NIS2 en Polonia

1. Resumen rápido de aplicabilidad para pymes en Polonia

¿Se aplica NIS2 a las pymes en 1. Resumen rápido de aplicabilidad para pymes en Polonia?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a las entidades establecidas en Polonia y, en determinados casos, a proveedores digitales extranjeros que prestan servicios al mercado polaco.

Las pymes deben evaluar si están sujetas al marco nacional de ciberseguridad de Polonia en función de la clasificación sectorial y de los umbrales establecidos por ley.

2. Panorama general de la implementación de NIS2 en Polonia

Polonia ha transpuesto la NIS2 mediante una enmienda a la Ley sobre el Sistema Nacional de Ciberseguridad (UKSC / Krajowy System Cyberbezpieczeństwa — KSC), adoptada por el Sejm el 23 de enero de 2026, firmada por el Presidente el 19 de febrero de 2026 y en vigor desde el 3 de abril de 2026 tras una vacatio legis de un mes. Polonia incumplió el plazo de transposición del 17 de octubre de 2024 y recibió un dictamen motivado de la CE en mayo de 2025.

La UKSC modificada introduce varias especificidades nacionales relevantes: implementación obligatoria de un Sistema de Gestión de Seguridad de la Información (SGSI) integral, con referencia explícita en la ley a PN-EN ISO/IEC 27001 e ISO 22301 como cumplimiento de los requisitos; una auditoría bienal del SGSI obligatoria, con resultados remitidos a la autoridad competente; un mecanismo intersectorial de evaluación y restricción de proveedores de alto riesgo (el Presidente ha remitido estas disposiciones al Tribunal Constitucional para revisión); formación obligatoria e indelegable de la alta dirección con responsabilidad personal directa; y un nivel sancionador nacional elevado — multas de hasta 100 millones de PLN (~24 millones de euros) cuando las infracciones supongan una amenaza directa para la seguridad nacional, la vida humana o causen una interrupción grave del servicio.

Se aplica un cumplimiento por fases: registro antes del 3 de octubre de 2026, obligaciones plenas del SGSI / UKSC antes del 3 de abril de 2027, y la primera auditoría bienal obligatoria del SGSI antes del 3 de abril de 2028 para las entidades dentro del ámbito en la fecha de entrada en vigor.

3. Ámbito de aplicación en Polonia

El ámbito de Polonia sigue en líneas generales la Directiva pero incluye expansiones nacionales. El sector energético se amplía para incluir la extracción mineral (minería del carbón) y el petróleo y combustibles (sustituyendo el subsector más estrecho de "petróleo" de la Directiva). Se incluyen subsectores adicionales de fabricación, y algunos sectores en el ámbito polaco se definen de forma más amplia que el mínimo de la Directiva.

4. Umbrales de tamaño y aplicabilidad a las pymes en Polonia

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos quedan automáticamente incluidas en el ámbito de aplicación.

Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la seguridad nacional, la estabilidad económica o la continuidad de los servicios esenciales.

Las autoridades polacas conservan facultades formales de designación cuando el riesgo sistémico justifique la inclusión.

5. Marco de clasificación de entidades en Polonia

Las entidades se clasifican como:

• Entidades esenciales — Sujetos a supervisión proactiva, incluidas inspecciones y seguimiento estructurado del cumplimiento.
• Entidades importantes — Principalmente sujetas a supervisión reactiva desencadenada por incidentes significativos o preocupaciones de cumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

Polonia sigue la estructura de supervisión de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en Polonia

El régimen nacional de Polonia se alinea con el nivel básico de la Directiva para la gestión de riesgos de ciberseguridad. Las entidades dentro del alcance deben implementar medidas técnicas y organizativas adecuadas y proporcionadas que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad del negocio y gestión de crisis
• Controles de riesgo en la cadena de suministro conforme a NIS2 en Polonia
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Procedimientos de gestión de vulnerabilidades
• Formación del personal en ciberseguridad

Las medidas deben reflejar los estándares del estado del arte y la exposición al riesgo de la organización. Se fomenta la alineación con ISO/IEC 27001 y la orientación polaca en materia de ciberseguridad.

7. Responsabilidad de la dirección y gobernanza en Polonia

Los órganos de dirección deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación.

