CRA-Compliance für polnische Hersteller: NASK, KSC und PCA

Länderüberblick für polnische Hersteller: CSIRT NASK als Meldeweg, PCA-Akkreditierung, KSC-Überschneidung, Sprachpflicht und FENG/KPO-Förderung.

CRA Evidence-Team Veröffentlicht 7. Januar 2026 Aktualisiert 11. Juni 2026
Länder-Brief zur Cyberresilienz-Verordnung für polnische Hersteller: zwei gestapelte Regelwerksblätter KSC und CRA zeigen den dualen Rahmen aus nationalem Cybersicherheitsgesetz und EU-Produktverordnung
In diesem Artikel

Polnische Hersteller unterliegen denselben CRA-Pflichten wie jeder andere EU-Hersteller, dazu kommt eine Besonderheit, die andere Mitgliedstaaten in dieser Tiefe nicht kennen: ein paralleles nationales Cybersicherheitsgesetz, der geänderte KSC Act, das am 3. April 2026 in Kraft getreten ist und sich in einigen Bereichen mit dem CRA überschneidet, aber nicht vollständig. Diese Seite ist ein Länder-Brief für Polen: wie Meldungen zu Schwachstellen und Vorfällen über CSIRT NASK geleitet werden, welche Rolle PCA als Akkreditierungsstelle spielt, wo der KSC-Rahmen neben dem CRA steht, was die polnische Sprachpflicht nach dem Sprachgesetz von 1999 verlangt, und welche der FENG-, KPO- und Cybersicherheitsprogramme für Compliance-Investitionen realistisch sind. Das vollständige Pflichtenset finden Sie im Cluster-Leitfaden für Hersteller.

Zusammenfassung

  • Die Cyberresilienz-Verordnung ist eine EU-Verordnung mit unmittelbarer Wirkung. Es gibt keine polnischen Sonderausnahmen für Produkthersteller.
  • CSIRT NASK (betrieben von NASK als nationales CSIRT des Zivilsektors) ist der polnische CRA-Weg für Meldungen zu Schwachstellen und Vorfällen, wenn Ihre Hauptniederlassung in Polen liegt. CSIRT MON und CSIRT GOV sind für kommerzielle Produkthersteller nicht zuständig.
  • PCA (Polskie Centrum Akredytacji) ist die einzige polnische Akkreditierungsstelle und entwickelt das CRA-Akkreditierungs- und Notifizierungsschema. Die formale polnische notifizierende Behörde für CRA-notifizierte Stellen wurde im Dziennik Ustaw noch nicht bestätigt. Das Ministerstwo Cyfryzacji leitet die Konsultation zum Umsetzungsinstrument.
  • KSC und CRA überschneiden sich, ersetzen sich aber nicht gegenseitig. Der geänderte KSC Act (Ustawa o KSC), veröffentlicht im Dziennik Ustaw am 2. März 2026 und in Kraft seit 3. April 2026, erfasst Ihre Organisation als wesentliche oder wichtige Einheit. Die Cyberresilienz-Verordnung erfasst Ihre Produkte. Ein polnischer Hersteller, der beide Regime betrifft, trägt getrennte Registrierungspflichten, getrennte Meldeketten und getrennte Bußgelder (KSC bis zu 100 Millionen PLN, CRA bis zu 15 Millionen EUR oder 2,5 % des weltweiten Jahresumsatzes).
  • Polnisch (język polski) ist für nutzerorientierte Produktinformationen auf dem polnischen Markt nach Artikeln 7 und 7a des polnischen Sprachgesetzes von 1999 erforderlich. Die CRA-Pflicht deckt sich mit dieser nationalen Regelung.
  • FENG (Fundusze Europejskie dla Nowoczesnej Gospodarki) ist das wichtigste EU-geförderte KMU-Investitionsprogramm bis 2027, mit Priorität 5, die 2025 durch die FENG/STEP-Änderung eingeführt wurde und Cybersicherheit direkt abdeckt. KPO (Krajowy Plan Odbudowy) befindet sich im Abschluss seines NextGenerationEU-Fensters (Frist 31. August 2026) und ist für Pflichten bis 2027 nicht mehr praktikabel.

