Polens NIS2-Gesetz ist in Kraft — Was EU-Lieferanten jetzt wissen müssen

Polen hat sein NIS2-Umsetzungsgesetz am 19. Februar 2026 unterzeichnet. Es trat Ende März in Kraft. Damit ist Polen — die viertgrößte Volkswirtschaft der EU — der jüngste bedeutende Mitgliedstaat, der NIS2 in nationales Recht überführt hat. Wenn Ihre Organisation Waren oder Dienstleistungen an polnische Unternehmen in wesentlichen oder wichtigen Sektoren liefert, betrifft Sie das unmittelbar.

Im Folgenden erfahren Sie, was sich geändert hat, welche Fristen gelten und was Sie vor Oktober 2026 unternehmen müssen.

Polens NIS2-Zeitplan: Drei Daten, die zählen

Das polnische NIS2-Gesetz (verabschiedet am 23. Januar 2026, unterzeichnet am 19. Februar) legt einen klaren Compliance-Pfad fest:

• Ende März 2026: Gesetz tritt in Kraft. Polnische Einrichtungen unterliegen ab sofort den NIS2-Anforderungen.
• 3. Oktober 2026: Registrierungsfrist. Alle betroffenen Einrichtungen müssen sich beim CSIRT NASK registrieren — Polens nationalem CSIRT, das gemäß NIS2 Artikel 12 für die Koordination der Schwachstellenoffenlegung zuständig ist.
• 3. April 2027: Vollständige Compliance-Frist. Alle NIS2-Pflichten — Risikomanagementmaßnahmen (Artikel 21), Meldepflichten bei Vorfällen (Artikel 23) und Lieferkettensicherheit (Artikel 21 Absatz 2 Buchstabe d) — werden vollständig durchgesetzt.

Das sechsmonatige Registrierungsfenster ist kürzer als es klingt. Deutschlands BSI-Registrierungsfrist lief am 6. März 2026 ab, und rund 18.000 Unternehmen haben sie versäumt. Polnische Einrichtungen laufen Gefahr, dasselbe Schicksal zu erleiden, wenn sie abwarten.

NIS2 Umsetzungsstatus nach Land (2025–2026)
✅
Vollständig in Kraft
🇧🇪Belgien
🇭🇷Kroatien
🇭🇺Ungarn
🇱🇹Litauen
🇱🇻Lettland
🇮🇹Italien
6 Länder
📋
Verabschiedet — Ende 2025
🇩🇪Deutschland
🇨🇿Tschechien
🇫🇮Finnland
3 Länder
⏳
In Bearbeitung — erwartet 2026
🇳🇱Niederlande
🇫🇷Frankreich
🇪🇸Spanien
🇵🇱Polen
🇦🇹Österreich
🇸🇪Schweden
🇮🇪Irland
7 Länder

Warum Polen für Ihre Lieferkette relevant ist

Polen ist nicht nur eine weitere Transposition. Es ist die viertgrößte Volkswirtschaft der EU nach BIP, mit einem umfangreichen IT-Dienstleistungs- und Fertigungssektor, der Unternehmen in ganz Westeuropa beliefert. Betrachten Sie die Zahlen:

• Über 300.000 IT-Fachkräfte sind in Polen tätig, viele davon bei Managed Service Providern (MSPs) und Softwareunternehmen, die Kunden in Deutschland, den Niederlanden, Frankreich und den nordischen Ländern bedienen.
• Polnische Fertigungsunternehmen sind tief in Automotive-, Elektronik- und Industrielieferketten eingebettet, die sich quer durch die EU erstrecken.
• Der Logistiksektor des Landes verbindet baltische Handelsrouten mit zentral- und westeuropäischen Märkten.

Wenn Ihre Organisation eine NIS2-regulierte Einrichtung in einem EU-Mitgliedstaat ist, sind Sie gemäß Artikel 21 Absatz 2 Buchstabe d verpflichtet, Cybersicherheitsrisiken in Ihrer Lieferkette zu managen. Das bedeutet: Sie müssen die Sicherheitslage Ihrer polnischen Lieferanten bewerten — und Ihre polnischen Lieferanten werden bald Compliance nachweisen müssen.

Das Gegenteil gilt ebenso. Wenn Sie ein polnisches Unternehmen sind, das NIS2-regulierte Einrichtungen in Deutschland, den Niederlanden oder Belgien beliefert, rechnen Sie damit, dass vertragliche Cybersicherheitsanforderungen deutlich vor dem Durchsetzungsdatum im April 2027 bei Ihnen eingehen werden.

Artikel 21(2)(d): Die Lieferkettenklausel, die alles verändert

NIS2 Artikel 21 Absatz 2 Buchstabe d verpflichtet betroffene Einrichtungen, „die Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren direkten Lieferanten oder Dienstleistern" zu adressieren.