Con arreglo al marco polaco:

• Los consejos de administración son responsables de la supervisión del cumplimiento. La UKSC modificada excluye expresamente la posibilidad de transferir la responsabilidad en materia de ciberseguridad a niveles organizativos inferiores: la dirección asume una responsabilidad directa e indelegable.
• La alta dirección debe garantizar una competencia suficiente en materia de ciberseguridad. La UKSC introduce una obligación documentada de formación obligatoria para los miembros del consejo.
• Las sanciones administrativas pueden imponerse por fallos de gobernanza. Conforme a la UKSC, los miembros del consejo pueden enfrentarse a sanciones financieras personales por incumplimientos de las obligaciones de la Ley, además de las multas a nivel corporativo.
• La suspensión temporal del ejercicio de funciones directivas puede estar prevista en virtud de mecanismos de ejecución alineados con la Directiva.

Las expectativas en Polonia sobre la responsabilidad de la dirección en NIS2 elevan la gobernanza de la ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Polonia

9. Autoridades de supervisión y modelo de aplicación en Polonia

Autoridad principal: Ministerio de Asuntos Digitales — lidera la implementación de NIS2, mantiene el registro oficial de entidades esenciales e importantes, y supervisa la gestión de crisis del sector civil. Autoridades competentes específicas por sector (normalmente el ministerio sectorial correspondiente — p. ej., Ministerio de Sanidad para la salud, Ministerio de Infraestructuras para el transporte) realizan la supervisión y aplicación en sus sectores. Tres CSIRT nacionales (CSIRT GOV, CSIRT NASK, CSIRT MON) gestionan la respuesta a incidentes.

Polonia opera un modelo de supervisión multiautoridad: el Ministerio de Asuntos Digitales lidera, los ministerios sectoriales supervisan en sus sectores, y los CSIRT sectoriales designados por cada autoridad competente complementan a los tres CSIRT nacionales.

Las potestades de supervisión incluyen:

• Requerimientos de documentación e información
• Auditorías de seguridad — incluida una auditoría bienal del SGSI obligatoria con resultados remitidos a la autoridad competente; las autoridades competentes pueden ordenar evaluaciones adicionales
• Inspecciones in situ
• Instrucciones vinculantes de cumplimiento
• Participación en los mecanismos de coordinación de ciberseguridad de la UE

La estructura de aplicación se alinea con los requisitos de cooperación a nivel de la Directiva.

10. Multas y sanciones de NIS2 en Polonia

Polonia aplica sanciones administrativas alineadas con la Directiva.

La aplicación de NIS2 en Polonia también puede incluir:

• Órdenes vinculantes de subsanación
• Identificación pública de entidades incumplidoras
• Suspensión de autorizaciones o certificaciones
• Facultades para suspender a directivos
• Sanciones financieras personales a miembros del consejo por incumplimientos de la UKSC
• Nivel sancionador nacional elevado — multas de hasta 100 millones de PLN (~24 millones de euros) y multas diarias de 500–100.000 PLN cuando los incumplimientos supongan amenazas directas a la seguridad nacional, la vida o la salud humana, o una interrupción significativa del servicio

Hasta €7 millones o 1,4 % del volumen de negocios anual mundial total (lo que sea mayor)

11. Seguridad NIS2 de la cadena de suministro y de los proveedores en Polonia

Las entidades deben gestionar la exposición al riesgo de ciberseguridad de terceros mediante:

• Evaluaciones de riesgos de proveedores
• Cláusulas contractuales de flujo descendente de requisitos de seguridad
• Supervisión continua de proveedores de TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Polonia se alinea con las expectativas de referencia de la Directiva respecto a la gestión del riesgo de proveedores.

12. Obligaciones de registro y autoidentificación en Polonia

Las entidades dentro del ámbito de aplicación deben:

• Autoevaluarse y registrarse ante el Ministerio de Asuntos Digitales (que mantiene el registro oficial); las entidades dentro del ámbito el 3 de abril de 2026 deben registrarse antes del 3 de octubre de 2026; las entidades que califiquen después del 3 de abril de 2026 disponen de seis meses desde su identificación
• Facilitar los datos de identificación de la entidad
• Declarar la clasificación sectorial
• Mantener actualizados los contactos de notificación — los cambios en la información registrada deben comunicarse en el plazo de dos semanas

La UKSC modificada exige la implementación de un SGSI integral alineado con PN-EN ISO/IEC 27001 e ISO 22301, junto con una auditoría bienal del SGSI presentada a la autoridad competente. Las obligaciones plenas del Capítulo 3 de la UKSC se aplican a partir del 3 de abril de 2027; la primera auditoría obligatoria del SGSI debe realizarse antes del 3 de abril de 2028 para las entidades dentro del ámbito en la fecha de entrada en vigor.

