De Poolse NIS2-wet is van kracht — wat EU-leveranciers moeten weten
Polen heeft zijn NIS2-implementatiewet ondertekend op 19 februari 2026. De wet trad in werking eind maart. Daarmee is Polen — de vierde economie van de EU — de nieuwste grote lidstaat die NIS2 omzet in nationale wetgeving. Als jouw organisatie goederen of diensten levert aan Poolse bedrijven in essentiële of belangrijke sectoren, raakt dit jou direct.
Dit is wat er veranderd is, wat de deadlines zijn, en wat je moet doen vóór oktober 2026.
De Poolse NIS2-tijdlijn: drie data die tellen
De Poolse NIS2-wet (aangenomen 23 januari 2026, ondertekend 19 februari) stelt een duidelijk compliancepad vast:
- Eind maart 2026: Wet treedt in werking. Poolse entiteiten vallen nu wettelijk onder de NIS2-vereisten.
- 3 oktober 2026: Registratiedeadline. Alle entiteiten in scope moeten zich registreren bij CSIRT NASK, het Poolse nationale CSIRT dat verantwoordelijk is voor het coördineren van kwetsbaarheidsmeldingen onder NIS2 Article 12.
- 3 april 2027: Volledige compliancedeadline. Alle NIS2-verplichtingen — risicobeheermaatregelen (Article 21), incidentrapportage (Article 23) en beveiliging van de toeleveringsketen (Article 21(2)(d)) — worden afdwingbaar.
Dat registratievenster van zes maanden is korter dan het lijkt. De registratiedeadline van het Duitse BSI verstreek op 6 maart 2026, en zo'n 18.000 bedrijven haalden hem niet. Poolse entiteiten lopen hetzelfde risico als ze wachten.
NIS2 Implementatiestatus per Land (2025–2026)
Volledig van kracht
BelgiëKroatiëHongarijeLitouwenLetlandItalië6 landenAangenomen — eind 2025
DuitslandTsjechiëFinland3 landenIn uitvoering — verwacht 2026
NederlandFrankrijkSpanjePolenOostenrijkZwedenIerland7 landen
Waarom Polen belangrijk is voor jouw toeleveringsketen
Polen is niet zomaar een volgende omzetting. Het is de vierde EU-economie gemeten naar bbp, met een omvangrijke IT-diensten- en maakindustriesector die bedrijven in heel West-Europa bevoorraadt. De cijfers:
- Meer dan 300.000 IT-professionals werken in Polen, veel bij managed service providers (MSPs) en softwarebedrijven die klanten bedienen in Duitsland, Nederland, Frankrijk en Scandinavië.
- Poolse maakbedrijven zijn diep verweven in automotive-, elektronica- en industriële toeleveringsketens die de hele EU bestrijken.
- De logistieke sector van het land verbindt Baltische handelsroutes met Centraal- en West-Europese markten.
Als jouw organisatie een NIS2-gereguleerde entiteit is in een EU-lidstaat, ben je op grond van Article 21(2)(d) verplicht om cybersecurityrisico's in je toeleveringsketen te beheren. Dat betekent het beoordelen van de beveiligingspositie van jouw Poolse leveranciers — en het betekent dat jouw Poolse leveranciers binnenkort compliance moeten kunnen aantonen.
Het omgekeerde geldt ook. Als je een Pools bedrijf bent dat levert aan NIS2-gereguleerde entiteiten in Duitsland, Nederland of België, verwacht dan ruim vóór de handhavingsdatum van april 2027 contractuele cybersecurityeisen te ontvangen.
Article 21(2)(d): de toeleveringsketenclausule die alles verandert
NIS2 Article 21(2)(d) verplicht entiteiten in scope om "de beveiliging van de toeleveringsketen aan te pakken, inclusief beveiligingsgerelateerde aspecten betreffende de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners."
