NIS2 in Polen: Pflichten & Umsetzung

NIS2 in Polen: Für wen gilt die Richtlinie, welche Verpflichtungen ergeben sich daraus und wie bereitet man sein Unternehmen darauf vor?

NIS2 ist in Polen kein Zukunftsthema mehr, was die Einhaltung von Vorschriften angeht. Für viele Unternehmen ist es mittlerweile ein aktuelles rechtliches und betriebliches Thema. In Polen wurde die Novelle zur Umsetzung der NIS2-Richtlinie durch das Gesetz über das nationale Cybersicherheitssystem (KSC-Gesetz) am 2. März 2026 veröffentlicht und trat am 3. April 2026 in Kraft, was bedeutet, dass die Anpassungsfristen für die von den neuen Vorschriften betroffenen Unternehmen bereits laufen.

Aus unternehmerischer Sicht sollte NIS2 als mehr als nur eine weitere Vorschrift betrachtet werden. Sie schafft einen Rahmen für das Management der digitalen Widerstandsfähigkeit einer Organisation. Für einige Unternehmen wird dies eine direkte gesetzliche Verpflichtung sein. Für andere wird NIS2 zu einer indirekten Anforderung, die von Mandanten, Konzernunternehmen, Geschäftspartnern, Versicherern oder im Rahmen von Lieferkettenbeziehungen auferlegt wird. In der Praxis bedeutet dies, dass selbst ein Unternehmen, das formal nicht in den Anwendungsbereich fällt, dennoch aufgefordert werden kann, bestimmte Sicherheitskontrollen, dokumentierte Verfahren oder die Bereitschaft für Audits nachzuweisen.

Was ist NIS2

Die NIS2-Richtlinie, offiziell Richtlinie (EU) 2022/2555, hat das frühere NIS1-Rahmenwerk abgelöst und die Anforderungen an die Cybersicherheit in der gesamten Europäischen Union verschärft. Ihr Ziel ist es, den Schutz von Netz- und Informationssystemen in allen Mitgliedstaaten zu harmonisieren, die Liste der erfassten Sektoren zu erweitern und die Vorschriften zu Risikomanagement, Meldung von Vorfällen, Aufsicht und Durchsetzung zu verschärfen.

Für Unternehmen in Polen ist dies von Bedeutung, da sich die NIS2 nicht auf die Reaktion auf Vorfälle beschränkt. Sie regelt auch, wie die Cybersicherheit innerhalb eines Unternehmens organisiert sein sollte. Der Rahmen umfasst Bereiche wie Risikoanalyse, Vorfallbearbeitung, Geschäftskontinuität, Krisenmanagement, Sicherheit der Lieferkette, Kryptografie, Zugriffskontrolle und Mitarbeiterschulung. Mit anderen Worten: Der Schwerpunkt verlagert sich vom Kauf von Sicherheitstools hin zum Aufbau eines strukturierten Governance- und Prozessmodells.

Für wen gilt NIS2?

In der Regel gilt NIS2 vor allem für mittlere und große Unternehmen, die in Sektoren tätig sind, die als kritisch oder von hoher Bedeutung für das Funktionieren des Staates und der Wirtschaft angesehen werden. Die Richtlinie unterscheidet zwei Kernkategorien: wesentliche und wichtige Einrichtungen. Sie ermöglicht es den Mitgliedstaaten zudem, einige kleinere Organisationen einzubeziehen, wenn deren Risikoprofil oder systemische Bedeutung dies rechtfertigt.

Wesentliche Einrichtungen

Zu den Sektoren mit hohem Kritikalitätsgrad gehören unter anderem:

Energie,
Verkehr,
Banken,
Finanzmarktinfrastruktur,
Gesundheitswesen,
Trinkwasser,
Abwasser,
digitale Infrastruktur,
IKT-Dienstleistungsmanagement,
öffentliche Verwaltung,
der Raumfahrtsektor.

Wichtige Einrichtungen

Zu den weiteren kritischen Sektoren gehören unter anderem:

Post- und Kurierdienste,
Abfallwirtschaft,
die chemische Industrie,
Lebensmittelproduktion,
ausgewählte Fertigungssektoren,
digitale Dienste,
Forschungseinrichtungen.

