NIS2 in Polonia

1. Panoramica rapida sull'applicabilità alle PMI in Polonia

NIS2 si applica alle PMI in Polonia?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite in Polonia e, in alcuni casi, ai fornitori digitali esteri che servono il mercato polacco.

Le PMI dovrebbero valutare la qualificazione ai sensi del quadro nazionale di cibersicurezza della Polonia in base alla classificazione settoriale e alle soglie di legge.

2. Panoramica dell'attuazione della Direttiva NIS2 in Polonia

La Polonia ha recepito la NIS2 mediante una modifica della Legge sul Sistema Nazionale di Cibersicurezza (UKSC / Krajowy System Cyberbezpieczeństwa — KSC), adottata dal Sejm il 23 gennaio 2026, firmata dal Presidente il 19 febbraio 2026 ed in vigore dal 3 aprile 2026 dopo una vacatio legis di un mese. La Polonia ha mancato il termine di recepimento del 17 ottobre 2024 e ha ricevuto un parere motivato della CE a maggio 2025.

L'UKSC modificato introduce diverse specificità nazionali rilevanti: l'attuazione obbligatoria di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) completo, con la legge che fa esplicito riferimento a PN-EN ISO/IEC 27001 e ISO 22301 come conformi ai requisiti; un audit biennale del SGSI obbligatorio con risultati trasmessi all'autorità competente; un meccanismo intersettoriale di valutazione e restrizione dei fornitori ad alto rischio (il Presidente ha rinviato queste disposizioni alla Corte Costituzionale per ulteriore esame); formazione obbligatoria e non delegabile dei membri del consiglio di amministrazione con responsabilità personale diretta; e un livello sanzionatorio nazionale elevato — sanzioni fino a 100 milioni di PLN (~24 milioni di euro) qualora le violazioni creino una minaccia diretta alla sicurezza nazionale, alla vita umana o causino una grave interruzione del servizio.

Si applica una conformità a fasi: registrazione entro il 3 ottobre 2026, obblighi SGSI / UKSC completi entro il 3 aprile 2027, e primo audit biennale obbligatorio del SGSI entro il 3 aprile 2028 per le entità nell'ambito alla data di entrata in vigore.

3. Ambito di applicazione in Polonia

L'ambito della Polonia segue ampiamente la Direttiva ma include espansioni nazionali. Il settore energia è esteso all'estrazione mineraria (carbone) e al petrolio e carburanti (in sostituzione del sottosettore più ristretto «petrolio» della Direttiva). Sono inclusi ulteriori sottosettori manifatturieri, e alcuni settori dell'ambito polacco sono più ampiamente definiti rispetto al minimo della Direttiva.

4. Soglie dimensionali e applicabilità alle PMI in Polonia

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le piccole e micro imprese possono essere designate se ritenute critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.

Le autorità polacche mantengono poteri formali di designazione qualora il rischio sistemico ne giustifichi l'inclusione.

5. Quadro di classificazione delle entità in Polonia

Le entità sono classificate come:

• Entità essenziali — Soggette a vigilanza proattiva, incluse ispezioni e monitoraggio strutturato della conformità.
• Entità importanti — Prevalentemente soggette a vigilanza reattiva attivata da incidenti significativi o da problemi di conformità.

La classificazione è determinata dal settore e dalle dimensioni. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano una vigilanza rafforzata.

La Polonia segue la struttura di vigilanza a due livelli della Direttiva.

6. Requisiti di gestione del rischio di cybersicurezza in Polonia

Il regime nazionale della Polonia è allineato ai requisiti di base della Direttiva per la gestione del rischio di cybersicurezza. Le entità rientranti nell'ambito di applicazione devono attuare misure tecniche e organizzative proporzionate che affrontino:

• Analisi dei rischi e protezione dei sistemi
• Rilevamento e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli dei rischi della catena di fornitura NIS2 in Polonia
• Acquisizione e sviluppo sicuri dei sistemi ICT
• Controllo degli accessi e gestione delle identità
• Cifratura e misure di salvaguardia crittografiche
• Procedure di gestione delle vulnerabilità
• Formazione del personale sulla cibersicurezza

Le misure devono riflettere standard allo stato dell'arte e l'esposizione al rischio dell'organizzazione. È incoraggiato l'allineamento con ISO/IEC 27001 e con le linee guida polacche sulla cybersicurezza.

7. Responsabilità del management e governance in Polonia

Gli organi di gestione devono approvare formalmente le misure di gestione del rischio di cybersicurezza e vigilare sulla loro attuazione.

