NIS2 en Pologne

1. Aperçu rapide de l'applicabilité des SMEs en Poland

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l'applicabilité des SMEs en Poland ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S'applique aux entités établies en Poland et, dans certains cas, aux prestataires numériques étrangers desservant le marché polonais.

Les SMEs devraient évaluer leur éligibilité au regard du cadre national de cybersécurité applicable en Poland, sur la base de la classification sectorielle et des seuils légaux.

2. Aperçu de la mise en œuvre de NIS2 en Poland

La Pologne a transposé la NIS2 par une modification de la Loi sur le Système national de cybersécurité (UKSC / Krajowy System Cyberbezpieczeństwa — KSC), adoptée par le Sejm le 23 janvier 2026, signée par le Président le 19 février 2026 et en vigueur depuis le 3 avril 2026 après une vacatio legis d'un mois. La Pologne a manqué le délai de transposition du 17 octobre 2024 et a reçu un avis motivé de la CE en mai 2025.

L'UKSC modifié introduit plusieurs spécificités nationales importantes : la mise en œuvre obligatoire d'un Système de gestion de la sécurité de l'information (SGSI) complet, la loi faisant explicitement référence à PN-EN ISO/IEC 27001 et ISO 22301 comme satisfaisant les exigences ; un audit biennal du SGSI obligatoire avec transmission des résultats à l'autorité compétente ; un mécanisme transsectoriel d'évaluation et de restriction des fournisseurs à haut risque (le Président a renvoyé ces dispositions devant le Tribunal constitutionnel pour examen) ; une formation obligatoire et non délégable des membres du conseil d'administration avec responsabilité personnelle directe ; et un niveau national de sanctions élevé — amendes pouvant atteindre 100 millions de PLN (~24 millions d'euros) lorsque les violations créent une menace directe pour la sécurité nationale, la vie humaine ou provoquent une interruption grave de service.

Une mise en conformité progressive s'applique : enregistrement avant le 3 octobre 2026, obligations SGSI / UKSC complètes avant le 3 avril 2027, et premier audit biennal obligatoire du SGSI avant le 3 avril 2028 pour les entités dans le périmètre à la date d'entrée en vigueur.

3. Champ d'application en Poland

Le périmètre polonais suit largement la Directive mais inclut des extensions nationales. Le secteur de l'énergie est étendu à l'extraction minérale (charbon) et au pétrole et carburants (remplaçant le sous-secteur plus étroit « pétrole » de la Directive). Des sous-secteurs manufacturiers supplémentaires sont inclus, et certains secteurs du périmètre polonais sont définis de façon plus large que le minimum de la Directive.

4. Seuils de taille et applicabilité aux SME en Poland

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités satisfaisant les deux critères au sein des secteurs couverts entrent automatiquement dans le champ d'application.

Les petites et micro-entreprises peuvent être désignées si elles sont jugées critiques pour la sécurité nationale, la stabilité économique ou la continuité des services essentiels.

Les autorités polonaises conservent des pouvoirs de désignation formelle lorsque le risque systémique justifie l'inclusion.

5. Cadre de classification des entités en Poland

Les entités sont catégorisées comme suit :

• Entités essentielles — Soumises à une supervision proactive, y compris des inspections et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l'impact opérationnel ou l'exposition au risque justifient un contrôle renforcé.

Poland suit la structure de supervision à deux niveaux de la Directive.

6. Exigences de gestion des risques de cybersécurité en Poland

Le régime national de Poland est aligné sur le socle de la Directive pour la gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant:

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d'activité et gestion de crise
• Contrôles des risques de la chaîne d'approvisionnement NIS2 en Poland
• Acquisition et développement sécurisés des systèmes ICT
• Contrôle d'accès et gestion des identités
• Chiffrement et mesures de protection cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter les normes de l'état de l'art et l'exposition aux risques de l'organisation. L'alignement sur ISO/IEC 27001 et les orientations polonaises en matière de cybersécurité est encouragé.

7. Responsabilité de la direction et gouvernance en Pologne

Les organes de direction doivent approuver formellement les mesures de gestion des risques en cybersécurité et en superviser la mise en œuvre.