Es ist wichtig zu betonen, dass die Branchenzugehörigkeit allein nicht darüber entscheidet, ob ein Unternehmen unter das Gesetz fällt. Die Größe, die Art der erbrachten Dienstleistungen, die Rolle des Unternehmens im Gesamtökosystem sowie die spezifischen gesetzlichen Kriterien spielen ebenfalls eine Rolle. Bei internationalen Konzernen ist häufig eine zusätzliche rechtliche Prüfung erforderlich, da der Sitz des Unternehmens und die grenzüberschreitende Dienstleistungsstruktur Einfluss darauf haben können, wie lokale Vorschriften in Polen und anderen Ländern zur Anwendung kommen.

Was dies für Unternehmen bedeutet, die nicht unmittelbar unter den Geltungsbereich des Gesetzes fallen

In der Praxis werden viele Unternehmen mit NIS2 konfrontiert sein, auch wenn sie formal nicht als kritische oder wichtige Einrichtung eingestuft sind. Der Grund dafür ist einfach: NIS2 legt großen Wert auf die Sicherheit der Lieferkette. Von den betroffenen Einrichtungen wird erwartet, dass sie Risiken im Zusammenhang mit ihren direkten Lieferanten und Dienstleistern managen. Dies führt zu mehr Sicherheitsfragebögen, vertraglichen Anforderungen, Prüfungsklauseln und detaillierten Fragen zu Verfahren, Backups, Zugriffskontrollen und der Reaktion auf Vorfälle.

Für Unternehmer in Polen ist dies ein wichtiges Signal. Selbst wenn ein Unternehmen derzeit keine direkte gesetzliche Verpflichtung gemäß NIS2 in Polen sieht, kann es dennoch von einem wichtigen Mandanten, Investor oder Konzernunternehmen aufgefordert werden, seine Cybersicherheitsreife nachzuweisen. Aus Sicht des Vertriebs und der Vertragsbindung wird die organisatorische Bereitschaft zunehmend zu einem Wettbewerbsvorteil.

In der Praxis ist ein NIS2-Konformitätsaudit oft ein sinnvoller erster Schritt, um festzustellen, ob die Organisation tatsächlich den neuen Vorschriften unterliegt und welche Lücken zuerst geschlossen werden sollten.

NIS2 in Polen: aktueller Rechtsstatus und wichtige Fristen

In Polen wurde NIS2 durch die Novelle des Gesetzes über das nationale Cybersicherheitssystem (KSC-Gesetz) umgesetzt. Das Änderungsgesetz wurde am 2. März 2026 veröffentlicht und trat gemäß seinen Schlussbestimmungen einen Monat später, am 3. April 2026, in Kraft. Ab diesem Datum begannen die gesetzlichen Anpassungsfristen zu laufen.

Die wichtigsten Termine für Unternehmen in Polen sind wie folgt:

13. April 2026 – Start des Registers für wesentliche und wichtige Stellen,
7. Mai bis 3. Oktober 2026 – Frist für die Selbstregistrierung von Stellen, die nicht von Amts wegen eingetragen wurden,
12. Juni 2026 – neue Einrichtungen können das S46-System nutzen, unter anderem für die Meldung von Vorfällen und die Kommunikation mit den zuständigen Behörden,
bis zum 3. April 2027 – Einrichtungen, die zum Zeitpunkt des Inkrafttretens der Novelle bereits die gesetzlichen Kriterien erfüllten, müssen die neuen Verpflichtungen umsetzen,
bis zum 3. April 2028 – die erste obligatorische Cybersicherheitsprüfung muss von wesentlichen Stellen durchgeführt werden, die zum Zeitpunkt des Inkrafttretens die gesetzlichen Kriterien erfüllten und zuvor als Betreiber wesentlicher Dienste nicht der Prüfungspflicht unterlagen,
ab dem 3. April 2028 – können erstmals Geldbußen verhängt werden.