Nel quadro normativo della Polonia:

• I consigli di amministrazione sono responsabili della supervisione della conformità. L'UKSC modificato esclude espressamente la possibilità di trasferire la responsabilità in materia di cibersicurezza a livelli organizzativi inferiori — il management ha una responsabilità diretta e non delegabile.
• L'alta direzione deve garantire una sufficiente competenza in materia di cibersicurezza. L'UKSC introduce un obbligo documentato di formazione obbligatoria per i membri del consiglio di amministrazione.
• Le sanzioni amministrative possono colpire i fallimenti di governance. In base all'UKSC, i membri del consiglio di amministrazione sono soggetti a sanzioni finanziarie personali in caso di violazioni degli obblighi della Legge, in aggiunta alle sanzioni a livello societario.
• La sospensione temporanea delle funzioni dirigenziali può essere disponibile nell'ambito dei meccanismi di applicazione allineati alla Direttiva.

Le aspettative della Polonia in materia di responsabilità della direzione ai sensi della NIS2 elevano la governance della cybersicurezza a una responsabilità a livello esecutivo.

8. Obblighi di notifica degli incidenti in Polonia

9. Autorità di vigilanza e modello di applicazione in Polonia

Autorità capofila: Ministero degli Affari Digitali — guida l'attuazione della NIS2, tiene il registro ufficiale delle entità essenziali e importanti, e supervisiona la gestione delle crisi nel settore civile. Le autorità competenti settoriali (di norma il ministero settoriale di riferimento — ad es. Ministero della Salute per la sanità, Ministero delle Infrastrutture per i trasporti) esercitano la supervisione e l'applicazione nei rispettivi settori. Tre CSIRT nazionali (CSIRT GOV, CSIRT NASK, CSIRT MON) gestiscono la risposta agli incidenti.

La Polonia adotta un modello di supervisione multi-autorità: il Ministero degli Affari Digitali guida, i ministeri settoriali supervisionano nei rispettivi settori, e i CSIRT settoriali designati da ciascuna autorità competente integrano i tre CSIRT nazionali.

I poteri di vigilanza includono:

• Richieste di documentazione e informazioni
• Audit di sicurezza — incluso un audit biennale obbligatorio del SGSI con risultati trasmessi all'autorità competente; le autorità competenti possono disporre valutazioni aggiuntive
• Ispezioni in loco
• Istruzioni vincolanti di conformità
• Partecipazione ai meccanismi di coordinamento della cibersicurezza dell'UE

La struttura di applicazione è allineata ai requisiti di cooperazione a livello di direttiva.

10. Ammende e sanzioni NIS2 in Polonia

La Polonia applica sanzioni amministrative allineate alla direttiva.

Le sanzioni NIS2 applicate in Polonia possono inoltre includere:

• Ordini vincolanti di rimedio
• Identificazione pubblica delle entità non conformi
• Sospensione di autorizzazioni o certificazioni
• Poteri di sospensione dei dirigenti
• Sanzioni finanziarie personali nei confronti dei membri del consiglio di amministrazione per violazioni dell'UKSC
• Livello sanzionatorio nazionale elevato — sanzioni fino a 100 milioni di PLN (~24 milioni di euro) e sanzioni giornaliere di 500–100.000 PLN qualora le violazioni creino minacce dirette alla sicurezza nazionale, alla vita o alla salute umana, o una significativa interruzione del servizio

Fino a €7 milioni o 1,4% del fatturato annuo mondiale totale (l'importo più elevato)

11. Sicurezza NIS2 della catena di fornitura e dei fornitori in Polonia

Le entità devono gestire l'esposizione ai rischi di cybersicurezza legati a terze parti attraverso:

• Valutazioni del rischio dei fornitori
• Clausole contrattuali a cascata in materia di sicurezza
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L'approccio della Polonia è in linea con le aspettative di base della Direttiva in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e di autoidentificazione in Polonia

Le entità rientranti nell'ambito di applicazione devono:

• Auto-valutarsi e registrarsi presso il Ministero degli Affari Digitali (che tiene il registro ufficiale); le entità nell'ambito al 3 aprile 2026 devono registrarsi entro il 3 ottobre 2026; le entità che si qualificano dopo il 3 aprile 2026 hanno sei mesi dall'identificazione
• Fornire i dati di identificazione dell'entità
• Dichiarare la classificazione settoriale
• Mantenere aggiornati i contatti per le segnalazioni — le modifiche alle informazioni registrate devono essere comunicate entro due settimane

L'UKSC modificato richiede l'attuazione di un SGSI completo allineato a PN-EN ISO/IEC 27001 e ISO 22301, oltre a un audit biennale del SGSI trasmesso all'autorità competente. Gli obblighi completi del Capitolo 3 dell'UKSC si applicano dal 3 aprile 2027; il primo audit obbligatorio del SGSI è dovuto entro il 3 aprile 2028 per le entità nell'ambito all'entrata in vigore.

