NIS2 in Polen

1. Kurzübersicht zur Anwendbarkeit für SMEs in Polen

Gilt NIS2 für KMU in Polen?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Polen niedergelassene Einrichtungen und in bestimmten Fällen für ausländische digitale Anbieter, die den polnischen Markt bedienen.

SMEs sollten ihre Einstufung im Rahmen des nationalen Cybersicherheitsrahmens Polens anhand der Sektorzuordnung und gesetzlicher Schwellenwerte prüfen.

2. Überblick zur Umsetzung von NIS2 in Polen

Polen hat NIS2 durch eine Änderung des Gesetzes über das nationale Cybersicherheitssystem (UKSC / Krajowy System Cyberbezpieczeństwa — KSC) umgesetzt. Die Änderung wurde vom Sejm am 23. Januar 2026 verabschiedet, vom Präsidenten am 19. Februar 2026 unterzeichnet und ist seit dem 3. April 2026 nach einmonatiger vacatio legis in Kraft. Polen hat die Umsetzungsfrist vom 17. Oktober 2024 versäumt und im Mai 2025 eine begründete Stellungnahme der Europäischen Kommission erhalten.

Das geänderte UKSC führt mehrere wesentliche nationale Besonderheiten ein: die verpflichtende Einführung eines umfassenden Informationssicherheits-Managementsystems (ISMS), wobei das Gesetz ausdrücklich PN-EN ISO/IEC 27001 und ISO 22301 als anforderungserfüllend anerkennt; ein verpflichtendes zweijährliches ISMS-Audit mit Übermittlung der Ergebnisse an die zuständige Behörde; einen sektorübergreifenden Hochrisiko-Lieferanten-Bewertungs- und Beschränkungsmechanismus (die Bestimmungen wurden vom Präsidenten dem Verfassungsgerichtshof zur Sekundärprüfung vorgelegt); verpflichtende, nicht delegierbare Schulung der Geschäftsleitung mit direkter persönlicher Haftung; sowie eine erhöhte nationale Sanktionsstufe — Bußgelder von bis zu 100 Mio. PLN (~24 Mio. EUR), wenn Verstöße eine unmittelbare Bedrohung für die nationale Sicherheit oder das menschliche Leben darstellen oder schwere Dienstunterbrechungen verursachen.

Es gilt eine gestaffelte Compliance-Frist: Registrierung bis zum 3. Oktober 2026, vollständige ISMS- / UKSC-Pflichten bis zum 3. April 2027 und das erste verpflichtende zweijährliche ISMS-Audit bis zum 3. April 2028 für Einrichtungen, die bei Inkrafttreten in den Anwendungsbereich fallen.

3. Anwendungsbereich in Polen

Der Anwendungsbereich Polens folgt im Wesentlichen der Richtlinie, enthält jedoch nationale Erweiterungen. Der Energiesektor wird auf Bergbau (Steinkohle) und Öl und Kraftstoffe ausgeweitet (anstelle des engeren Untersektors „Öl“ der Richtlinie). Zusätzliche Untersektoren der Fertigung sind enthalten; einige Sektoren des polnischen Anwendungsbereichs sind weiter gefasst als die Mindestvorgaben der Richtlinie.

4. Größenschwellen und Anwendbarkeit auf KMU in Polen

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die beide Kriterien innerhalb der erfassten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich.

Klein- und Kleinstunternehmen können bestimmt werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Kontinuität wesentlicher Dienste angesehen werden.

Die polnischen Behörden behalten formale Benennungsbefugnisse, wenn systemische Risiken eine Einbeziehung rechtfertigen.

5. Klassifizierungsrahmen für Einrichtungen in Polen

Einrichtungen werden wie folgt eingestuft:

• Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturiertem Compliance-Monitoring.
• Wichtige Einrichtungen — Unterliegen in erster Linie einer reaktiven Aufsicht, die durch bedeutende Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung richtet sich nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder die Risikoexposition eine verstärkte Aufsicht rechtfertigen.