Der polnische Umsetzungszeitplan sieht zudem eine zweijährige Karenzzeit vor, bevor erstmals Geldstrafen verhängt werden können. Dies sollte jedoch nicht als Grund dafür verstanden werden, Maßnahmen aufzuschieben. Die Rechenschaftspflicht der Geschäftsleitung und die Erwartungen der Aufsichtsbehörden treten bereits früher in Kraft, und mangelnde Vorbereitung kann lange vor der Verhängung einer formellen Sanktion zu operativen, vertraglichen und rufschädigenden Problemen führen.

Welche Verpflichtungen erlegt NIS2 auf?

Einer der größten Fehler bei der Auslegung von NIS2 besteht darin, die Richtlinie auf die Anforderung zu reduzieren, Sicherheitsinstrumente einzusetzen. Die Richtlinie und die polnische Umsetzung gehen weit darüber hinaus. Sie erwarten von einer Organisation, dass sie ein kohärentes Cybersicherheits-Managementsystem aufbaut, anstatt lediglich technische Lösungen zu erwerben.

1. Verantwortlichkeit des Vorstands und der Geschäftsleitung

NIS2 verlagert die Verantwortung eindeutig auf die Führungsebene. Die Leitungsorgane müssen Maßnahmen zum Cybersicherheits-Risikomanagement genehmigen, deren Umsetzung überwachen und können bei Verstößen haftbar gemacht werden. Die Mitgliedstaaten müssen zudem von den Mitgliedern der Leitungsorgane verlangen, dass sie an Schulungen teilnehmen, und ähnliche Schulungen sollten regelmäßig für die Mitarbeiter angeboten werden. In der Praxis bedeutet dies, dass Cybersicherheit zu einer Frage der Unternehmensführung auf Vorstandsebene wird und nicht mehr nur eine Angelegenheit ist, die den IT- oder Sicherheitsteams überlassen bleibt.

2. Maßnahmen zum Cybersicherheits-Risikomanagement

Der Mindestkatalog an Maßnahmen gemäß NIS2 umfasst mindestens:

Richtlinien zur Risikoanalyse und zur Sicherheit von Informationssystemen,
Zwischenfallbearbeitung,
Geschäftskontinuität, Datensicherung und Notfallwiederherstellung,
Krisenmanagement,
Sicherheit der Lieferkette,
Sicherheit bei der Beschaffung, Entwicklung und Wartung von Systemen,
Bewertung der Wirksamkeit von Sicherheitsmaßnahmen,
grundlegende Cyberhygiene und Schulungen,
Richtlinien zur Kryptografie und gegebenenfalls zur Verschlüsselung,
Sicherheit im Personalwesen, Zugangskontrolle und Anlagenverwaltung,
gegebenenfalls Multi-Faktor- oder kontinuierliche Authentifizierung sowie sichere Kommunikation.

Diese Liste verdeutlicht das Ausmaß der Veränderung. Bei NIS2 geht es nicht nur um den Schutz der Infrastruktur. Sie umfasst auch Dokumentation, Rollen und Verantwortlichkeiten, Beschaffung, Lieferantenbeziehungen, Anlagenklassifizierung, Kontrolltests und regelmäßige Sensibilisierungsmaßnahmen für das Personal.

3. Meldung von Vorfällen

NIS2 verschärft auch die Meldepflichten. In der Regel muss eine Einrichtung innerhalb von 24 Stunden nach Bekanntwerden eines schwerwiegenden Vorfalls eine Frühwarnung, innerhalb von 72 Stunden eine Vorfallmeldung und spätestens einen Monat nach der Meldung einen Abschlussbericht einreichen. In Polen erfolgt die Meldung über das S46-System.

Für Unternehmen bedeutet dies, dass praktische Bereitschaft unerlässlich ist. Es reicht nicht aus, die Meldung von Vorfällen lediglich in einer Richtlinie zu erwähnen. Die Organisation benötigt klare Rollen, Entscheidungswege, Ansprechpartner, Vorlagen und getestete Eskalationsszenarien.