L'auto-identificazione è obbligatoria quando le entità soddisfano le soglie di legge. Per i dipendenti che svolgono attività di attuazione del SGSI sono richiesti controlli sui precedenti penali. Utilizzare come guida la mappatura degli standard SGSI del Ministero degli Affari Digitali.

13. Interazione con il Regolamento generale sulla protezione dei dati e altre leggi in Polonia

Il Regolamento generale sulla protezione dei dati continua ad applicarsi parallelamente.

Le considerazioni sulle sovrapposizioni includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento tra autorità di controllo
• Indagini parallele in materia di cibersicurezza e protezione dei dati
• Legislazione polacca settoriale sulla cibersicurezza

Un incidente informatico può far scattare obblighi di notifica in entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con stabilimento principale in Polonia sono sottoposte alla vigilanza delle autorità polacche per i servizi transfrontalieri.

I fornitori digitali stranieri che offrono servizi in Polonia possono essere soggetti a obblighi nazionali a seconda della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della direttiva per i fornitori extra-UE che servono il mercato polacco.

15. Tempistica di attuazione in Polonia

• Adozione della Direttiva: 2022
• Adozione della Direttiva (livello UE): 2022
• Iter legislativo nazionale: bozza presentata il 7 novembre 2025; parere motivato della CE il 7 maggio 2025; adottato dal Sejm il 23 gennaio 2026; firmato dal Presidente il 19 febbraio 2026
• Entrata in vigore: 3 aprile 2026 (vacatio legis di un mese)
• Notifica alla Commissione: procedura di infrazione risolta al completamento del recepimento (3 aprile 2026)
• Tappe di conformità: registrazione entro il 3 ottobre 2026; obblighi SGSI / UKSC completi entro il 3 aprile 2027; primo audit biennale del SGSI entro il 3 aprile 2028

La Polonia ha completato il recepimento il 3 aprile 2026, ~18 mesi dopo il termine UE. Le prossime tappe chiave sono la registrazione entro il 3 ottobre 2026 e la piena conformità SGSI entro il 3 aprile 2027 — le entità dovrebbero avviare immediatamente l'auto-valutazione.

16. Punti chiave per le PMI in Polonia

• Le entità di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito. L'UKSC modificato è in vigore dal 3 aprile 2026 — avviate ora l'auto-valutazione del vostro ambito. L'ambito polacco è più ampio del minimo della Direttiva (es. energia estesa all'estrazione del carbone).
• Le piccole entità possono essere designate se critiche per la stabilità nazionale o economica.
• La supervisione di governance a livello del consiglio di amministrazione è obbligatoria — responsabilità personale diretta, non delegabile, con formazione documentata obbligatoria.
• La segnalazione degli incidenti segue le scadenze 24h / 72h / 1 mese, presentata al CSIRT settoriale di riferimento che inoltra al CSIRT nazionale (CSIRT GOV / NASK / MON).
• Le sanzioni finanziarie possono raggiungere 10 milioni di euro o il 2% del fatturato mondiale; secondo il diritto polacco, sanzioni fino a 100 milioni di PLN (~24 milioni di euro) per violazioni gravi della sicurezza nazionale o della vita umana, oltre a sanzioni giornaliere di 500–100.000 PLN e sanzioni finanziarie personali separate nei confronti dei membri del consiglio di amministrazione.
• La gestione del rischio fornitori è obbligatoria, incluso un meccanismo intersettoriale di valutazione e restrizione dei fornitori ad alto rischio — una volta designato un fornitore ad alto rischio, tutte le entità regolamentate devono cessare l'uso dei prodotti/servizi ICT interessati (disposizioni attualmente all'esame della Corte Costituzionale).
• Scadenze chiave: registrazione entro il 3 ottobre 2026; SGSI completo entro il 3 aprile 2027; primo audit biennale entro il 3 aprile 2028. Iniziare ora l'auto-valutazione e l'attuazione del SGSI utilizzando il quadro PN-EN ISO/IEC 27001 / ISO 22301.

FAQ: Guida NIS2 per le PMI in Polonia