Für wen dieser Leitfaden gilt

Sie sind der Zielleser, wenn Ihre „Hauptniederlassung in der Union" als Hersteller in Polen liegt. Das bedeutet: der Ort, an dem die cybersicherheitsrelevanten Entscheidungen für Ihre Produkte mit digitalen Elementen vorwiegend getroffen werden. Eine in Polen eingetragene Vertriebsgesellschaft mit Entwicklung im Ausland ist nicht die Hauptniederlassung. Wenn Ihr Entwicklungsteam, Ihre SDLC-Steuerung und die Personen, die Sicherheitsupdates freigeben, in Polen sitzen, gilt dieser Leitfaden für Sie.

Wenn Ihre Hauptniederlassung in einem anderen EU-Mitgliedstaat liegt und Sie nur nach Polen liefern, laufen Ihre CRA-Meldungen über das CSIRT Ihres Hauptniederlassungs-Mitgliedstaats, nicht über CSIRT NASK. Die polnische Sprachpflicht für nutzerorientierte Informationen gilt aber für jedes Produkt, das auf dem polnischen Markt bereitgestellt wird.

NASK und CSIRT NASK: der polnische CSIRT-Weg

CRA-Meldungen laufen über das CSIRT, das als Koordinator des Mitgliedstaats benannt ist, in dem der Hersteller seine Hauptniederlassung in der Union hat. Für einen Hersteller mit Hauptniederlassung in Polen ist dieses CSIRT CSIRT NASK, das nationale CSIRT, das innerhalb von NASK (Naukowa i Akademicka Sieć Komputerowa) betrieben wird. NASK ist der nationale Forschungs- und Bildungsnetzwerkbetreiber des Landes und der langjährige Träger von CERT Polska.

Polen betreibt drei nationale CSIRTs unter dem KSC-Rahmen: CSIRT NASK für den Zivilsektor (einschließlich kommerzieller Hersteller, Kommunalverwaltungen und der meisten öffentlichen Einrichtungen), CSIRT MON für den Militärsektor und CSIRT GOV für die zentrale Bundesverwaltung. Für einen kommerziellen Hersteller, der ein Produkt mit digitalen Elementen auf dem EU-Markt bereitstellt, ist CSIRT NASK der richtige Weg. Die anderen beiden sind nicht zuständig.

Der technische Kanal für die 24-Stunden-/72-Stunden-/14-Tage-Meldekadenz ist die ENISA Single Reporting Platform, die ab dem 11. September 2026 in Betrieb geht. Ein polnischer Hersteller reicht dort ein, mit CSIRT NASK als empfangendem Koordinator. Die CSIRT-Benennung ist das Routing. Die Plattform ist der Kanal.

Notifizierte Stellen: PCA akkreditiert, notifizierende Behörde noch ausstehend

Wichtige-Klasse-I-Produkte benötigen eine notifizierte Stelle (Modul B+C oder Modul H) nur dann, wenn harmonisierte Normen, gemeinsame Spezifikationen oder ein Zertifizierungsschema sie nicht vollständig abdecken. Wichtige-Klasse-II-Produkte nutzen eine notifizierte Stelle (Modul B+C oder Modul H) oder ein verfügbares und anwendbares Zertifizierungsschema. Kritische Produkte (Anhang IV) folgen Artikel 32(4): dem Zertifizierungsweg nach Artikel 8(1), wo die Kommission ihn ausgelöst hat, andernfalls denselben Wegen nach Artikel 32(3).

Die polnische institutionelle Kette ist:

  • PCA (Polskie Centrum Akredytacji) ist die einzige nationale Akkreditierungsstelle in Polen mit dem Status einer staatlichen juristischen Person, die dem für die Wirtschaft zuständigen Minister unterstellt ist. PCA ist die einzige Institution, die zur Akkreditierung von Konformitätsbewertungsstellen befugt ist, und entwickelt aktiv das Akkreditierungs- und Notifizierungsschema für CRA-Konformitätsbewertungsstellen. Die Akkreditierung nach ISO/IEC 17065:2012 ist der technische Schritt vor der Notifizierung.
  • Die notifizierende Behörde, die polnische CRA-notifizierte Stellen formal bei der Europäischen Kommission benennt, wurde im Dziennik Ustaw noch nicht bestätigt. Das Ministerstwo Cyfryzacji ist aufgrund seiner Konsultationsrolle der führende Kandidat, aber die formale Benennung wird im polnischen Umsetzungsinstrument verankert.

