Lengyelország szigorítja a kiberbiztonsági szabályokat – 700 millió euró a kibervédelmi pajzsra

Törvény aláírva – de fenntartásokkal

Karol Nawrocki elnök 2026. február 19-én aláírta a Nemzeti Kiberbiztonsági Rendszerről (KSC) szóló törvény módosítását, amely átülteti az uniós NIS2 irányelvet. Lengyelország az Európai Unió egyik utolsó országa, amely befejezte ezt a folyamatot – az átültetés határideje 2024 októberében járt le, több mint 15 hónappal ezelőtt. Figyelemre méltó, hogy Nawrocki egyidejűleg az Alkotmánybírósághoz fordult a törvénnyel kapcsolatban, kétségeket fogalmazva meg annak hatályával kapcsolatban.

NATO-n kívüli beszállítók tiltása

A legfontosabb változás a „magas kockázatú beszállítók” kategóriájának bevezetése – olyan szervezetek, amelyek kizárhatók a stratégiai ágazatok számára termékek és szolgáltatások nyújtásából. A fő kritérium a beszállító kapcsolata egy NATO-n vagy az Európai Unión kívüli országgal. A nyilvános vitában a szabályozás fő céljának a kínai távközlési vállalatokat, különösen a Huawei-t tekintik – innen ered a nem hivatalos Lex Huawei elnevezés.

A szabályozás a gazdaság 18 ágazatára terjed ki, beleértve a víz- és szennyvízgazdálkodást, a postai szolgáltatásokat, az űrkutatást, valamint a vegyi és élelmiszeripari termelést. A magas kockázatú beszállítók berendezéseit már használó szervezeteknek hét évük van azok cseréjére. Az új szabályozás emellett kötelezővé teszi az incidensek jelentését, a kockázatértékelések elvégzését és a vezetők felelősségét a kiberbiztonságért.

Kibervédelmi pajzs 700 millió euróért

Az új szabályozás illeszkedik a szélesebb körű „kibervédelmi pajzs” programba – egy 700 millió eurós beruházási csomagba, amelynek célja Lengyelország digitális támadásokkal szembeni ellenálló képességének megerősítése. 2026-ban a kiberbiztonságra fordított költségvetés rekordot döntött, elérve az egymilliárd eurót, szemben az egy évvel korábbi 600 millióval. A program magában foglalja a védelmi rendszerek korszerűsítését, a rendszeres biztonsági auditokat és az ágazati incidenskezelő központok (CSIRT-ek) kiépítését.

Rekordméretű, Oroszországnak tulajdonított támadási hullám

A jogszigorítás ösztönzője a Lengyelország elleni kibertámadások példátlan mértéke. A Microsoft Digital Defense Report jelentése szerint Lengyelország az Európai Unióban a leggyakrabban kibertámadásnak kitett ország. 2024-ben a közszféra átlagosan több mint 2000 támadást regisztrált havonta.

2025 decemberében Lengyelország visszavert egyet az utóbbi évek legsúlyosabb támadásai közül – hackerek megpróbálták megzavarni két fűtőerőmű és szélerőműpark működését, veszélyeztetve akár 500 ezer ember fűtését a tél közepén. Donald Tusk miniszterelnök dicsérte a szolgálatokat a sikeres védekezésért, hangsúlyozva, hogy „minden arra utal, hogy orosz biztonsági szolgálatokhoz köthető csoportok érintettek”. Krzysztof Gawkowski miniszterelnök-helyettes úgy véli, hogy Lengyelország naponta 20-50 kritikus infrastruktúra elleni támadási kísérletet hárít el.

Az üzleti szféra tiltakozik, az Alkotmánybíróság dönt

A törvény nem mentes a vitáktól. Tizenegy üzleti szervezet szólította fel az elnököt, hogy utalja a törvényt az Alkotmánybírósághoz, azzal érvelve, hogy a berendezések kártérítés nélküli kényszerű cseréje sérti az alkotmányos tulajdonjogokat és veszélyezteti a lengyel vállalatok versenyképességét. Nawrocki eleget tett ennek a követelésnek, és a törvény aláírásával egyidejűleg az Alkotmánybírósághoz fordult.

Lengyelország a digitális frontvonalon

„A háborúk nem mindig lövéssel kezdődnek – néha egy kattintással kezdődnek” – hangsúlyozta Nawrocki elnök. Ezek a szavak tükrözik Varsó új biztonsági doktrínáját: a kibertér a konfliktus teljes jogú dimenziójává vált. Lengyelország, amely Fehéroroszországgal határos és Ukrajna kulcsfontosságú szövetségese, ma Európában a digitális frontvonalon helyezkedik el – és minden áron meg akarja védeni azt.