Polonia endurece las normas cibernéticas: 700 millones de euros para un escudo digital

Ley promulgada, pero con reservas

El presidente Karol Nawrocki promulgó el 19 de febrero de 2026 una enmienda a la ley del Sistema Nacional de Ciberseguridad (KSC), que implementa la directiva NIS2 de la UE. Polonia es uno de los últimos países de la Unión Europea en completar este proceso; el plazo de implementación expiró en octubre de 2024, hace más de 15 meses. Significativamente, Nawrocki también remitió la ley al Tribunal Constitucional, expresando dudas sobre su alcance.

Prohibición de proveedores de fuera de la OTAN

Un cambio clave es la introducción de la categoría de "proveedores de alto riesgo": entidades que pueden ser excluidas del suministro de productos y servicios a sectores estratégicos. El principal criterio es la conexión del proveedor con un país fuera de la OTAN o la Unión Europea. En el debate público, el objetivo principal de la regulación se considera que son las empresas de telecomunicaciones chinas, especialmente Huawei, de ahí el nombre no oficial de Lex Huawei.

Las disposiciones cubren 18 sectores de la economía, incluidos el agua y el saneamiento, los servicios postales, el espacio y la producción química y alimentaria. Las entidades que ya utilizan equipos de proveedores de alto riesgo tienen siete años para reemplazarlos. Las nuevas regulaciones también imponen la obligación de informar sobre incidentes, realizar evaluaciones de riesgos y la responsabilidad de la gestión en materia de ciberseguridad.

Escudo cibernético por valor de 700 millones de euros

Las nuevas regulaciones forman parte de un programa más amplio de "escudo cibernético": un paquete de inversiones por valor de 700 millones de euros destinado a fortalecer la resistencia de Polonia a los ataques digitales. En 2026, el presupuesto para la ciberseguridad aumentó a un récord de mil millones de euros, en comparación con los 600 millones del año anterior. El programa incluye la modernización de los sistemas de protección, auditorías de seguridad periódicas y la construcción de centros sectoriales de respuesta a incidentes (CSIRT).

Ola récord de ataques atribuidos a Rusia

El impulso para endurecer la ley es la escala sin precedentes de los ciberataques dirigidos contra Polonia. Según el informe de Microsoft Digital Defense Report, Polonia es el país de la Unión Europea más atacado cibernéticamente. En 2024, el sector público registró un promedio de más de 2000 ataques por mes.

En diciembre de 2025, Polonia repelió uno de los ataques más graves de los últimos años: los hackers intentaron interrumpir el funcionamiento de dos centrales de cogeneración y parques eólicos, amenazando la calefacción de hasta 500.000 personas en pleno invierno. El primer ministro Donald Tusk elogió a los servicios por su defensa eficaz, destacando que "todo indica la participación de grupos vinculados a los servicios de seguridad rusos". El viceprimer ministro Krzysztof Gawkowski estima que Polonia repele entre 20 y 50 intentos de dañar la infraestructura crítica cada día.

Las empresas protestan, el Tribunal Constitucional decidirá

La ley no está exenta de controversia. Once organizaciones empresariales pidieron al presidente que remitiera la ley al Tribunal Constitucional, argumentando que el reemplazo obligatorio de equipos sin compensación viola los derechos constitucionales de propiedad y amenaza la competitividad de las empresas polacas. Nawrocki cumplió con esta petición, remitiendo la ley al Tribunal Constitucional simultáneamente con su promulgación.

Polonia en la línea del frente digital

"Las guerras no siempre comienzan con un disparo, a veces comienzan con un clic", enfatizó el presidente Nawrocki. Estas palabras reflejan la nueva doctrina de seguridad de Varsovia: el ciberespacio se ha convertido en una dimensión legítima del conflicto. Polonia, que limita con Bielorrusia y es un aliado clave de Ucrania, se encuentra hoy en la primera línea del frente digital en Europa, y tiene la intención de defenderla a toda costa.