De EU-uitvoeringsverordening 2024/2690 gaat verder. Article 5.1.4 stelt dat contracten met leveranciers cybersecurityvereisten moeten bevatten — en dat die vereisten ook voor onderaannemers gelden. De keten reikt minstens twee lagen diep.
In de praktijk betekent dit:
- NIS2-gereguleerde entiteiten moeten specifieke cybersecurityclausules opnemen in leverancierscontracten.
- Directe leveranciers (ook als ze zelf niet onder NIS2 vallen) moeten aan die contractuele vereisten voldoen.
- Onderaannemers van die leveranciers krijgen dezelfde verplichtingen opgelegd, cascaderend door de keten.
Een middelgroot IT-bedrijf in Warschau dat cloud-hosting levert aan een Duits energiebedrijf? Dat bedrijf krijgt contractuele cybersecurityeisen voorgelegd. Een Poolse logistieke dienstverlener die goederen vervoert voor een Nederlands ziekenhuisnetwerk? Hetzelfde verhaal.
Dit is al afdwingbaar in landen die de omzetting hebben afgerond — Duitsland, België, Italië, Hongarije en nu Polen. Als je jouw leverancierscontracten nog niet hebt gecontroleerd op NIS2-complianceclausules, loop je al achter.
Cascade-effect in de toeleveringsketen — Hoe een inbreuk zich verspreidt
!Oorsprong van de inbreuk
Tier 1-leverancier gecompromitteerd
Een kritieke IT-dienstverlener of softwareleverancier wordt slachtoffer van een cyberaanval
Cascadeert naar directe klanten▼Directe impact (Tier 2)1Essentiële entiteit A verliest toegang tot kritieke diensten
2Essentiële entiteit B heeft gevoelige gegevens blootgesteld
3Belangrijke entiteit C ondervindt operationele verstoring
Verspreidt zich verder stroomafwaarts▼Indirecte impact (Tier 3)1Stroomafwaartse klanten van entiteit A getroffen
2Regelgevingsonderzoek gestart in de gehele keten
3NIS2-incidentmeldingscascade voor alle getroffen entiteiten
4Reputatie- en financiële schade verspreidt zich sectorbreed
OorsprongDirecte impactIndirecte impact
Wat Poolse entiteiten moeten doen vóór oktober 2026
Als jouw organisatie gevestigd is in Polen en onder NIS2 valt (essentiële of belangrijke entiteit), is dit je directe actieplan:
1. Bepaal jouw classificatie
NIS2 maakt onderscheid tussen essentiële entiteiten (energie, transport, gezondheid, digitale infrastructuur, water, ruimtevaart, openbaar bestuur) en belangrijke entiteiten (postdiensten, afvalbeheer, chemie, voedsel, maakindustrie, digitale aanbieders). Essentiële entiteiten vallen onder proactief toezicht; belangrijke entiteiten onder reactief toezicht.
2. Registreer je bij CSIRT NASK vóór 3 oktober 2026
CSIRT NASK is het aangewezen nationale CSIRT van Polen. Registratie is niet vrijwillig — het is een wettelijke verplichting. Niet registreren brengt sancties met zich mee, zoals Duitslands ervaring met BSI-handhaving al heeft aangetoond. Wacht niet tot september.
3. Start nu met je gap-analyse
Volledige compliance is vereist per 3 april 2027. Dat geeft je ruwweg 12 maanden om alle Article 21-maatregelen te implementeren: risicobeheerbeleidslijnen, procedures voor incidentafhandeling, bedrijfscontinuïteitsplanning, beoordelingen van de toeleveringsketen, kwetsbaarheidsoffenbaringsprocedures en meer. Een gedegen NIS2 gap-analyse alleen al duurt 4 tot 8 weken — en herstel kost maanden.
4. Bouw je incidentrapportagecapaciteit op
Article 23 vereist dat significante incidenten binnen 24 uur worden gemeld (vroegtijdige waarschuwing) en binnen 72 uur volledig worden gerapporteerd. Je hebt gedocumenteerde procedures, getraind personeel en geteste communicatiekanalen met CSIRT NASK nodig voordat die verplichting afdwingbaar wordt.