Poland folgt der zweistufigen Aufsichtsstruktur der Richtlinie.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Poland

Das nationale Regime von Poland entspricht den Mindestanforderungen der Richtlinie für das Cybersicherheits-Risikomanagement. Betroffene Einrichtungen müssen verhältnismäßige technische und organisatorische Maßnahmen umsetzen, die Folgendes adressieren:

• Risikoanalyse und Systemschutz
• Vorfallserkennung und -reaktion
• Business Continuity und Krisenmanagement
• NIS2-Lieferketten-Risikokontrollen in Poland
• Sichere Beschaffung und Entwicklung von ICT-Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Verfahren zum Schwachstellenmanagement
• Schulungen zur Cybersicherheit für Mitarbeitende

Die Maßnahmen müssen dem Stand der Technik und der organisatorischen Risikoexposition entsprechen. Eine Ausrichtung an ISO/IEC 27001 und polnischen Leitlinien zur Cybersicherheit wird empfohlen.

7. Managementhaftung und Governance in Polen

Leitungsorgane müssen Maßnahmen des Cybersicherheits-Risikomanagements formell genehmigen und deren Umsetzung überwachen.

Nach dem polnischen Rechtsrahmen:

• Leitungsorgane tragen die Verantwortung für die Compliance-Überwachung. Das geänderte UKSC schließt ausdrücklich aus, die Verantwortung für die Cybersicherheit auf untergeordnete Organisationsebenen zu verlagern — das Management trägt eine direkte, nicht delegierbare Verantwortung.
• Die oberste Leitung muss ausreichende Cybersicherheitskompetenz sicherstellen. Das UKSC führt eine verpflichtende, dokumentierte Schulungspflicht für Mitglieder der Geschäftsleitung ein.
• Verwaltungsrechtliche Sanktionen können Governance-Mängel ahnden. Nach dem UKSC können persönliche finanzielle Sanktionen gegen Mitglieder der Geschäftsleitung verhängt werden, zusätzlich zu Bußgeldern auf Unternehmensebene.
• Die vorübergehende Aussetzung von Leitungsfunktionen kann im Rahmen richtlinienkonformer Durchsetzungsmechanismen vorgesehen sein.

Die Erwartungen an die NIS2-Managementhaftung in Polen heben die Governance der Cybersicherheit auf eine Verantwortung auf Leitungsebene.

8. Meldepflichten für Sicherheitsvorfälle in Polen

9. Aufsichtsbehörden und Durchsetzungsmodell in Polen

Federführende Behörde: Ministerium für Digitales — leitet die NIS2-Umsetzung, führt das offizielle Register der wesentlichen und wichtigen Einrichtungen und beaufsichtigt das Krisenmanagement im zivilen Sektor. Sektorspezifische zuständige Behörden (in der Regel das jeweilige Fachministerium — z. B. Gesundheitsministerium für das Gesundheitswesen, Ministerium für Infrastruktur für den Verkehr) übernehmen Aufsicht und Durchsetzung in ihren Sektoren. Drei nationale CSIRTs (CSIRT GOV, CSIRT NASK, CSIRT MON) sind für die Reaktion auf Sicherheitsvorfälle zuständig.

Polen betreibt ein behördenübergreifendes Aufsichtsmodell: Das Ministerium für Digitales übernimmt die Führung, die sektoralen Ministerien beaufsichtigen ihre jeweiligen Sektoren und sektorale CSIRTs, die von jeder zuständigen Behörde benannt werden, ergänzen die drei nationalen CSIRTs.

Aufsichtsbefugnisse umfassen:

• Anforderungen von Unterlagen und Informationen
• Sicherheitsaudits — einschließlich eines verpflichtenden zweijährlichen ISMS-Audits mit Übermittlung der Ergebnisse an die zuständige Behörde; zuständige Behörden können zusätzliche Bewertungen anordnen
• Vor-Ort-Kontrollen
• Verbindliche Compliance-Anordnungen
• Teilnahme an EU-Koordinierungsmechanismen für Cybersicherheit

Die Durchsetzungsstruktur steht im Einklang mit den Anforderungen an die Zusammenarbeit auf Richtlinienebene.