Warum NIS2 auch für das Management, den Finanzbereich und den operativen Betrieb von Bedeutung ist

NIS2 wird oft als technisches Thema betrachtet, doch seine Auswirkungen sind geschäftlicher Natur. Ein Cybersicherheitsvorfall kann Produktionsausfälle, Dienstunterbrechungen, Datenverluste, Wiederherstellungskosten, Streitigkeiten mit Vertragspartnern und Reputationsschäden zur Folge haben. Aus Sicht des Vorstands steht das Cyberrisiko damit auf einer Stufe mit Steuer-, Regulierungs- und operativen Risiken.

Deshalb sollten gut vorbereitete Unternehmen NIS2 in ihr übergeordnetes Corporate-Governance-Rahmenwerk integrieren. In der Praxis bedeutet dies regelmäßige Berichterstattung an die Geschäftsleitung, Risikoprüfungen, die Genehmigung von Richtlinien, die Abstimmung mit der Geschäftskontinuitätsplanung sowie die Überprüfung, ob kritische Dienste durch angemessene Kontrollen und Ausweichszenarien geschützt sind.

So bereiten Sie Ihr Unternehmen auf die NIS2-Konformität vor

In den meisten Organisationen ist der beste Ausgangspunkt nicht der Kauf von Technologie, sondern eine strukturierte Bestandsaufnahme des aktuellen Zustands. So lässt sich feststellen, ob das Unternehmen tatsächlich in den Anwendungsbereich fällt, wo die größten Lücken liegen, welche Bereiche kritisch sind und welche Maßnahmen am schnellsten Wirkung zeigen.

Ein guter Ausgangspunkt ist ein NIS2-Compliance-Audit, das dabei hilft, zu beurteilen, ob die Organisation bereit ist, die Anforderungen der NIS2-Richtlinie und des polnischen Gesetzes über das nationale Cybersicherheitssystem (KSC-Gesetz) zu erfüllen, und anschließend einen realistischen Fahrplan für Abhilfemaßnahmen zu definieren.

Ein praktischer Vorbereitungsweg für Organisationen

1. Feststellen, ob die Organisation in den Anwendungsbereich fällt

Zu Beginn sollten drei zentrale Fragen beantwortet werden:

In welcher Branche ist das Unternehmen tätig?
Erfüllt es die Größenkriterien oder andere gesetzliche Anforderungen?
Welche Dienste, Systeme und Prozesse sind geschäftskritisch?

In dieser Phase begehen viele Organisationen ihren ersten Fehler: Entweder kommen sie zu schnell zu dem Schluss, dass die Verordnung nicht auf sie zutrifft, oder sie starten ein umfassendes Umsetzungsprogramm, ohne zuvor den tatsächlichen Umfang der Verpflichtungen zu bestätigen.

2. Überprüfung von Dokumentation und Prozessen

Der nächste Schritt besteht darin, den aktuellen Stand folgender Bereiche zu bewerten:

Richtlinien und Verfahren,
Register und Bestandsverzeichnisse,
Zugriffsregeln,
Notfallpläne,
Lieferantenverträge,
Prozesse zum Vorfallmanagement,
Sicherungen,
Überwachung,
Bestandsverzeichnisse,
Schulungspraktiken.

3. Durchführung einer Lückenanalyse

In dieser Phase wird der aktuelle Stand mit den Anforderungen von NIS2 und dem polnischen KSC-Gesetz verglichen. Ziel ist es, nicht nur fehlende Elemente zu identifizieren, sondern auch deren regulatorische und geschäftliche Bedeutung zu bewerten. Nicht jede Lücke hat das gleiche Gewicht. Einige erfordern sofortiges Handeln, während andere über einen längeren Zeitraum geplant werden können.

4. Erstellen Sie einen Plan zur Mängelbehebung

Der letzte Schritt ist ein strukturierter Umsetzungsplan. Dieser sollte sowohl formale als auch technische Maßnahmen umfassen, einschließlich der Verantwortlichen für die einzelnen Aufgaben, Fristen, Abhängigkeiten, Prioritäten und der Art und Weise, wie der Fortschritt an die Geschäftsleitung gemeldet wird.