Der CRA-Rahmen für notifizierte Stellen gilt ab dem 11. Juni 2026, danach können benannte Stellen CRA-Konformitätsbewertungszertifikate ausstellen. Stand 11. Juni 2026 wird die polnische Kette parallel zum Umsetzungsinstrument weiter aufgebaut. Ein polnischer Hersteller kann jede EU-notifizierte Stelle nutzen, nicht nur polnisch-benannte. Die Wahl einer polnisch-benannten Stelle ist eine Beschaffungsentscheidung und keine CRA-Anforderung. Endgültige CRA-Benennungen werden in der NANDO-Datenbank der Europäischen Kommission veröffentlicht.

KSC und CRA: Überschneidungen und Unterschiede

Der geänderte KSC Act (Ustawa o krajowym systemie cyberbezpieczeństwa) ist Polens NIS2-Umsetzung. Er wurde am 2. März 2026 im Dziennik Ustaw veröffentlicht, trat nach einem einmonatigen vacatio legis am 3. April 2026 in Kraft, gibt betroffenen Einrichtungen bis zum 3. April 2027 Zeit zur Erfüllung der Pflichten und verlangt Selbstidentifizierung sowie Registrierung im KSC-Register bis zum 3. Oktober 2026. Höchststrafen erreichen 100 Millionen PLN.

Die zwei Regime überschneiden sich, ersetzen sich aber nicht:

  • KSC erfasst die Einrichtung. Er gilt für Ihre Organisation als „wesentliche Einheit" (podmiot kluczowy) oder „wichtige Einheit" (podmiot ważny), wenn Sie in einem der im Gesetz genannten Sektoren tätig sind. Governance-, Risikomanagement-, Melde- und Lieferketten-Sicherheitspflichten knüpfen an die Organisation an.
  • Die Cyberresilienz-Verordnung erfasst das Produkt. Sie gilt für jedes Produkt mit digitalen Elementen, das Sie auf dem EU-Markt bereitstellen, unabhängig davon, ob Ihre Organisation unter den KSC fällt. Grundlegende Cybersicherheitsanforderungen, Schwachstellenbehandlung, technische Dokumentation und CE-Kennzeichnung knüpfen an das Produkt an.

Ein polnischer Hersteller, der sowohl eine KSC-pflichtige Einrichtung als auch ein CRA-Produkthersteller ist, trägt beide Regime. Meldungen gehen in beiden Fällen an CSIRT NASK, aber die zugrundeliegenden Pflichten unterscheiden sich: KSC verfolgt operative Vorfälle auf Organisationsebene, die Cyberresilienz-Verordnung verfolgt aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle auf Produktebene. Behandeln Sie die KSC-Selbstidentifizierungsfrist vom 3. Oktober 2026 als organisatorische Aufgabe, die von Ihrer CRA-Produktbereitschaft getrennt ist. Das KSC-Register ist nicht die CRA-Meldeplattform.

Polnische Sprachpflicht in der Praxis

Die Cyberresilienz-Verordnung verlangt, dass nutzerorientierte Produktinformationen in einer Sprache vorliegen, die für Nutzer und die lokale Marktüberwachungsbehörde leicht verständlich ist. Für Produkte auf dem polnischen Markt ist das Polnisch. Artikel 7 und 7a des polnischen Sprachgesetzes von 1999 (Ustawa z dnia 7 października 1999 r. o języku polskim) verlangen unabhängig davon Polnisch bei Verbraucherproduktbezeichnungen, Garantiebedingungen, Rechnungen, Belegen, Warnhinweisen, Bedienungsanleitungen und Produkteigenschaften. Die CRA-Pflicht deckt sich mit dieser langjährigen nationalen Regelung.