10. NIS2-Bußgelder und Sanktionen in Polen

Polen wendet richtlinienkonforme verwaltungsrechtliche Sanktionen an.

Die Durchsetzung von NIS2-Bußgeldern in Polen kann außerdem Folgendes umfassen:

• Verbindliche Abhilfeanordnungen
• Öffentliche Benennung nicht konformer Einrichtungen
• Aussetzung von Genehmigungen oder Zertifizierungen
• Befugnisse zur Suspendierung von Führungskräften
• Persönliche finanzielle Sanktionen gegen Mitglieder der Geschäftsleitung bei Verstößen gegen das UKSC
• Erhöhte nationale Sanktionsstufe — Bußgelder von bis zu 100 Mio. PLN (~24 Mio. EUR) sowie Tagesbußen von 500–100.000 PLN, wenn Verstöße eine direkte Bedrohung für die nationale Sicherheit, das menschliche Leben oder die Gesundheit darstellen oder erhebliche Dienstunterbrechungen verursachen

Bis zu €7 Millionen oder 1,4 % des gesamten weltweiten Jahresumsatzes (je nachdem, welcher Wert höher ist)

11. NIS2-Lieferketten- und Anbietersicherheit in Polen

Einrichtungen müssen die Cybersecurity-Risiken durch Dritte über folgende Maßnahmen steuern:

• Lieferantenrisikobewertungen
• Vertragliche Flow-down-Bestimmungen zu Sicherheitsanforderungen
• Kontinuierliche Überwachung von ICT-Lieferanten
• Konzentrationsrisikoanalyse
• Eindämmung der Ausbreitung von Vorfällen

Der Ansatz Polens entspricht den grundlegenden Erwartungen der Richtlinie hinsichtlich des Lieferantenrisikomanagements.

12. Registrierungs- und Selbstidentifikationspflichten in Polen

Einrichtungen im Anwendungsbereich müssen:

• Selbstbewertung und Registrierung beim Ministerium für Digitales (das das offizielle Register führt); Einrichtungen, die am 3. April 2026 in den Anwendungsbereich fallen, müssen sich bis zum 3. Oktober 2026 registrieren; Einrichtungen, die danach in den Anwendungsbereich fallen, haben sechs Monate ab Identifizierung
• Angaben zur Unternehmensidentität bereitstellen
• Sektorzuordnung offenlegen
• Aktuelle Meldekontaktdaten pflegen — Änderungen registrierter Informationen sind innerhalb von zwei Wochen zu melden

Das geänderte UKSC verlangt die Umsetzung eines umfassenden ISMS, das an PN-EN ISO/IEC 27001 und ISO 22301 ausgerichtet ist, sowie ein zweijährliches ISMS-Audit, dessen Ergebnisse der zuständigen Behörde vorzulegen sind. Die vollständigen Pflichten nach Kapitel 3 des UKSC gelten ab dem 3. April 2027; das erste verpflichtende ISMS-Audit ist für Einrichtungen, die bei Inkrafttreten erfasst sind, bis zum 3. April 2028 fällig.

Selbstidentifizierung ist verpflichtend, wenn Einrichtungen die gesetzlichen Schwellenwerte erfüllen. Für Mitarbeitende, die ISMS-Implementierungsaufgaben wahrnehmen, sind Führungszeugnisprüfungen erforderlich. Die ISMS-Standards-Zuordnung des Ministeriums für Digitales dient als Leitfaden.

13. Wechselwirkung mit der GDPR und anderen Gesetzen in Polen

Die General Data Protection Regulation gilt weiterhin parallel.

