NIS2 in Polen

1. Kurzübersicht zur Anwendbarkeit für SMEs in Polen

Gilt NIS2 für KMU in Polen?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Polen niedergelassene Einrichtungen und in bestimmten Fällen für ausländische digitale Anbieter, die den polnischen Markt bedienen.

SMEs sollten ihre Einstufung im Rahmen des nationalen Cybersicherheitsrahmens Polens anhand der Sektorzuordnung und gesetzlicher Schwellenwerte prüfen.

2. Überblick zur Umsetzung von NIS2 in Polen

Polen setzt die Richtlinie durch Änderungen am Act on the National Cybersecurity System um, der die Cybersicherheitspflichten des Landes regelt.

Die überarbeitete Gesetzgebung bringt das polnische Regime in Einklang mit der Directive (EU) 2022/2555 und verschärft die Anforderungen in Bezug auf Governance, Cybersicherheits-Risikomanagement, Meldung von Sicherheitsvorfällen, aufsichtliche Überwachung und Sanktionen.

Die Umsetzung baut auf dem etablierten Cybersicherheitssystem Polens auf und erweitert zugleich den Anwendungsbereich sowie die Durchsetzungsinstrumente im Einklang mit EU-Standards.

3. Anwendungsbereich in Polen

Der polnische Anwendungsbereich spiegelt die Mindestsektorkategorien der Richtlinie wider, ohne bestätigte strukturelle Ausweitung.

4. Größenschwellen und Anwendbarkeit auf KMU in Polen

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die beide Kriterien innerhalb der erfassten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich.

Klein- und Kleinstunternehmen können bestimmt werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Kontinuität wesentlicher Dienste angesehen werden.

Die polnischen Behörden behalten formale Benennungsbefugnisse, wenn systemische Risiken eine Einbeziehung rechtfertigen.

5. Klassifizierungsrahmen für Einrichtungen in Polen

Einrichtungen werden wie folgt eingestuft:

• Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturiertem Compliance-Monitoring.
• Wichtige Einrichtungen — Unterliegen in erster Linie einer reaktiven Aufsicht, die durch bedeutende Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung richtet sich nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder die Risikoexposition eine verstärkte Aufsicht rechtfertigen.

Poland folgt der zweistufigen Aufsichtsstruktur der Richtlinie.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Poland

Das nationale Regime von Poland entspricht den Mindestanforderungen der Richtlinie für das Cybersicherheits-Risikomanagement. Betroffene Einrichtungen müssen verhältnismäßige technische und organisatorische Maßnahmen umsetzen, die Folgendes adressieren:

• Risikoanalyse und Systemschutz
• Vorfallserkennung und -reaktion
• Business Continuity und Krisenmanagement
• NIS2-Lieferketten-Risikokontrollen in Poland
• Sichere Beschaffung und Entwicklung von ICT-Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Verfahren zum Schwachstellenmanagement
• Schulungen zur Cybersicherheit für Mitarbeitende

Die Maßnahmen müssen dem Stand der Technik und der organisatorischen Risikoexposition entsprechen. Eine Ausrichtung an ISO/IEC 27001 und polnischen Leitlinien zur Cybersicherheit wird empfohlen.

7. Managementhaftung und Governance in Polen

Leitungsorgane müssen Maßnahmen des Cybersicherheits-Risikomanagements formell genehmigen und deren Umsetzung überwachen.

Nach dem polnischen Rechtsrahmen:

• Leitungsorgane tragen die Verantwortung für die Compliance-Überwachung.
• Die oberste Leitung muss ausreichende Cybersicherheitskompetenz sicherstellen.
• Verwaltungsrechtliche Sanktionen können Governance-Mängel ahnden.
• Die vorübergehende Aussetzung von Leitungsfunktionen kann im Rahmen richtlinienkonformer Durchsetzungsmechanismen vorgesehen sein.

Die Erwartungen an die NIS2-Managementhaftung in Polen heben die Governance der Cybersicherheit auf eine Verantwortung auf Leitungsebene.

8. Meldepflichten für Sicherheitsvorfälle in Polen

9. Aufsichtsbehörden und Durchsetzungsmodell in Polen

Federführende Behörde: Government Security Centre (Rządowe Centrum Bezpieczeństwa).

Polen betreibt ein koordiniertes Aufsichtsmodell, das je nach Branchenklassifikation von sektorspezifischen Regulierungsbehörden unterstützt wird.