Muss auf Polnisch vorliegen:

  • Die Bedienungsanleitungen und Produktinformationen, die mit dem Produkt geliefert werden.
  • Die Kontaktangaben des Herstellers, wo immer sie erscheinen.
  • Die Angabe des Supportzeitraum-Endes am Kaufort.
  • Garantiebedingungen und Verbraucherrechtsinformationen, die mit dem Produkt geliefert werden.

Kann mehrsprachig sein:

  • Das Produktetikett und die CE-Kennzeichnung.
  • Text auf der Verpackung.
  • Online-Dokumentation, sofern eine polnische Version erreichbar ist.

Englisch ist in der Regel akzeptabel für:

  • Interne technische Dokumentation. Die polnische Marktüberwachungsbehörde kann unter begründetem Antrag eine polnische Übersetzung anfordern. Planen Sie dafür eine Ausweichlösung ein.

Artikel 7a Absatz 1 des Sprachgesetzes von 1999 erlaubt Ihnen, ein technisch klares Bildsymbol zu verwenden, wenn die Art der Information das zulässt. Artikel 11 nimmt Eigennamen, Markenzeichen, Herkunftsangaben und gebräuchliche wissenschaftliche oder technische Fachbegriffe von der polnischen Sprachpflicht aus. Die EU-Konformitätserklärung muss in den Sprachen verfügbar sein, die der Mitgliedstaat verlangt, in dem das Produkt in Verkehr gebracht oder bereitgestellt wird.

Grenzüberschreitender Verkauf aus Polen

Polnische Hersteller, die nach Deutschland, Tschechien, Frankreich oder einen anderen EU-Mitgliedstaat liefern, tragen dieselbe Einzel-Routing-Regel: Ihre Meldungen gehen weiterhin an CSIRT NASK, denn das Routing folgt der Hauptniederlassung, nicht dem Bestimmungsort jeder Lieferung. Sie melden nicht beim deutschen, tschechischen oder französischen CSIRT.

Die Sprachpflicht fächert sich jedoch je Markt auf. Ein Produkt, das nach Deutschland geliefert wird, benötigt deutschsprachige nutzerorientierte Inhalte. Ein Produkt, das nach Frankreich geliefert wird, benötigt französischsprachige Inhalte. Das polnische Sprachpaket allein deckt diese Märkte nicht ab.

Die Marktüberwachungsbehörde jedes empfangenden Mitgliedstaats kann außerdem Ihre technische Dokumentation in einer Sprache anfordern, die dieser Behörde leicht verständlich ist. Wenn Ihre Lieferkette sich breit über die EU erstreckt, rechnen Sie mit Anfragen in mindestens einer weitverbreiteten Arbeitssprache und übersetzen Sie die meistgefragten Abschnitte der technischen Dokumentation frühzeitig als praktischen Puffer.

Nationale Förderprogramme

Das polnische Förderbild für CRA-Investitionen 2026 umfasst ein laufendes mehrjähriges Programm, ein auslaufendes Programm und einige dedizierte Cybersicherheitslinien.

  • FENG (Fundusze Europejskie dla Nowoczesnej Gospodarki) ist das wichtigste EU-geförderte Innovations- und KMU-Programm für 2021 bis 2027, verwaltet von PARP. Im Mai 2025 nahm die Kommission eine FENG-Änderung an, die Priorität 5 für STEP-ausgerichtete Verteidigungstechnologien und Dual-Use-Investitionen einschließlich Cybersicherheit einführte. Ein separater Fonds für digitale Transformation und umweltfreundliche Wirtschaft innerhalb von FENG öffnet KMU-Darlehensanträge im dritten Quartal 2026. CRA-bedingte SBOM-Werkzeuge, Plattformen für die Schwachstellenbehandlung und Security-by-Design-Infrastruktur passen dort hinein, wo die Arbeit echte Innovation oder Digitalisierung von Produktionsprozessen darstellt.
  • KPO (Krajowy Plan Odbudowy) ist Polens Aufbau- und Resilienzplan mit einem Gesamtvolumen von rund 54,7 Milliarden EUR (25,3 Milliarden EUR Zuschüsse, 29,4 Milliarden EUR Vorzugsdarlehen). KPO-Investitionen müssen bis zum 31. August 2026 im Rahmen des NextGenerationEU-Auslaufdatums abgeschlossen sein, mit finalen Zahlungsanträgen bis zum 30. September 2026. KPO ist daher kein praktikables Planungsinstrument für die CRA-Frist am 11. Dezember 2027.
  • Regionale KMU-Cybersicherheitsförderung über PARP und die regionalen Operationellen Programme liegt typischerweise im Bereich von 20.000 bis 200.000 PLN und deckt Diagnoseprüfungen, Schulungen zu sicherem Entwickeln und Tooling-Piloten ab. Nützlich für eine Erstdiagnose, nicht für das vollständige CRA-Programm.

