NIS2 in Polonia

1. Panoramica rapida sull'applicabilità alle PMI in Polonia

NIS2 si applica alle PMI in Polonia?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite in Polonia e, in alcuni casi, ai fornitori digitali esteri che servono il mercato polacco.

Le PMI dovrebbero valutare la qualificazione ai sensi del quadro nazionale di cibersicurezza della Polonia in base alla classificazione settoriale e alle soglie di legge.

2. Panoramica dell'attuazione della Direttiva NIS2 in Polonia

La Polonia sta attuando la Direttiva mediante modifiche alla Act on the National Cybersecurity System, che disciplina gli obblighi di cibersicurezza del Paese.

La normativa rivista allinea il regime polacco alla Direttiva (UE) 2022/2555 e rafforza i requisiti relativi a governance, gestione dei rischi di cibersicurezza, notifica degli incidenti, vigilanza e sanzioni.

L'attuazione si basa sul sistema di cibersicurezza già consolidato della Polonia, ampliando al contempo l'ambito di applicazione e gli strumenti di applicazione in linea con gli standard dell'UE.

3. Ambito di applicazione in Polonia

L'ambito di applicazione della Polonia riflette le categorie settoriali minime della Direttiva senza un'espansione strutturale confermata.

4. Soglie dimensionali e applicabilità alle PMI in Polonia

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le piccole e micro imprese possono essere designate se ritenute critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.

Le autorità polacche mantengono poteri formali di designazione qualora il rischio sistemico ne giustifichi l'inclusione.

5. Quadro di classificazione delle entità in Polonia

Le entità sono classificate come:

• Entità essenziali — Soggette a vigilanza proattiva, incluse ispezioni e monitoraggio strutturato della conformità.
• Entità importanti — Prevalentemente soggette a vigilanza reattiva attivata da incidenti significativi o da problemi di conformità.

La classificazione è determinata dal settore e dalle dimensioni. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano una vigilanza rafforzata.

La Polonia segue la struttura di vigilanza a due livelli della Direttiva.

6. Requisiti di gestione del rischio di cybersicurezza in Polonia

Il regime nazionale della Polonia è allineato ai requisiti di base della Direttiva per la gestione del rischio di cybersicurezza. Le entità rientranti nell'ambito di applicazione devono attuare misure tecniche e organizzative proporzionate che affrontino:

• Analisi dei rischi e protezione dei sistemi
• Rilevamento e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli dei rischi della catena di fornitura NIS2 in Polonia
• Acquisizione e sviluppo sicuri dei sistemi ICT
• Controllo degli accessi e gestione delle identità
• Cifratura e misure di salvaguardia crittografiche
• Procedure di gestione delle vulnerabilità
• Formazione del personale sulla cibersicurezza

Le misure devono riflettere standard allo stato dell'arte e l'esposizione al rischio dell'organizzazione. È incoraggiato l'allineamento con ISO/IEC 27001 e con le linee guida polacche sulla cybersicurezza.

7. Responsabilità del management e governance in Polonia

Gli organi di gestione devono approvare formalmente le misure di gestione del rischio di cybersicurezza e vigilare sulla loro attuazione.

Nel quadro normativo della Polonia:

• Gli organi di gestione sono responsabili della vigilanza sulla conformità.
• L'alta dirigenza deve garantire adeguate competenze in materia di cibersicurezza.
• Le sanzioni amministrative possono essere irrogate in caso di carenze di governance.
• La sospensione temporanea delle funzioni dirigenziali può essere prevista nell'ambito di meccanismi di applicazione allineati alla direttiva.

Le aspettative della Polonia in materia di responsabilità della direzione ai sensi della NIS2 elevano la governance della cybersicurezza a una responsabilità a livello esecutivo.

8. Obblighi di notifica degli incidenti in Polonia

9. Autorità di vigilanza e modello di applicazione in Polonia

Autorità principale: Government Security Centre (Rządowe Centrum Bezpieczeństwa).

La Polonia adotta un modello di vigilanza coordinato, supportato da autorità di regolamentazione settoriali in base alla classificazione del settore.

I poteri di vigilanza includono:

• Richieste di documentazione e informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti in materia di conformità
• Partecipazione ai meccanismi di coordinamento dell'UE in materia di cibersicurezza

La struttura di applicazione è allineata ai requisiti di cooperazione a livello di direttiva.

10. Ammende e sanzioni NIS2 in Polonia

La Polonia applica sanzioni amministrative allineate alla direttiva.

Le sanzioni NIS2 applicate in Polonia possono inoltre includere:

• Ordini correttivi vincolanti
• Identificazione pubblica delle entità non conformi
• Sospensione di autorizzazioni o certificazioni
• Poteri di sospensione dei dirigenti

Fino a €7 milioni o al 1,4% del fatturato annuo mondiale totale (a seconda di quale sia più elevato)

11. Sicurezza NIS2 della catena di fornitura e dei fornitori in Polonia

Le entità devono gestire l'esposizione ai rischi di cybersicurezza legati a terze parti attraverso:

• Valutazioni del rischio dei fornitori
• Clausole contrattuali a cascata in materia di sicurezza
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L'approccio della Polonia è in linea con le aspettative di base della Direttiva in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e di autoidentificazione in Polonia

Le entità rientranti nell'ambito di applicazione devono:

• Registrarsi presso le autorità competenti
• Fornire i dati identificativi societari
• Comunicare la classificazione settoriale
• Mantenere aggiornati i contatti per le segnalazioni

Le scadenze procedurali seguono il quadro di attuazione della Polonia. In base all'attuale stato di recepimento, la Polonia segue il quadro di base della Direttiva NIS 2. I dettagli di attuazione nazionali possono precisare obblighi specifici.

L'autoidentificazione è obbligatoria quando le entità soddisfano le soglie previste dalla legge.

13. Interazione con il Regolamento generale sulla protezione dei dati e altre leggi in Polonia

Il Regolamento generale sulla protezione dei dati continua ad applicarsi parallelamente.

Le considerazioni sulle sovrapposizioni includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento tra autorità di controllo
• Indagini parallele in materia di cibersicurezza e protezione dei dati
• Legislazione polacca settoriale sulla cibersicurezza

Un incidente informatico può far scattare obblighi di notifica in entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con stabilimento principale in Polonia sono sottoposte alla vigilanza delle autorità polacche per i servizi transfrontalieri.

I fornitori digitali stranieri che offrono servizi in Polonia possono essere soggetti a obblighi nazionali a seconda della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della direttiva per i fornitori extra-UE che servono il mercato polacco.

15. Tempistica di attuazione in Polonia

• Adozione della Direttiva: 2022
• Modifiche legislative nazionali: 2024–2025
• Entrata in vigore: Alla pubblicazione nazionale
• Notifica alla Commissione: In conformità alle procedure dell'UE
• Tappa di conformità: Scadenze allineate alla direttiva

La tempistica di recepimento della Polonia è allineata ai requisiti di attuazione dell'UE.

16. Punti chiave per le PMI in Polonia

• Le entità di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito di applicazione.
• Le entità di piccole dimensioni possono essere designate se critiche per la stabilità nazionale o economica.
• La supervisione a livello dell'organo di gestione è obbligatoria.
• La notifica degli incidenti segue le scadenze di 24h / 72h / 1 mese.
• Le sanzioni pecuniarie possono raggiungere €10 milioni o il 2% del fatturato mondiale.
• La gestione del rischio dei fornitori è obbligatoria.
• La pianificazione anticipata della conformità riduce l'esposizione a misure di vigilanza e applicazione.

FAQ: Guida NIS2 per le PMI in Polonia