NIS 2 Status Polen

NIS 2 Status in Polen

Was die Richtlinie fordert, wie Polen sie umsetzt, und wo das Ministerstwo Cyfryzacji und die drei CSIRT im Bild stehen.

Simon OrzelSimon Orzel·

Überblick

Die NIS 2 Richtlinie ist die EU-Ebene. Sie bindet jeden Mitgliedstaat, auch Polen, mit einem einheitlichen Mindestniveau für wesentliche und wichtige Einrichtungen. Polen muss dieses Niveau in polnisches Recht überführen und eine Aufsicht darunter führen.

Polen setzt NIS 2 über eine Novelle der bestehenden Ustawa o krajowym systemie cyberbezpieczeństwa aus 2018 um. Die Novelle wurde vom Sejm am 23. Januar 2026 verabschiedet, am 19. Februar 2026 vom Staatspräsidenten unterzeichnet, am 2. März 2026 im Dziennik Ustaw veröffentlicht (Dz.U. 2026 poz. 252) und trat am 3. April 2026 in Kraft. Polen hatte die Richtlinienfrist vom 17. Oktober 2024 verfehlt; die Europäische Kommission hatte am 7. Mai 2025 ein begründetes Vertragsverletzungsverfahren eingeleitet.

Federführende Behörde und nationaler Single Point of Contact ist das Ministerstwo Cyfryzacji (Ministerium für Digitalisierung). Auf operativer Ebene arbeiten drei nationale CSIRT parallel: CSIRT NASK für private Wirtschaft und digitale Dienste, CSIRT GOV für Verwaltung und kritische Infrastruktur, CSIRT MON für den militärischen Bereich. Sektorale Regulatoren wie die KNF im Finanzsektor bleiben dort zuständig, wo DORA als Lex specialis greift.

Wo die Regeln stehen
Drei Ebenen, die jeder auseinanderhalten muss, der die polnische NIS 2 Lage liest.

EU Richtlinie

Richtlinie (EU) 2022/2555 (NIS 2)

Die EU-weite Cybersicherheitsrichtlinie. Sie legt die Pflichten fest, die jeder Mitgliedstaat umzusetzen hat, einschließlich der Größen- und Sektorprüfung für wesentliche und wichtige Einrichtungen.

EU Durchführung

Durchführungsverordnung (EU) 2024/2690

Technische und methodische Maßnahmen für Anbieter digitaler Infrastruktur. In Polen unmittelbar anwendbar, ohne nationale Umsetzung.

Polnische Umsetzung

Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. 2026 poz. 252)

Die polnische NIS 2 Umsetzung als Novelle der bestehenden Ustawa o KSC vom 5. Juli 2018. Veröffentlichung im Dziennik Ustaw am 2. März 2026, Inkrafttreten am 3. April 2026. Ausführungsverordnungen des Ministerstwo Cyfryzacji füllen den operativen Detailrahmen.

Drei Punkte, die man kennen muss
Was sich für Einrichtungen mit Aktivität in Polen ändert.
Umsetzung

UKSC-Novelle 2026

Bringt die NIS 2 Pflichten in polnisches Recht. Definiert wesentliche und wichtige Einrichtungen (podmioty kluczowe i ważne), die Aufsichtsbefugnisse des Ministerstwo Cyfryzacji, Meldepflichten an das jeweilige CSIRT und Sanktionen. Sektorale CSIRT für strategische Branchen sind neu in der Novelle vorgesehen.

Aufsicht

Ministerstwo Cyfryzacji und drei CSIRT

Das Ministerstwo Cyfryzacji ist federführende zuständige Behörde und nationaler Single Point of Contact gegenüber EU und anderen Mitgliedstaaten. Auf operativer Ebene wirken drei CSIRT: CSIRT NASK (privater Sektor, digitale Dienste), CSIRT GOV (öffentliche Verwaltung, kritische Infrastruktur, betrieben durch die ABW), CSIRT MON (militärischer Bereich).