Was ein NIS2-Konformitätsaudit umfassen sollte

Ein NIS2-Konformitätsaudit sollte eher praxisorientiert als rein formal sein. Sein Zweck besteht nicht nur darin, eine Liste von Mängeln zu erstellen, sondern zu beurteilen, ob die Organisation tatsächlich bereit ist, unter dem neuen Rechtsrahmen in Polen zu operieren.

Ein gut konzipiertes Audit umfasst in der Regel vier Phasen:

Auditplanung

Festlegung des Umfangs und der Bewertungskriterien,
Identifizierung der zu prüfenden Bereiche,
Erstellung des Arbeitsplans.

Auditdurchführung

Prüfung von Dokumenten und Verfahren,
Befragung von Schlüsselpersonal,
Analyse der betrieblichen Praktiken,
Stichprobenprüfung ausgewählter Konfigurationen und Sicherheitsmechanismen,
Erhebung von Prüfungsnachweisen.

Konformitätsbewertung

Vergleich des aktuellen Zustands mit den Anforderungen von NIS2 und KSC,
Ermittlung von Lücken,
Bewertung der Wesentlichkeit von Verstößen.

Berichterstattung

Präsentation der Ergebnisse,
Empfehlung von Korrekturmaßnahmen,
Aufstellung eines Zeitplans für die Umsetzung,
Berichterstattung an die Geschäftsleitung.

Dieses Modell ist besonders wertvoll für Unternehmen, die schnell von einem allgemeinen Bewusstsein für NIS2 zu konkreten organisatorischen und budgetären Entscheidungen gelangen möchten.

Die häufigsten Fehler, die Unternehmen bei NIS2 machen

In der Praxis treten die folgenden Probleme am häufigsten auf:

NIS2 als reines IT-Projekt behandeln
Wenn die Umsetzung ausschließlich von der IT-Abteilung übernommen wird und die Geschäftsleitung keine echte Aufsichtsfunktion ausübt, wird das Unternehmen in der Regel die wesentlichen Anforderungen der Verordnung nicht erfüllen.

Fehlende Bestandsaufnahme kritischer Dienste und Ressourcen
Ohne zu verstehen, welche Dienste, Prozesse und Systeme wirklich kritisch sind, ist es schwierig, eine fundierte Risikoanalyse, einen Business-Continuity-Plan oder einen Reaktionsprozess zu entwerfen.

Unterschätzung der Lieferkette
Anbieter von IT-Dienstleistungen, Hosting, Support, Softwareentwicklung, Integration und Infrastrukturbetrieb werden zu einem wesentlichen Bestandteil der Risikobewertung. Das Ignorieren dieses Bereichs wird bei einem Audit oder einer Vertragsprüfung schnell aufgedeckt.

Verfahren, die nur auf dem Papier existieren
Das Vorhandensein eines Dokuments bedeutet noch nicht automatisch, dass die Vorschriften eingehalten werden. Verfahren müssen in der Praxis funktionieren, verständlich sein, auf dem neuesten Stand bleiben und den für ihre Anwendung zuständigen Personen bekannt sein.

Keine echte Bereitschaft zur Meldung von Vorfällen
Die Meldefristen sind kurz. Wenn die Organisation nicht weiß, wer einen Vorfall einstuft, wer eine Meldung genehmigt und wer mit der zuständigen Behörde oder dem CSIRT kommuniziert, kann selbst gute Technologie die Einhaltung der Vorschriften nicht gewährleisten.

Sanktionen und Geschäftsrisiken
NIS2 stärkt den Aufsichts- und Durchsetzungsrahmen. Auf EU-Ebene müssen die Mitgliedstaaten für wesentliche Stellen Verwaltungsstrafen von mindestens 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes und für wichtige Stellen von mindestens 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes vorsehen, je nachdem, welcher Betrag höher ist. Wesentliche Stellen unterliegen zudem einem strengeren Aufsichtsregime, während wichtige Stellen in der Regel einem weniger strengen Regime unterliegen.