Selon le cadre juridique de la Pologne :

• Les conseils d'administration sont responsables de la supervision de la conformité. L'UKSC modifié exclut expressément la possibilité de transférer la responsabilité en matière de cybersécurité à des niveaux organisationnels inférieurs — la direction assume une responsabilité directe et non délégable.
• La direction générale doit garantir une compétence suffisante en matière de cybersécurité. L'UKSC introduit une obligation documentée de formation obligatoire pour les membres du conseil d'administration.
• Des sanctions administratives peuvent sanctionner les défaillances de gouvernance. En vertu de l'UKSC, les membres du conseil d'administration s'exposent à des sanctions financières personnelles en cas de violation des obligations de la Loi, en plus des amendes au niveau de l'entreprise.
• La suspension temporaire des fonctions de direction peut être disponible dans le cadre de mécanismes d'exécution alignés sur la Directive.

En Pologne, les attentes en matière de responsabilité de la direction au titre de NIS2 élèvent la gouvernance de la cybersécurité au rang de responsabilité de niveau exécutif.

8. Obligations de notification des incidents en Pologne

9. Autorités de supervision et modèle d'application en Pologne

Autorité chef de file : Ministère des Affaires numériques — pilote la mise en œuvre de NIS2, tient le registre officiel des entités essentielles et importantes, et supervise la gestion de crise du secteur civil. Les autorités compétentes sectorielles (généralement le ministère sectoriel concerné — par ex. Ministère de la Santé pour la santé, Ministère des Infrastructures pour les transports) exercent la supervision et l'application dans leurs secteurs. Trois CSIRT nationaux (CSIRT GOV, CSIRT NASK, CSIRT MON) gèrent la réponse aux incidents.

La Pologne applique un modèle de supervision multi-autorités : le Ministère des Affaires numériques pilote, les ministères sectoriels supervisent dans leurs secteurs, et les CSIRT sectoriels désignés par chaque autorité compétente complètent les trois CSIRT nationaux.

Les pouvoirs de surveillance comprennent :

• Demandes de documentation et d'informations
• Audits de sécurité — y compris un audit biennal obligatoire du SGSI avec transmission des résultats à l'autorité compétente ; les autorités compétentes peuvent ordonner des évaluations supplémentaires
• Inspections sur site
• Instructions contraignantes de mise en conformité
• Participation aux mécanismes de coordination de la cybersécurité de l'UE

La structure d'application est alignée sur les exigences de coopération au niveau de la directive.

10. Amendes et sanctions NIS2 en Pologne

La Pologne applique des sanctions administratives alignées sur la directive.

Les mesures d'exécution en Poland relatives aux amendes NIS2 peuvent également inclure :

• Ordres contraignants de remédiation
• Identification publique des entités non conformes
• Suspension d'autorisations ou de certifications
• Pouvoirs de suspension des dirigeants
• Sanctions financières personnelles contre les membres du conseil d'administration en cas de violation de l'UKSC
• Niveau national de sanctions élevé — amendes pouvant atteindre 100 millions de PLN (~24 millions d'euros) et amendes journalières de 500–100 000 PLN lorsque les violations créent des menaces directes pour la sécurité nationale, la vie ou la santé humaine, ou une interruption significative de service

Jusqu'à €7 millions ou 1,4 % du chiffre d'affaires annuel mondial total (le montant le plus élevé étant retenu)

11. Sécurité de la chaîne d'approvisionnement et des fournisseurs au titre de NIS2 en Poland

Les entités doivent gérer l'exposition aux risques de cybersécurité liés aux tiers par :

• Évaluations des risques des fournisseurs
• Clauses contractuelles de répercussion des exigences de sécurité
• Surveillance continue des fournisseurs ICT
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L'approche de Poland est alignée sur les attentes minimales de la Directive concernant la gestion des risques fournisseurs.

12. Obligations d'enregistrement et d'auto-identification en Poland

Les entités relevant du champ d'application doivent :

• S'auto-évaluer et s'enregistrer auprès du Ministère des Affaires numériques (qui tient le registre officiel) ; les entités dans le périmètre au 3 avril 2026 doivent s'enregistrer avant le 3 octobre 2026 ; les entités qualifiées après le 3 avril 2026 disposent de six mois à compter de leur identification
• Fournir les données d'identification de l'entité
• Déclarer la classification sectorielle
• Maintenir à jour les contacts de notification — les modifications des informations enregistrées doivent être communiquées dans un délai de deux semaines

L'UKSC modifié exige la mise en œuvre d'un SGSI complet aligné sur PN-EN ISO/IEC 27001 et ISO 22301, ainsi qu'un audit biennal du SGSI transmis à l'autorité compétente. Les obligations complètes du Chapitre 3 de l'UKSC s'appliquent à compter du 3 avril 2027 ; le premier audit obligatoire du SGSI est dû d'ici le 3 avril 2028 pour les entités dans le périmètre à l'entrée en vigueur.