Zu berücksichtigende Überschneidungen umfassen:

• 72-Stunden-Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten
• Koordinierung der Aufsichtsbehörden
• Parallele Untersuchungen zu Cybersicherheit und Datenschutz
• Sektorspezifische polnische Cybersicherheitsgesetzgebung

Ein Cybervorfall kann Meldepflichten nach beiden Regimen auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Polen werden für grenzüberschreitende Dienste von polnischen Behörden beaufsichtigt.

Ausländische Anbieter digitaler Dienste, die in Polen Dienste erbringen, können abhängig von der Niederlassungsstruktur nationalen Verpflichtungen unterliegen.

Vertretungspflichten folgen den Richtlinienstandards für Nicht-EU-Anbieter, die den polnischen Markt bedienen.

15. Umsetzungszeitplan in Polen

• Annahme der Richtlinie: 2022
• Annahme der Richtlinie (EU-Ebene): 2022
• Nationaler Gesetzgebungsprozess: Entwurf am 7. November 2025 eingebracht; begründete Stellungnahme der EK am 7. Mai 2025; Annahme durch den Sejm am 23. Januar 2026; Unterzeichnung durch den Präsidenten am 19. Februar 2026
• Inkrafttreten: 3. April 2026 (einmonatige vacatio legis)
• Mitteilung an die Kommission: Vertragsverletzungsverfahren mit Abschluss der Umsetzung am 3. April 2026 erledigt
• Compliance-Meilensteine: Registrierung bis 3. Oktober 2026; vollständige ISMS- / UKSC-Pflichten bis 3. April 2027; erstes zweijährliches ISMS-Audit bis 3. April 2028

Polen hat die Umsetzung am 3. April 2026 abgeschlossen, ~18 Monate nach Ablauf der EU-Frist. Wichtige bevorstehende Meilensteine sind die Registrierung bis 3. Oktober 2026 und die vollständige ISMS-Compliance bis 3. April 2027 — Einrichtungen sollten unverzüglich mit der Selbstbewertung beginnen.

16. Kernaussagen für KMU in Polen

• Mittelgroße Unternehmen in erfassten Sektoren fallen automatisch in den Anwendungsbereich. Das geänderte UKSC ist seit dem 3. April 2026 in Kraft — beginnen Sie jetzt mit der Selbstbewertung. Der polnische Anwendungsbereich ist weiter gefasst als die Mindestvorgaben der Richtlinie (z. B. Energiesektor um Steinkohlebergbau erweitert).
• Kleine Unternehmen können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
• Aufsicht auf Vorstandsebene ist verpflichtend — direkte persönliche Haftung, nicht delegierbar, mit verpflichtender dokumentierter Schulung.
• Die Meldung von Vorfällen erfolgt nach den Fristen 24h / 72h / 1 Monat und ist beim zuständigen sektoralen CSIRT einzureichen, das an das nationale CSIRT (CSIRT GOV / NASK / MON) weiterleitet.
• Geldbußen können bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes erreichen; nach polnischem Recht Bußgelder bis zu 100 Mio. PLN (~24 Mio. EUR) für schwere Verstöße gegen die nationale Sicherheit oder das menschliche Leben, zusätzlich Tagesbußen von 500–100.000 PLN sowie separate persönliche finanzielle Sanktionen gegen Vorstandsmitglieder.
• Lieferantenrisikomanagement ist erforderlich, einschließlich eines sektorübergreifenden Bewertungs- und Beschränkungsmechanismus für Hochrisiko-Lieferanten — sobald ein Anbieter als Hochrisiko eingestuft wird, müssen alle regulierten Einrichtungen die Nutzung der betroffenen IKT-Produkte/-Dienste einstellen (Bestimmungen derzeit zur Prüfung beim Verfassungsgerichtshof).
• Wichtige Fristen: Registrierung bis 3. Oktober 2026; vollständige ISMS bis 3. April 2027; erstes zweijährliches Audit bis 3. April 2028. Beginnen Sie jetzt mit Selbstbewertung und ISMS-Umsetzung auf Grundlage von PN-EN ISO/IEC 27001 / ISO 22301.

FAQ: NIS2 Polen KMU-Leitfaden