Aufsichtsbefugnisse umfassen:

• Anforderungen von Unterlagen und Informationen
• Sicherheitsaudits
• Vor-Ort-Kontrollen
• Verbindliche Compliance-Anordnungen
• Teilnahme an EU-Koordinierungsmechanismen für Cybersicherheit

Die Durchsetzungsstruktur steht im Einklang mit den Anforderungen an die Zusammenarbeit auf Richtlinienebene.

10. NIS2-Bußgelder und Sanktionen in Polen

Polen wendet richtlinienkonforme verwaltungsrechtliche Sanktionen an.

Die Durchsetzung von NIS2-Bußgeldern in Polen kann außerdem Folgendes umfassen:

• Verbindliche Abhilfeanordnungen
• Öffentliche Benennung nicht konformer Einrichtungen
• Aussetzung von Genehmigungen oder Zertifizierungen
• Befugnisse zur Suspendierung von Führungskräften

Bis zu €7 Millionen oder 1,4 % des gesamten weltweiten Jahresumsatzes (je nachdem, welcher Wert höher ist)

11. NIS2-Lieferketten- und Anbietersicherheit in Polen

Einrichtungen müssen die Cybersecurity-Risiken durch Dritte über folgende Maßnahmen steuern:

• Lieferantenrisikobewertungen
• Vertragliche Flow-down-Bestimmungen zu Sicherheitsanforderungen
• Kontinuierliche Überwachung von ICT-Lieferanten
• Konzentrationsrisikoanalyse
• Eindämmung der Ausbreitung von Vorfällen

Der Ansatz Polens entspricht den grundlegenden Erwartungen der Richtlinie hinsichtlich des Lieferantenrisikomanagements.

12. Registrierungs- und Selbstidentifikationspflichten in Polen

Einrichtungen im Anwendungsbereich müssen:

• Sich bei den zuständigen Behörden registrieren
• Angaben zur Unternehmensidentität bereitstellen
• Sektorzuordnung offenlegen
• Aktuelle Meldekontaktdaten pflegen

Verfahrensfristen richten sich nach dem polnischen Umsetzungsrahmen. Nach dem aktuellen Stand der Umsetzung folgt Polen dem Baseline-Rahmen der NIS2 Directive. Nationale Umsetzungsdetails können spezifische Pflichten präzisieren.

Selbstidentifizierung ist verpflichtend, wenn Einrichtungen die gesetzlichen Schwellenwerte erfüllen.

13. Wechselwirkung mit der GDPR und anderen Gesetzen in Polen

Die General Data Protection Regulation gilt weiterhin parallel.

Zu berücksichtigende Überschneidungen umfassen:

• 72-Stunden-Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten
• Koordinierung der Aufsichtsbehörden
• Parallele Untersuchungen zu Cybersicherheit und Datenschutz
• Sektorspezifische polnische Cybersicherheitsgesetzgebung

Ein Cybervorfall kann Meldepflichten nach beiden Regimen auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Polen werden für grenzüberschreitende Dienste von polnischen Behörden beaufsichtigt.

Ausländische Anbieter digitaler Dienste, die in Polen Dienste erbringen, können abhängig von der Niederlassungsstruktur nationalen Verpflichtungen unterliegen.

Vertretungspflichten folgen den Richtlinienstandards für Nicht-EU-Anbieter, die den polnischen Markt bedienen.

15. Umsetzungszeitplan in Polen

• Annahme der Richtlinie: 2022
• Nationale Gesetzesänderungen: 2024–2025
• Inkrafttreten: Nach nationaler Verkündung
• Mitteilung an die Commission: Gemäß den EU-Verfahren
• Compliance-Meilenstein: Richtlinienkonforme Fristen

Der polnische Zeitplan für die Umsetzung steht im Einklang mit den EU-Umsetzungsanforderungen.

16. Kernaussagen für KMU in Polen

• Mittelgroße Unternehmen in erfassten Sektoren fallen automatisch in den Anwendungsbereich.
• Kleine Unternehmen können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
• Aufsicht auf Vorstandsebene ist verpflichtend.
• Die Meldung von Vorfällen folgt Fristen von 24h / 72h / 1 Monat.
• Finanzielle Sanktionen können €10 Millionen oder 2 % des weltweiten Umsatzes erreichen.
• Lieferantenrisikomanagement ist erforderlich.
• Frühe Compliance-Planung verringert das Durchsetzungsrisiko.

FAQ: NIS2 Polen KMU-Leitfaden