Die EU-Durchführungsverordnung 2024/2690 geht noch weiter. Artikel 5.1.4 legt fest, dass Verträge mit Lieferanten Cybersicherheitsanforderungen enthalten müssen — und diese Anforderungen müssen sich auf Unterauftragnehmer erstrecken. Die Kette reicht mindestens zwei Ebenen tief.

In der Praxis bedeutet das:

1. NIS2-regulierte Einrichtungen müssen spezifische Cybersicherheitsklauseln in Lieferantenverträge aufnehmen.
2. Direkte Lieferanten (auch wenn sie selbst nicht im NIS2-Anwendungsbereich liegen) müssen diese vertraglichen Anforderungen erfüllen.
3. Unterauftragnehmer dieser Lieferanten unterliegen denselben Verpflichtungen, die sich kaskadenförmig durch die Kette fortsetzen.

Ein mittelständisches IT-Unternehmen in Warschau, das Cloud-Hosting für ein deutsches Energieunternehmen bereitstellt? Dieses Unternehmen wird vertragliche Cybersicherheitsanforderungen erhalten. Ein polnischer Logistikdienstleister, der Güter für ein niederländisches Krankenhausnetzwerk transportiert? Gleiche Situation.

Das ist in Ländern mit abgeschlossener Transposition — Deutschland, Belgien, Italien, Ungarn und jetzt Polen — bereits durchsetzbar. Wenn Sie Ihre Lieferantenverträge noch nicht auf NIS2-Compliance-Klauseln geprüft haben, haben Sie bereits Handlungsbedarf.

Kaskadeneffekt in der Lieferkette — Wie sich ein Angriff ausbreitet
!
Ursprung des Angriffs
Tier-1-Lieferant kompromittiert
Ein kritischer IT-Dienstleister oder Softwareanbieter wird Opfer eines Cyberangriffs
Breitet sich auf direkte Kunden aus
▼
Direkte Auswirkungen (Tier 2)
1
Wesentliche Einrichtung A verliert Zugang zu kritischen Diensten
2
Wesentliche Einrichtung B hat sensible Daten offengelegt
3
Wichtige Einrichtung C erleidet Betriebsunterbrechungen
Weiterer Downstream-Effekt
▼
Indirekte Auswirkungen (Tier 3)
1
Nachgelagerte Kunden von Einrichtung A betroffen
2
Regulierungsuntersuchung über die gesamte Lieferkette eingeleitet
3
NIS2-Vorfallsmeldungskaskade für alle betroffenen Einrichtungen
4
Reputations- und Finanzschäden weiten sich sektorweit aus
Ursprung
Direkte Auswirkung
Indirekte Auswirkung

Was polnische Einrichtungen vor Oktober 2026 tun müssen

Wenn Ihre Organisation in Polen ansässig ist und in den NIS2-Anwendungsbereich fällt (wesentliche oder wichtige Einrichtung), ist dies Ihr unmittelbarer Aktionsplan:

1. Einstufung bestimmen

NIS2 unterscheidet zwischen wesentlichen Einrichtungen (Energie, Verkehr, Gesundheit, digitale Infrastruktur, Wasser, Weltraum, öffentliche Verwaltung) und wichtigen Einrichtungen (Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter). Wesentliche Einrichtungen unterliegen proaktiver Aufsicht; wichtige Einrichtungen reaktiver Kontrolle.

2. Bis zum 3. Oktober 2026 beim CSIRT NASK registrieren

CSIRT NASK ist Polens designiertes nationales CSIRT. Die Registrierung ist nicht optional — sie ist eine gesetzliche Pflicht. Versäumnisse werden mit Sanktionen geahndet, wie Deutschlands Erfahrungen mit der BSI-Durchsetzung bereits gezeigt haben. Warten Sie nicht bis September.

3. Jetzt mit der Gap-Analyse beginnen

Die vollständige Compliance ist bis zum 3. April 2027 erforderlich. Das gibt Ihnen ab heute rund zwölf Monate, um alle Artikel-21-Maßnahmen umzusetzen: Risikomanagementsrichtlinien, Verfahren zur Behandlung von Sicherheitsvorfällen, Planung der Geschäftskontinuität, Bewertungen der Lieferkettensicherheit, Prozesse zur Schwachstellenoffenlegung und mehr. Eine ordnungsgemäße NIS2-Gap-Analyse dauert allein vier bis acht Wochen — und die Behebung identifizierter Lücken nimmt Monate in Anspruch.

4. Fähigkeit zur Meldung von Sicherheitsvorfällen aufbauen

Artikel 23 verlangt, dass erhebliche Vorfälle innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (vollständige Meldung) gemeldet werden. Sie benötigen dokumentierte Verfahren, geschultes Personal und getestete Kommunikationskanäle mit CSIRT NASK, bevor diese Pflicht vollständig durchsetzbar wird.