In Polen verschiebt der Umsetzungszeitplan die erste Verhängung von Geldbußen um zwei Jahre, doch aus unternehmerischer Sicht sind die früheren Risiken oft unmittelbarer: Verlust des Kundenvertrauens, Reibungen mit Vertragspartnern, eingeschränkter Zugang zu Ausschreibungen, höhere Kosten für Cyberversicherungen und Schwierigkeiten beim Nachweis angemessener Sorgfaltspflichten des Managements.

NIS2 und in Polen tätige internationale Unternehmen

Für in Polen tätige Tochtergesellschaften, Niederlassungen und Unternehmensgruppen kommt der NIS2 besondere Bedeutung zu. Diese Organisationen stützen sich häufig auf zentrale Sicherheitsrichtlinien und konzernweite Standards, doch reicht dies nicht immer aus, um den lokalen Verpflichtungen nachzukommen. Es bedarf einer gesonderten Analyse, um festzustellen, ob die polnische Niederlassung selbst in den Anwendungsbereich fällt, welche Registrierungs- und Meldepflichten gelten und wie die Konzernstandards an das polnische Recht angepasst werden sollten.

Dies ist besonders wichtig, wenn Dienstleistungen grenzüberschreitend erbracht werden und Infrastruktur, Lieferanten und Sicherheitsprozesse über mehrere Rechtsordnungen verteilt sind. In solchen Fällen kommt einer klaren Zuweisung von Verantwortlichkeiten, Berichtswegen und Risikoverantwortung entscheidende Bedeutung zu.

Zusammenfassung

NIS2 verändert die Art und Weise, wie Unternehmen über Cybersicherheit denken sollten. Das Thema beschränkt sich nicht mehr nur auf den Schutz von Systemen. Es geht um die Fähigkeit der Organisation, Risiken zu managen, auf Vorfälle zu reagieren, die Geschäftskontinuität aufrechtzuerhalten und nachzuweisen, dass die Unternehmensleitung eine echte Aufsicht über diesen Bereich ausübt.

Für in Polen tätige Unternehmen lauten die drei wichtigsten Fragen heute: Fällt die Organisation in den Anwendungsbereich, wie hoch ist ihr tatsächlicher Reifegrad und welche Maßnahmen sollten zuerst umgesetzt werden? Deshalb sind eine strukturierte Bestandsaufnahme und ein auf geschäftlichen Prioritäten basierender Umsetzungsplan in der Regel der sinnvollste Ausgangspunkt.

Wenn ein Unternehmen diesen Prozess praxisorientiert angehen möchte, ist ein NIS2-Konformitätsaudit oft der richtige erste Schritt, da es die gesetzlichen Anforderungen in konkrete organisatorische und technische Maßnahmen umsetzt.

Wenn Sie weitere Fragen haben, oder zusätzliche Informationen benötigen, wenden Sie sich bitte an Ihren Ansprechpartner oder nutzen Sie das Kontaktformular auf unserer getsix® Website.

Kontaktieren Sie uns »

***

Diese Veröffentlichung ist eine unverbindliche Information und dient der allgemeinen Information. Die bereitgestellten Informationen stellen keine Rechts-, Steuer- oder Unternehmensberatung dar, und ersetzen auch keine individuelle Beratung. Trotz sorgfältiger Bearbeitung werden alle Angaben in dieser Veröffentlichung ohne Gewähr für die Richtigkeit, Aktualität und Vollständigkeit der Informationen gemacht. Die Informationen in dieser Veröffentlichung sind nicht als alleinige Handlungsgrundlage geeignet, und können eine konkrete Beratung im Einzelfall nicht ersetzen. Die Haftung der Autoren oder von getsix® ist ausgeschlossen. Wir bitten Sie, sich bei Bedarf für eine verbindliche Beratung direkt an uns zu wenden. Der Inhalt dieser Veröffentlichung ist geistiges Eigentum von getsix® oder seiner Partnerunternehmen und ist urheberrechtlich geschützt. Nutzer dieser Informationen dürfen den Inhalt der Veröffentlichung ausschließlich für eigene Zwecke herunterladen, ausdrucken oder kopieren.

2026 HLB Poland