Wat EU-bedrijven met Poolse leveranciers moeten doen
Als je actief bent in een EU-lidstaat en afhankelijk bent van Poolse leveranciers, schept de inwerkingtreding van de Poolse NIS2-wet nieuwe verplichtingen:
Beoordeel jouw Poolse leveranciers. Op grond van Article 21(2)(d) moet je de cybersecuritypositie van elke directe leverancier evalueren. Dat geldt voor Poolse IT-dienstverleners, cloudleveranciers, logistieke partners en componentenfabrikanten.
Werk jouw contracten bij. EC-uitvoeringsverordening 2024/2690, Article 5.1.4 vereist dat contracten specifieke cybersecurityvereisten bevatten. Die vereisten moeten doorwerken naar onderaannemers. Als jouw huidige leveranciersovereenkomsten geen NIS2-conforme beveiligingsclausules bevatten, pas ze dan nu aan.
Houd de registratiedeadline van oktober 2026 in de gaten. Als jouw Poolse leverancier zich niet heeft geregistreerd bij CSIRT NASK voor oktober, is dat een compliancerisico voor jouw eigen organisatie. Neem de registratiestatus van leveranciers op in je third-party risicobeheerproces.
Documenteer alles. Toezichthouders verwachten bewijs van due diligence in de toeleveringsketen. Bewaar vastleggingen van leveranciersbeoordelingen, contractuele clausules en herstelacties.
Het grotere plaatje: EU NIS2-omzetting versnelt
Polen voegt zich bij een groeiende lijst van lidstaten met operationele NIS2-wetgeving. België heeft volledige operationele volwassenheid bereikt. Duitsland heeft zijn NIS2UmsuCG ingevoerd in december 2025. Italië, Hongarije, Griekenland, Tsjechië en meerdere anderen hebben de omzetting voltooid. Oostenrijks NISG 2026 treedt volledig in werking op 1 oktober 2026.
Ook de achterblijvers halen in. Nederland bereidt zich voor op stemming over de Cyberbeveiligingswet (Cbw) na een parlementair debat op 23 maart 2026. Frankrijk verwacht parlementaire behandeling tijdens een buitengewone zitting in juli 2026. De Spaanse wet zit nog in het parlementaire proces.
Elke nieuwe omzetting verhoogt de druk op grensoverschrijdende toeleveringsketens. Elk land dat de wet activeert, schept nieuwe complianceverplichtingen voor leveranciers in de hele EU. De organisaties die vroeg zijn begonnen — met hun gap-analyse en het bijwerken van leverancierscontracten — zijn degenen die niet in de problemen komen als handhavingsbrieven arriveren.
Wil je weten waar jouw organisatie staat? Doe de gratis NIS2 Quick Scan en ontdek in vijf minuten welke gaten je moet dichten.
Belangrijkste conclusies
- De Poolse NIS2-wet is van kracht sinds eind maart 2026. Registratiedeadline: 3 oktober 2026. Volledige compliance: 3 april 2027.
- De impact op de toeleveringsketen is direct. EU-bedrijven met Poolse leveranciers moeten hun cybersecuritypositie beoordelen en contracten bijwerken onder Article 21(2)(d).
- Het registratievenster is korter dan je denkt. Leer van de gemiste deadline in Duitsland — 18.000 bedrijven registreerden zich niet op tijd.
- Begin vandaag met je gap-analyse. Twaalf maanden tot volledige compliance is minder lang dan het klinkt als implementatie doorgaans 6 tot 9 maanden duurt.
- Boetes kunnen oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld onder Article 20. Lees meer over wat jouw bestuur moet weten over NIS2-boetes.
Bronnen: Addleshaw Goddard — NIS2 Directive Finally Implemented in Poland, Mondaq — NIS2 Implementation Enacted: Complete Guide, EU-uitvoeringsverordening 2024/2690, NIS2-richtlijn 2022/2555.