Für Compliance-Investitionen, die gegen die Frist vom 11. Dezember 2027 geplant werden, ist das realistische öffentliche Förderbild in Polen FENG (Priorität 5 und der Fonds für digitale Transformation) plus regionale KMU-Programme.

Häufig gestellte Fragen

Welches polnische CSIRT empfängt meine CRA-Meldungen zu Schwachstellen?

CSIRT NASK, das nationale CSIRT für den Zivilsektor, wenn die Hauptniederlassung des Herstellers in Polen liegt. CSIRT MON (Militär) und CSIRT GOV (Bundesverwaltung) sind für kommerzielle Produkthersteller nicht zuständig. Meldungen werden ab dem 11. September 2026 über die ENISA Single Reporting Platform eingereicht, mit CSIRT NASK als empfangendem Koordinator. CERT Polska ist die langjährige operative Marke innerhalb von NASK und veröffentlicht polnischsprachige Advisories.

Wer benennt polnische notifizierte Stellen, PCA oder das Ministerium?

PCA (Polskie Centrum Akredytacji) ist die einzige polnische nationale Akkreditierungsstelle und entwickelt das CRA-Akkreditierungs- und Notifizierungsschema. PCA akkreditiert die Kandidatenstellen nach ISO/IEC 17065:2012. Die notifizierende Behörde, die polnische CRA-notifizierte Stellen formal bei der Europäischen Kommission benennt, wurde im Dziennik Ustaw noch nicht bestätigt. Das Ministerstwo Cyfryzacji ist aufgrund seiner Konsultationsrolle der führende Kandidat, und die formale Benennung wird im polnischen Umsetzungsinstrument verankert. Ein polnischer Hersteller kann für die CRA-Konformitätsbewertung weiterhin jede EU-notifizierte Stelle nutzen.

Ersetzt die Cyberresilienz-Verordnung meine KSC-Pflichten, oder brauche ich beides?

Beides. Der geänderte KSC Act (in Kraft seit dem 3. April 2026) erfasst Ihre Organisation als wesentliche oder wichtige Einheit. Die Cyberresilienz-Verordnung erfasst jedes Produkt mit digitalen Elementen, das Sie auf dem EU-Markt bereitstellen. Sie überschneiden sich beim CSIRT-Routing (CSIRT NASK empfängt beides) und bei den zugrundeliegenden Sicherheitsdisziplinen, ersetzen sich aber nicht gegenseitig. Ein polnischer Hersteller, der auch eine KSC-pflichtige Einrichtung ist, trägt beide Regime mit getrennten Registrierungspflichten, getrennten Meldeketten und getrennten Bußgeldern (KSC bis zu 100 Millionen PLN, CRA bis zu 15 Millionen EUR oder 2,5 % des weltweiten Jahresumsatzes).

Welche polnische Behörde ist die CRA-Marktüberwachungsbehörde?

Prüfen Sie die endgültige Dziennik-Ustaw-Benennung, bevor Sie formale Einreichungen vornehmen. Das Ministerstwo Cyfryzacji leitet die Konsultation zum Umsetzungsinstrument und ist der wahrscheinlichste Kandidat, wobei PCA und eine Sektorbehörde (UKE oder UOKiK) je nach Produktkategorie unterstützend tätig sein könnten. Überprüfen Sie die endgültige Benennung im polnischen Umsetzungsinstrument, bevor Sie eine formale Einreichung vornehmen. Der CRA-Meldefluss über CSIRT NASK läuft unabhängig davon, wie die Marktüberwachungsaufgaben verteilt werden.

