Im Jahr 2025 zählt Cyberkriminalität zu den größten Bedrohungen für Unternehmen in Polen und Europa. Mit dem Inkrafttreten der Änderung des Gesetzes über das Nationale Cybersicherheitssystem (zur Umsetzung der NIS2-Richtlinie) wächst die Verantwortung der Unternehmen für den Schutz von Daten und IT-Systemen sowie für die Reaktion auf Sicherheitsvorfälle. Strafrechtlich betrachtet stellt ein Cyberangriff nicht nur eine technische Bedrohung, sondern auch eine potenzielle Computerstraftat dar – mit möglichen finanziellen, rufschädigenden und strafrechtlichen Folgen.

In diesem Artikel erläutern wir, wie das Strafrecht Computerkriminalität definiert, welche neuen Pflichten Unternehmer haben und wie man ein effektives Compliance-System im Bereich der Cybersicherheit aufbaut.

Was sind Computerstraftaten nach polnischem Recht?

Seit über einem Jahrzehnt enthält das polnische Strafrecht eine Reihe von Bestimmungen zur Bestrafung sogenannter Computerkriminalität ( Cyberkriminalität ).

Die wichtigsten davon sind:

Art. 267 des Strafgesetzbuches – unrechtmäßige Beschaffung von Informationen (z. B. Hacking eines IT-Systems, Verletzung der Sicherheitsvorkehrungen);
Art. 268a des Strafgesetzbuches – Störung des Betriebs eines Computersystems oder IT-Netzwerks;
Art. 269–269b des Strafgesetzbuches – Angriffe, die die öffentliche Sicherheit oder kritische Infrastrukturen bedrohen;
Art. 287 des Strafgesetzbuches – Computerbetrug (z. B. Manipulation von Daten im System, um finanzielle Vorteile zu erlangen).

In der Praxis umfassen diese Straftaten Phishing, Ransomware, DDoS-Angriffe, den Diebstahl personenbezogener Daten und die Manipulation von Finanzsystemen. Ihre Folgen sind nicht nur finanzielle Verluste, sondern auch die rechtliche Haftung für Verstöße gegen Datenschutzbestimmungen (DSGVO) und nationale Cybersicherheitsvorschriften.

Laut dem CERT Polska-Bericht für 2024 stieg die Zahl der gemeldeten Vorfälle im Jahresvergleich um über 30 %, wobei der größte Anteil der Ransomware- und Phishing-Angriffe auf Unternehmen im Finanz- und Dienstleistungssektor entfiel.

Welche Cybersicherheitsverantwortung tragen Unternehmen im Jahr 2025?

Die Änderung des Gesetzes über das Nationale Cybersicherheitssystem (NCS) zur Umsetzung der NIS2-Richtlinie tritt 2025 in Kraft und erweitert den Kreis der unter die Verpflichtungen fallenden Unternehmen.
Dies betrifft unter anderem Unternehmen folgender Branchen:

digitale Dienste
Finanzen,
Transport,
Gesundheitspflege,
Energie,
IT-Infrastrukturanbieter.

Hauptverantwortlichkeiten von Unternehmen:

Implementierung eines Risikomanagementsystems im IT- und OT-Bereich.
Sicherheitsvorfälle sind innerhalb von 24 Stunden an CSIRT NASK oder CERT Polska zu melden.
Dokumentation der Verfahren zur Reaktion auf Zwischenfälle.
Mitarbeiterschulung zur Cyberhygiene.
Überprüfung von Lieferanten und Subunternehmern im Hinblick auf Informationssicherheit.

Ein Verstoß gegen diese Verpflichtungen kann zu Verwaltungsstrafen von bis zu 10 Millionen PLN oder 2 % des Jahresumsatzes (abhängig von der Art des Unternehmens) führen.

Strafrechtliche und organisatorische Haftung von Unternehmen

Obwohl die strafrechtliche Haftung im Allgemeinen bei Einzelpersonen liegt, einschließlich Vorstandsmitgliedern und Systemadministratoren, können Unternehmen auch nach dem Gesetz über die Haftung kollektiver Organisationen haftbar gemacht werden.

Ein Unternehmen kann haftbar gemacht werden, wenn:

Im Zusammenhang mit den Aktivitäten des Unternehmens wurde ein Verbrechen begangen.
Der Vorfall war auf unzureichende Aufsicht, fehlende Verfahren oder mangelnde Schulung zurückzuführen.
Das Unternehmen hat kein wirksames Compliance- oder Vorfallsreaktionssystem implementiert.

Das Gericht kann dann unter anderem Folgendes anordnen:

eine Geldstrafe von bis zu 10 Millionen PLN
Verbot der Geschäftstätigkeit
Einziehung von Erträgen aus Straftaten
Veröffentlichung des Urteils (die oft schwerwiegendere Folgen für den Ruf des Unternehmens hat als die Geldstrafe selbst).

Wie lässt sich ein Cybersicherheits-Compliance-Programm effektiv implementieren?

Ein Cybersicherheits-Compliance-Programm ist nicht nur eine IT-Sicherheitsrichtlinie, sondern ein umfassendes System aus Verfahren, Audits und internen Kontrollmechanismen. Hier sind praktische Schritte, die sich für jedes Unternehmen lohnen:

1. Verantwortung und Aufsicht definieren.

Ernennen Sie einen Informationssicherheitsbeauftragten (CISO) oder benennen Sie eine Person, die für die Einhaltung von KSC/NIS2 und der DSGVO verantwortlich ist.

2. Sicherheitsrichtlinien und -verfahren entwickeln.

Enthalten:

Richtlinien für Passwort- und Zugriffsverwaltung
Klassifizierung von Informationen,
Reaktion auf Vorfälle,
Kommunikation mit den Behörden (CSIRT, UODO, Polizei).