L'auto-identification est obligatoire lorsque les entités atteignent les seuils statutaires. Des vérifications d'antécédents judiciaires sont requises pour les employés effectuant des tâches de mise en œuvre du SGSI. Utilisez la correspondance des normes SGSI du Ministère des Affaires numériques comme guide.

13. Interaction avec le GDPR et d'autres lois en Poland

Le General Data Protection Regulation continue de s'appliquer concomitamment.

Les considérations de chevauchement incluent :

• Notification d'une violation de données à caractère personnel dans les 72 heures
• Coordination avec l'autorité de contrôle
• Enquêtes parallèles en matière de cybersécurité et de protection des données
• Législation polonaise en matière de cybersécurité spécifique aux secteurs

Un incident de cybersécurité peut entraîner des obligations de notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités dont l'établissement principal est situé en Poland sont supervisées par les autorités polonaises pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Poland peuvent être soumis à des obligations nationales selon leur structure d'établissement.

Les exigences en matière de représentation sont conformes aux normes de la directive pour les prestataires non-EU desservant le marché polonais.

15. Calendrier de mise en œuvre en Poland

• Adoption de la Directive : 2022
• Adoption de la Directive (niveau UE) : 2022
• Processus législatif national : projet déposé le 7 novembre 2025 ; avis motivé de la CE le 7 mai 2025 ; adopté par le Sejm le 23 janvier 2026 ; signé par le Président le 19 février 2026
• Entrée en vigueur : 3 avril 2026 (vacatio legis d'un mois)
• Notification à la Commission : procédure d'infraction réglée à la finalisation de la transposition (3 avril 2026)
• Jalons de conformité : enregistrement avant le 3 octobre 2026 ; obligations SGSI / UKSC complètes avant le 3 avril 2027 ; premier audit biennal du SGSI avant le 3 avril 2028

La Pologne a finalisé la transposition le 3 avril 2026, soit ~18 mois après le délai de l'UE. Les prochains jalons clés sont l'enregistrement avant le 3 octobre 2026 et la conformité SGSI complète avant le 3 avril 2027 — les entités doivent commencer immédiatement leur auto-évaluation.

16. Points clés pour les PME en Poland

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement dans le périmètre. L'UKSC modifié est en vigueur depuis le 3 avril 2026 — commencez dès maintenant l'auto-évaluation de votre périmètre. Le périmètre polonais est plus large que le minimum de la Directive (par ex. l'énergie étendue à l'extraction du charbon).
• Les petites entités peuvent être désignées si elles sont essentielles à la stabilité nationale ou économique.
• La supervision de gouvernance au niveau du conseil d'administration est obligatoire — responsabilité personnelle directe, non délégable, avec formation documentée obligatoire.
• La notification d'incidents suit les délais 24h / 72h / 1 mois, soumise au CSIRT sectoriel compétent qui transmet au CSIRT national (CSIRT GOV / NASK / MON).
• Les sanctions financières peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial ; en droit polonais, des amendes pouvant atteindre 100 millions de PLN (~24 millions d'euros) pour des violations graves de la sécurité nationale ou de la vie humaine, plus des amendes journalières de 500–100 000 PLN et des sanctions financières personnelles séparées contre les membres du conseil d'administration.
• La gestion du risque fournisseurs est requise, y compris un mécanisme transsectoriel d'évaluation et de restriction des fournisseurs à haut risque — une fois un fournisseur désigné à haut risque, toutes les entités réglementées doivent cesser d'utiliser les produits/services TIC concernés (dispositions actuellement en cours d'examen par le Tribunal constitutionnel).
• Échéances clés : enregistrement avant le 3 octobre 2026 ; SGSI complet avant le 3 avril 2027 ; premier audit biennal avant le 3 avril 2028. Commencez dès maintenant l'auto-évaluation et la mise en œuvre du SGSI selon le cadre PN-EN ISO/IEC 27001 / ISO 22301.

FAQ : Guide NIS2 pour les PME en Poland