Wann veröffentlicht Polen sein nationales CRA-Umsetzungsgesetz im Dziennik Ustaw?

Die Cyberresilienz-Verordnung ist eine EU-Verordnung mit unmittelbarer Wirkung. Polen muss sie daher nicht in nationales Recht umsetzen, damit die materiellen Pflichten ab dem 11. Dezember 2027 gelten. Was Polen für den Rahmen ab dem 11. Juni 2026 benötigt, ist ein Umsetzungsinstrument (voraussichtlich eine ustawa oder ein rozporządzenie), das die CRA-Marktüberwachungsbehörde, die notifizierende Behörde für Konformitätsbewertungsstellen und den nationalen einzigen Ansprechpartner formal benennt und die polnische Bußgeldskala innerhalb der CRA-EU-Obergrenzen festlegt. Das Ministerstwo Cyfryzacji hat die Konsultation geleitet. Die Rahmenfrist vom 11. Juni 2026 ist nun verstrichen. Prüfen Sie das endgültige Dziennik-Ustaw-Instrument, bevor Sie sich auf Entwurfsbenennungen stützen, und behandeln Sie frühere Branchenzuschreibungen als vorläufig, bis dieser Text vorliegt.

Muss ich für B2B-Verkäufe alles auf Polnisch übersetzen?

Für Produkte, die auf dem polnischen Markt mit Endnutzern in Polen bereitgestellt werden, ja. Die Cyberresilienz-Verordnung verlangt Nutzerinformationen auf Polnisch. Artikel 7 und 7a des polnischen Sprachgesetzes von 1999 verlangen unabhängig davon Polnisch bei Verbraucherproduktbezeichnungen, Garantiebedingungen, Bedienungsanleitungen und Produkteigenschaften. B2B-Verkäufe zwischen Fachleuten haben beim Vertragsrecht etwas mehr Flexibilität, aber die CRA-Pflicht unterscheidet nicht danach, sobald das Produkt auf dem polnischen Markt bereitgestellt wird. Planen Sie, polnische Nutzerinformationen, polnische Angabe des Supportzeitraum-Endes und polnische Herstellerkontaktangaben für beide Kanäle, Verbraucher und Fachleute, bereitzustellen. Markenzeichen, wissenschaftliche Fachterminologie und gebräuchliche technische Begriffe sind ausdrücklich von der polnischen Sprachpflicht ausgenommen.

Können FENG- oder KPO-Mittel mein CRA-Compliance-Tooling finanzieren?

FENG ja, wenn die Arbeit echte Innovation oder Digitalisierung von Produktionsprozessen darstellt. Priorität 5 wurde durch die FENG/STEP-Änderung von 2025 eingeführt und deckt Cybersicherheit ab, und der Fonds für digitale Transformation und umweltfreundliche Wirtschaft innerhalb von FENG öffnet KMU-Darlehensanträge im dritten Quartal 2026. Reine Compliance-Arbeit (Prüfungen, Konformitätsbewertungsgebühren) ist schwerer einzuordnen. KPO befindet sich in seinem abschließenden NextGenerationEU-Fenster mit Projektausführung bis zum 31. August 2026 und finalen Zahlungsanträgen bis zum 30. September 2026 und ist daher kein praktikables Planungsinstrument für die Frist am 11. Dezember 2027.

Ich liefere aus Polen in andere EU-Mitgliedstaaten. Wo melde ich Vorfälle?

Über CSIRT NASK, unabhängig davon, in welche Mitgliedstaaten Sie liefern. Die Cyberresilienz-Verordnung knüpft das Melde-Routing an die Hauptniederlassung, nicht an den Bestimmungsort jeder einzelnen Lieferung. Die Sprachpflicht fächert sich jedoch je Markt auf: deutschsprachige Produktinformationen für nach Deutschland gelieferte Produkte, tschechischsprachige für nach Tschechien gelieferte Produkte und so weiter. Bereiten Sie die meistgefragten Abschnitte der technischen Dokumentation frühzeitig in einer weitverbreiteten Arbeitssprache vor, um grenzüberschreitende begründete Anfragen anderer Marktüberwachungsbehörden aufzufangen.

