, industri, finans, sundhed, energi eller anden drift, hvor nedbrud eller angreb kan få store konsekvenser. En dansk virksomhed kan derfor godt blive påvirket, selv hvis hovedkontoret ligger i Danmark, men en væsentlig del af driften er knyttet til Polen.

Hvilke virksomheder kan blive omfattet?

De nye cybersikkerhedsregler i Polen omfatter 18 sektorer og indfører samtidig en opdeling mellem væsentlige og vigtige enheder, som bliver mødt af forskellig grad af tilsyn og regulering. Det betyder, at virksomheder ikke bare skal spørge, om de er omfattet, men også hvilken kategori de tilhører.

Et vigtigt punkt er, at virksomheder i høj grad selv skal vurdere, om de falder ind under reglerne. De skal også forholde sig til registrering hos den relevante myndighed og sikre, at de faktisk lever op til kravene. Det gør cybersikkerhedsregler i Polen ekstra relevante for udenlandske virksomheder, der ikke nødvendigvis følger polsk lovgivning tæt i det daglige.

Bøderne gør cybersikkerhedsregler i Polen svære at ignorere

Det, der for alvor gør historien stor, er sanktionerne. For væsentlige enheder kan manglende overholdelse føre til bøder på op til 10 millioner euro eller 2 procent af den globale årsomsætning. For vigtige enheder er niveauet lavere, men stadig betydeligt. Det sender et klart signal om, at cybersikkerhedsregler i Polen ikke er symbolpolitik, men reelle krav med økonomiske konsekvenser.

For danske virksomheder med aktivitet i landet er cybersikkerhedsregler i Polen derfor noget, der bør vurderes seriøst allerede nu og ikke først, når myndighederne begynder at føre kontrol. Det gælder især, hvis virksomheden har en koncernstruktur, hvor ansvar, systemer og leverandører går på tværs af landegrænser.

Fra analyse til handling

Mange virksomheder har i længere tid ventet på den endelige polske lovtekst, før de satte større investeringer eller konkrete tiltag i gang. Nu er den fase slut. Med de nye cybersikkerhedsregler i Polen er perioden med afventning afløst af et mere praktisk spørgsmål: Har virksomheden styr på processer, ansvar, dokumentation og hændelseshåndtering?

I praksis handler det ikke kun om at købe nye sikkerhedsløsninger. Det handler også om governance, rapportering, ledelsesforankring og evnen til at bevise, at virksomheden faktisk arbejder systematisk med digital sikkerhed. Det er mindre spændende at læse om end hackerfilm og katastrofeoverskrifter, men desværre langt mere relevant i virkeligheden.

Cybersikkerhedsregler i Polen bliver en del af en større udvikling

De nye cybersikkerhedsregler i Polen er også en del af en bredere udvikling i EU, hvor virksomheder mødes af flere krav til robusthed, dokumentation og ansvar. NIS2 står ikke alene, men indgår i et voksende reguleringsmiljø, hvor digital sikkerhed, kritisk infrastruktur og organisatorisk modstandskraft fylder mere og mere.

For virksomheder betyder det, at cybersikkerhed i stigende grad skal tænkes ind som en fast del af forretningen og ikke som et enkeltstående projekt. Netop derfor er cybersikkerhedsregler i Polen interessante for danske læsere: de fortæller ikke bare noget om Polen, men også om hvordan kravene til moderne virksomheder ændrer sig i hele Europa.

Det bør danske virksomheder gøre nu

For danske virksomheder med aktivitet i Polen er det oplagt at starte med en grundig afklaring af, om man selv eller ens polske enheder og samarbejdspartnere er omfattet af reglerne. Derefter bør man se på ansvar, processer, hændelsesberedskab og dokumentation. For nogle bliver det mest en juridisk og organisatorisk øvelse. For andre vil det kræve større investeringer og ændringer i den måde, man arbejder med IT-sikkerhed på.

Har du brug for konsultation ang. dette eller andre aspekter ved det polske marked, er du velkommen til at kontakte mig. Jeg har også et større netværk af advokater i mit netværk, hvis du gerne vil have juridsk bistand også.

Artiklen er ikke bragt i samarbejde med nogen, men din virksomhed eller organisation kan blive hovedpartner eller temapartner og blive nævnt her i lignende artikler og podcast-episoder.