Fristen

Registrierung und Umsetzung

Inkrafttreten am 3. April 2026. Einrichtungen, die die Kriterien zum Stichtag erfüllen, müssen sich in der offiziellen Liste der wesentlichen und wichtigen Einrichtungen registrieren. Zwölfmonatige Frist für die vollständige Umsetzung der Sicherheitsmaßnahmen nach Kapitel 3 der UKSC, also bis zum 3. April 2027. Vorfallmeldung folgt der Richtlinie: Frühwarnung in 24 Stunden, Meldung in 72 Stunden, Abschlussbericht in einem Monat, technisch über das nationale System S46.

Zwei Prinzipien, die jeden Grenzfall klären
Vor jedem polnischen Kommentar zu NIS 2 lesen.

In Polen gilt polnisches Recht

Aktivitäten auf polnischem Staatsgebiet folgen der polnischen Umsetzung. Ein deutscher Geschäftsführer mit polnischer Tochter liest für diese Tochter die UKSC in der Fassung der Novelle vom 23. Januar 2026, nicht das BSIG. Die Richtlinienpflichten sind identisch. Verfahren, Behörden und Sanktionen stehen aber im polnischen Recht.

Polen darf nicht unter das EU Niveau fallen

Die Richtlinie ist eine Mindestharmonisierung. Polen darf strenger werden und ist es teilweise bei sektoralen Strukturen und der Lieferkettenkomponente. Polen darf aber nicht unter die Richtlinie fallen, weder bei den Pflichten für wesentliche und wichtige Einrichtungen, noch bei Meldefristen, noch bei der Verantwortung des Leitungsorgans.

Wer macht was in Polen
Drei Akteure, die in fast jeder NIS 2 Frage in Polen auftauchen.
PL

Ministerstwo Cyfryzacji

Das Ministerium für Digitalisierung ist federführende zuständige Behörde unter der UKSC und nationaler Single Point of Contact gegenüber EU und Kooperationsgruppe. Es führt die offizielle Liste der wesentlichen und wichtigen Einrichtungen, erlässt Ausführungsverordnungen und koordiniert die drei CSIRT sowie die neuen sektoralen CSIRT.

PL

CSIRT NASK, CSIRT GOV, CSIRT MON

Polen betreibt drei nationale CSIRT parallel. CSIRT NASK (am Forschungs- und akademischen Computernetz NASK) deckt private Wirtschaft und digitale Dienste ab und ist operativer Single Point of Contact für die meisten Unternehmen. CSIRT GOV (bei der Agencja Bezpieczeństwa Wewnętrznego, der Inlandsnachrichtenbehörde) ist für öffentliche Verwaltung und kritische Infrastruktur zuständig. CSIRT MON deckt den militärischen Bereich ab. Welches CSIRT zuständig ist, ergibt sich aus Sektor und Trägerschaft, nicht aus der Wahl der Einrichtung.

EU

ENISA

Die EU Cybersicherheitsagentur. Veröffentlicht Leitlinien, betreibt die europäische Schwachstellendatenbank und koordiniert grenzüberschreitend. Keine Aufsicht für polnische Einrichtungen. Die liegt beim Ministerstwo Cyfryzacji und den drei CSIRT.

Fallstricke
Fehler, die wir sehen, wenn polnische Einrichtungen NIS 2 zum ersten Mal lesen.
  • Wir folgen einfach dem deutschen NIS2UmsuCG, das spart Zeit.

    Pflichten aus der Richtlinie sind in DE und PL gleich, das nationale Verfahren ist es nicht. Polen registriert über das Ministerstwo Cyfryzacji, meldet Vorfälle über CSIRT NASK, CSIRT GOV oder CSIRT MON je nach Sektor und nutzt das System S46. Eine polnische Tochter eines deutschen Konzerns dokumentiert ihre Compliance gegen die UKSC in der Fassung vom 23. Januar 2026, nicht gegen das BSIG.

  • Polen hat noch kein offizielles Register, also können wir warten.