3. Phishing-Schulung und -Test

Regelmäßige Schulungen zur Cyberhygiene und Tests zur sozialen Technik helfen dabei, menschliche Schwachstellen aufzudecken – die häufigste Ursache für Vorfälle.

4. IT-Audit und Penetrationstests

Eine externe Prüfung bestätigt die Wirksamkeit der Sicherheitsmaßnahmen und liefert den Nachweis der gebotenen Sorgfalt – wichtig im Falle eines Strafverfahrens.

5. Integration von Compliance und IT

Verknüpfen Sie Compliance-Verfahren mit IT-Aktivitäten – zum Beispiel durch ein gemeinsames Vorfallregister, eine Risikomatrix und Managementberichte.

Praktischer Hinweis: Bei einer Inspektion oder einem Gerichtsverfahren ist die Dokumentation von Präventivmaßnahmen von entscheidender Bedeutung – selbst die besten technischen Sicherheitsmaßnahmen können formale Verfahren und den Nachweis ihrer Anwendung nicht ersetzen.

Cyberethik und Sicherheitskultur – eine neue Dimension der Unternehmensverantwortung

Moderne Compliance beschränkt sich nicht nur auf Vorschriften und Regeln, sondern umfasst auch digitale Ethik und eine Kultur der Verantwortung. Transparenz bei der Meldung von Vorfällen, offene Kommunikation mit Kunden und die Zusammenarbeit mit Behörden gehören heute zu den bewährten Vorgehensweisen.

Unternehmen, die offen auf Vorfälle reagieren, minimieren Reputationsschäden und stärken das Vertrauen des Marktes.
Im Jahr 2025 werden Organisationen, die Cybersicherheit als Teil ihrer ESG-Strategie betrachten – und Datensicherheit mit ethischem Management und Nachhaltigkeit verbinden –, einen Wettbewerbsvorteil erlangen.

Zusammenfassung und Empfehlungen

Cybersicherheit ist zu einem integralen Bestandteil des Straf- und Wirtschaftsrechts geworden.
Bis 2025 sollte jedes Unternehmen – unabhängig von der Branche – Folgendes beachten:

Verfahren gemäß NIS2 und dem KSC-Gesetz umsetzen
Durchführung eines IT- und Compliance-Risikoaudits
Mitarbeiter in Cyberhygiene und Datenschutz schulen
Führen eines Protokolls über Vorfälle und Nachweise über Korrekturmaßnahmen,
eine Kultur der digitalen Ethik aufbauen.

Fazit: IT-Sicherheit ist nicht nur eine technische Angelegenheit, sondern eine rechtliche und ethische Verpflichtung für Unternehmen. Wer diese Verpflichtungen ignoriert, riskiert nicht nur finanzielle Verluste, sondern auch strafrechtliche Sanktionen und einen Vertrauensverlust am Markt.

FAQ – Häufig gestellte Fragen zu Cybersicherheit und Strafrecht

1. Haftet ein Unternehmen für die Folgen eines Cyberangriffs, wenn es durch Phishing betrogen wurde?
Ja – wenn angemessene Sicherheitsvorkehrungen oder Schulungen fehlten, könnte dies als Fahrlässigkeit ausgelegt werden und eine Haftung des Unternehmens nach sich ziehen.

2. Wann sollte ein IT-Vorfall an CERT Polska gemeldet werden?

Unverzüglich, spätestens jedoch 24 Stunden nach der Entdeckung – gemäß dem Gesetz über das nationale Cybersicherheitssystem.

3. Gilt die NIS2-Richtlinie auch für kleine Unternehmen?

Nicht immer – dies gilt für sogenannte Schlüsselunternehmen. Kleine Unternehmen können jedoch als Subunternehmer oder IT-Dienstleister indirekt unter die Verpflichtungen fallen.

5. Wie lassen sich Compliance und Datenschutz mit Cybersicherheit kombinieren?
Die beste Lösung ist ein integriertes Compliance-System, das DSGVO, NIS2 und Strafgesetzbuch vereint – gemeinsame Register für Risiken, Vorfälle und Schulungen.

ccf0b8df e283 4185 b5a9 4adb0a3dc3fa — Cyberkriminalität und Strafrecht im Jahr 2025 – wie Unternehmen sich effektiv verteidigen können 4

Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.

Rechtsstatus ab dem 12. November 2025

Autor:

Aleksandra Kostrzewska

Rechtsreferendarin
+48 22 856 36 60 | a.kostrzewska@kglegal.pl

Herausgeber der Reihe:

Mateusz Grosicki

Rechtsanwalt, Partner
+48 506 367 109 | m.grosicki@kglegal.pl

Beitragsaufrufe: 91

Die Anwaltskanzlei Graś i Wspólnicy steht für Professionalität, Erfahrung und Unterstützung.

Cyberkriminalität und Strafrecht im Jahr 2025 – wie Unternehmen sich wirksam verteidigen können

Neueste Beiträge

Abfindung im Zusammenhang mit der Beendigung des Arbeitsverhältnisses aus Gründen, die nicht dem Arbeitnehmer zuzurechnen sind

Wird KOWR das Problem des Mangels an Baugrundstücken lösen?

Entwurf einer Änderung des Gesetzes über das Eigentum an Grundstücken

Sanktionen im KSeF

Der Grundsatz der Lohngleichheit im Arbeitsrecht – Anwendungsbereich, Bedeutung und rechtliche Konsequenzen

Unsere Zyklen

Anwaltskanzlei Warschau
Graś und Partner

Unsere Dienstleistungen

Speisekarte

Kontaktieren Sie uns!