La autoidentificación es obligatoria cuando las entidades cumplen los umbrales legales. Se requieren verificaciones de antecedentes penales para los empleados que realicen tareas de implementación del SGSI. Utilice la correspondencia de estándares del SGSI del Ministerio de Asuntos Digitales como guía.

13. Interacción con el RGPD y otras leyes en Polonia

El Reglamento General de Protección de Datos sigue aplicándose en paralelo.

Las áreas de solapamiento incluyen:

• Notificación de violaciones de la seguridad de los datos personales en 72 horas
• Coordinación con la autoridad de control
• Investigaciones paralelas de ciberseguridad y protección de datos
• Legislación sectorial polaca en materia de ciberseguridad

Un incidente de ciberseguridad puede activar obligaciones de notificación en ambos regímenes.

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en Polonia están supervisadas por las autoridades polacas en relación con los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en Polonia pueden estar sujetos a obligaciones nacionales en función de la estructura de su establecimiento.

Los requisitos de representación siguen las normas de la Directiva para los proveedores no pertenecientes a la UE que prestan servicios en el mercado polaco.

15. Calendario de implementación en Polonia

• Adopción de la Directiva: 2022
• Adopción de la Directiva (nivel UE): 2022
• Proceso legislativo nacional: proyecto presentado el 7 de noviembre de 2025; dictamen motivado de la CE el 7 de mayo de 2025; adoptado por el Sejm el 23 de enero de 2026; firmado por el Presidente el 19 de febrero de 2026
• Entrada en vigor: 3 de abril de 2026 (vacatio legis de un mes)
• Notificación a la Comisión: procedimiento de infracción resuelto al completarse la transposición (3 de abril de 2026)
• Hitos de cumplimiento: registro antes del 3 de octubre de 2026; obligaciones plenas SGSI / UKSC antes del 3 de abril de 2027; primera auditoría bienal del SGSI antes del 3 de abril de 2028

Polonia completó la transposición el 3 de abril de 2026, ~18 meses después del plazo de la UE. Los próximos hitos clave son el registro antes del 3 de octubre de 2026 y el cumplimiento pleno del SGSI antes del 3 de abril de 2027 — las entidades deben comenzar la autoevaluación de inmediato.

16. Puntos clave para las pymes en Polonia

• Las entidades medianas en sectores cubiertos están automáticamente dentro del ámbito. La UKSC modificada está en vigor desde el 3 de abril de 2026 — comience ya la autoevaluación de su ámbito. El alcance polaco es más amplio que el mínimo de la Directiva (p. ej., la energía se amplía a la minería del carbón).
• Las pequeñas entidades pueden ser designadas si son críticas para la estabilidad nacional o económica.
• La supervisión de gobernanza a nivel del consejo es obligatoria — responsabilidad personal directa, indelegable, con formación documentada obligatoria.
• La notificación de incidentes sigue los plazos 24h / 72h / 1 mes, presentándose ante el CSIRT sectorial pertinente, que reenvía al CSIRT nacional (CSIRT GOV / NASK / MON).
• Las sanciones financieras pueden alcanzar 10 millones de euros o el 2 % del volumen de negocios mundial; conforme al derecho polaco, multas de hasta 100 millones de PLN (~24 millones de euros) por infracciones graves a la seguridad nacional o la vida humana, además de multas diarias de 500–100.000 PLN y sanciones financieras personales separadas a los miembros del consejo.
• La gestión del riesgo de proveedores es obligatoria, incluido un mecanismo intersectorial de evaluación y restricción de proveedores de alto riesgo — una vez designado un proveedor de alto riesgo, todas las entidades reguladas deben dejar de utilizar los productos/servicios TIC afectados (disposiciones actualmente en revisión por el Tribunal Constitucional).
• Plazos clave: registro antes del 3 de octubre de 2026; SGSI completo antes del 3 de abril de 2027; primera auditoría bienal antes del 3 de abril de 2028. Comience ya la autoevaluación y la implementación del SGSI usando el marco PN-EN ISO/IEC 27001 / ISO 22301.

Preguntas frecuentes: Guía NIS2 para pymes en Polonia