    Die UKSC-Novelle ist am 3. April 2026 in Kraft getreten. Einrichtungen, die die Kriterien erfüllen, müssen sich in die offizielle Liste der wesentlichen und wichtigen Einrichtungen eintragen lassen und haben bis zum 3. April 2027 alle Sicherheitsmaßnahmen aus Kapitel 3 der UKSC umzusetzen. Wartepositionen sind nicht das gleiche wie Karenz: Die Pflichten gelten ab Inkrafttreten, nur die Sanktionspraxis ist gestaffelt.

  • Wir sind im Finanzsektor unter KNF-Aufsicht, NIS 2 betrifft uns nicht.

    Für Banken, Zahlungsdienstleister und andere Finanzakteure gilt DORA als Lex specialis für IT-Sicherheit, durchgesetzt von der KNF. Die NIS 2 Registrierungspflicht über das Ministerstwo Cyfryzacji bleibt aber bestehen. Auch wer materiell DORA folgt, muss formal als NIS 2 Einrichtung identifiziert und registriert sein. Das ist ein häufiger Anwendungsprüfungsfehler.

Aus der Praxis

Polen war eines der sieben Länder, gegen die die Europäische Kommission am 7. Mai 2025 wegen Nichtumsetzung der NIS 2 ein begründetes Vertragsverletzungsverfahren eingeleitet hat. Mit der UKSC-Novelle vom 23. Januar 2026 und Inkrafttreten am 3. April 2026 ist diese Lücke geschlossen. Praktisch bedeutet das: Der Pflichtenraum ist scharf, die Sanktionspraxis steht noch am Anfang.

Der praktische Schritt ist der gleiche wie überall in der EU: Anwendbarkeit gegen die Richtlinie prüfen, beim Ministerstwo Cyfryzacji registrieren, die vier Dauerpflichten aufsetzen (Registrierungsdaten pflegen, Vorfallmeldung an das zuständige CSIRT, Lieferkettenrisiko, Aufsicht durch das Leitungsorgan) und das Minimum dokumentieren. Polnische Einrichtungen mit deutschen Mutterkonzernen sollten klären, welches CSIRT für sie zuständig ist, bevor der erste Vorfall passiert.

Was die Plattform liefert

Wir bauen das NIS 2 Pflichtenregister auf der EU Ebene, nicht auf einer einzelnen nationalen Umsetzung. Die gleiche Checkliste passt für eine polnische Tochter unter der UKSC, eine deutsche Mutter unter BSIG und eine niederländische Schwester unter dem Cyberbeveiligingswet. Die Artikelverweise wechseln pro Land, die Pflichten in der Sache nicht.

Für den polnischen Scope startet man mit der Anwendbarkeitsprüfung, dann Meldetakt an das zuständige CSIRT, Lieferkettenklauseln und Freigabe durch das Leitungsorgan. Wo das Ministerstwo Cyfryzacji oder die CSIRT Sektorleitlinien veröffentlichen, verlinken wir sie. Wir kopieren sie nicht.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2): EUR-Lex
  • Durchführungsverordnung (EU) 2024/2690
  • Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2018 poz. 1560): ISAP Sejm
  • Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. 2026 poz. 252): ISAP Sejm
  • Ministerstwo Cyfryzacji: offizielle Seite, gov.pl/web/cyfryzacja
  • CSIRT NASK: csirt.nask.pl
  • CSIRT GOV (Agencja Bezpieczeństwa Wewnętrznego): csirt.gov.pl
  • Europäische Kommission, begründete Stellungnahme zur Nichtumsetzung NIS 2, 7. Mai 2025
  • KNF / Komisja Nadzoru Finansowego: zuständige Behörde für DORA im Finanzsektor
Polnischen Scope in unter fünf Minuten klären
Die Anwendbarkeitsprüfung wendet den Größen- und Sektorentest der Richtlinie an. Wenn die polnische Tochter im Scope ist, ist der nächste Schritt die Registrierung beim Ministerstwo Cyfryzacji.