Was EU-Unternehmen mit polnischen Lieferanten tun müssen

Wenn Sie in einem EU-Mitgliedstaat tätig sind und auf polnische Lieferanten angewiesen sind, schafft die Aktivierung des polnischen NIS2-Gesetzes neue Verpflichtungen:

Polnische Lieferanten bewerten. Gemäß Artikel 21 Absatz 2 Buchstabe d müssen Sie die Cybersicherheitslage jedes direkten Lieferanten beurteilen. Dazu gehören polnische IT-Dienstleister, Cloud-Anbieter, Logistikpartner und Komponentenhersteller.

Verträge aktualisieren. Die EU-Durchführungsverordnung 2024/2690, Artikel 5.1.4, schreibt vor, dass Verträge spezifische Cybersicherheitsanforderungen enthalten müssen. Diese Anforderungen müssen sich auf Unterauftragnehmer erstrecken. Wenn Ihre aktuellen Lieferantenvereinbarungen keine NIS2-konformen Sicherheitsklauseln enthalten, aktualisieren Sie diese jetzt.

Registrierungsfrist 3. Oktober 2026 im Blick behalten. Wenn sich Ihr polnischer Lieferant bis Oktober nicht beim CSIRT NASK registriert hat, ist das ein Compliance-Risiko für Ihre eigene Organisation. Nehmen Sie den Registrierungsstatus von Lieferanten in Ihren Third-Party-Risk-Management-Prozess auf.

Alles dokumentieren. Regulierungsbehörden werden Nachweise für die Sorgfaltspflicht in der Lieferkette erwarten. Führen Sie Aufzeichnungen über Lieferantenbewertungen, Vertragsklauseln und Korrekturmaßnahmen.

Das große Bild: Die EU-NIS2-Transposition nimmt Fahrt auf

Polen reiht sich in eine wachsende Liste von Mitgliedstaaten mit operativen NIS2-Gesetzen ein. Belgien hat die vollständige operative Reife erreicht. Deutschland hat sein NIS2UmsuCG im Dezember 2025 in Kraft gesetzt. Italien, Ungarn, Griechenland, die Tschechische Republik und mehrere andere haben die Transposition abgeschlossen. Österreichs NISG 2026 tritt am 1. Oktober 2026 vollständig in Kraft.

Auch die Nachzügler holen auf. Die Niederlande bereiten sich auf die Abstimmung über das Cyberbeveiligingswet (Cbw) nach einer parlamentarischen Debatte vom 23. März 2026 vor. Frankreich rechnet mit einer parlamentarischen Behandlung in einer außerordentlichen Sitzung im Juli 2026. Spaniens Gesetz befindet sich noch im parlamentarischen Prozess.

Jede neue Transposition erhöht den Druck auf grenzüberschreitende Lieferketten. Jedes Land, das sein NIS2-Gesetz in Kraft setzt, schafft neue Compliance-Verpflichtungen für Lieferanten in der gesamten EU. Die Organisationen, die frühzeitig vorbereitet waren — ihre Gap-Analyse durchgeführt und Lieferantenverträge aktualisiert haben —, werden nicht unter Zeitdruck geraten, wenn Durchsetzungsschreiben eintreffen.

Möchten Sie wissen, wo Ihre Organisation steht? Machen Sie den kostenlosen NIS2-Quick-Scan und erfahren Sie in fünf Minuten, welche Lücken Sie schließen müssen.

Wichtigste Erkenntnisse

• Polens NIS2-Gesetz ist in Kraft seit Ende März 2026. Registrierungsfrist: 3. Oktober 2026. Vollständige Compliance: 3. April 2027.
• Die Auswirkungen auf die Lieferkette sind unmittelbar. EU-Unternehmen mit polnischen Lieferanten müssen deren Cybersicherheitslage bewerten und Verträge gemäß Artikel 21 Absatz 2 Buchstabe d aktualisieren.
• Das Registrierungsfenster ist kürzer als Sie denken. Lernen Sie aus Deutschlands versäumter Frist — 18.000 Unternehmen haben sich nicht rechtzeitig registriert.
• Beginnen Sie noch heute mit Ihrer Gap-Analyse. Zwölf Monate bis zur vollständigen Compliance klingen länger, als sie sind, wenn die Umsetzung typischerweise sechs bis neun Monate in Anspruch nimmt.
• Bußgelder können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes bei wesentlichen Einrichtungen erreichen. Vorstandsmitglieder können gemäß Artikel 20 persönlich haftbar gemacht werden. Lesen Sie mehr darüber, was Ihr Vorstand über NIS2-Bußgelder wissen muss.

---

Quellen: Addleshaw Goddard — NIS2 Directive Finally Implemented in Poland, Mondaq — NIS2 Implementation Enacted: Complete Guide, EU-Durchführungsverordnung 2024/2690, NIS2-Richtlinie 2022/2555.