Für polnische Hersteller in Vorbereitung auf den 11. Dezember 2027

  1. Bestätigen Sie Ihre Herstellerpflichten anhand des Cluster-Leitfadens für Hersteller.
  2. Stellen Sie sicher, dass Ihre Hauptniederlassung in Polen liegt, und dokumentieren Sie die Begründung. Der Ort der cybersicherheitsrelevanten Entscheidungsfindung, nicht der eingetragene Sitz, ist maßgeblich.
  3. Bilden Sie Ihren CRA-Meldefluss auf CSIRT NASK ab und testen Sie eine Einreichung in der ENISA Single Reporting Platform, sobald diese am 11. September 2026 in Betrieb geht.
  4. Führen Sie bis zum 3. Oktober 2026 eine KSC-Selbstidentifizierungsprüfung durch, wenn Sie auch eine wesentliche oder wichtige Einheit sind. Behandeln Sie KSC und die Cyberresilienz-Verordnung als zwei getrennte Compliance-Ströme, die das CSIRT NASK-Routing teilen, aber nicht die Pflichten.
  5. Wenn Ihr Konformitätsbewertungsweg eine notifizierte Stelle erfordert, prüfen Sie PCA-akkreditierte Stellen als Heimoption sowie eine grenzüberschreitende Alternative. Verfolgen Sie den Dziennik Ustaw für die Benennung der polnischen notifizierenden Behörde.
  6. Übersetzen Sie Bedienungsanleitungen ins Polnische nach dem Sprachgesetz von 1999. Fügen Sie marktspezifische Übersetzungen für jeden anderen EU-Mitgliedstaat hinzu, in den Sie liefern.
  7. Prüfen Sie FENG Priorität 5 und den Fonds für digitale Transformation gegen Ihre Cybersicherheits-Tooling-Investitionen. Planen Sie für Pflichten bis 2027 nicht gegen KPO.
  8. Lesen Sie den Fragebogen zur Lieferantensorgfaltsprüfung für das herstellerseitige Rahmenwerk zur Komponentensorgfalt.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für eine spezifische CRA-Compliance-Beratung wenden Sie sich an qualifizierte Rechtsberater.

CRA Polen Schwachstellenmanagement
Share

Verwandte Artikel

Zurück zu allen Artikeln

Gilt der CRA für Ihr Produkt?

Beantworten Sie 6 einfache Fragen, um herauszufinden, ob Ihr Produkt unter die EU Cyberresilienz-Verordnung fällt. Erhalten Sie Ihr Ergebnis in unter 2 Minuten.

Jetzt prüfen

Bereit für CRA-Konformität?

Beginnen Sie mit der Verwaltung Ihrer SBOMs und Compliance-Dokumentation mit CRA Evidence.

14-tägige Testversion starten

Tiefer Einblick in CRA-Themen

Evergreen-Leitfäden zu den konkreten Anforderungen, Prozessen und Rollen aus dem EU Cyber Resilience Act (CRA).

EU-Konformitätserklärung

Was die EU-Konformitätserklärung enthalten muss, wer sie unterzeichnet und wann sie erforderlich ist.

Leitfaden lesen →
Konformitätsbewertung

Wie die Konformitätsbewertung nach dem CRA funktioniert und wann eine benannte Stelle erforderlich ist.

Leitfaden lesen →
Europäische Cybersicherheitszertifizierung (EUCC)

Wie das EUCC-Zertifizierungsschema funktioniert und wann es die CRA-Konformität unterstützen kann.

Leitfaden lesen →
Technische Dokumentation

Was die technische CRA-Dokumentation enthalten muss (Anhang VII Abschnitt für Abschnitt) und wie Hersteller sie strukturieren sollten.

Leitfaden lesen →
SBOM-Anforderungen

Was der CRA für SBOMs vorschreibt und wie BSI TR-03183 Qualitätskriterien definiert.

Leitfaden lesen →
Meldung von Schwachstellen

Wie die 24-Stunden-Meldepflicht gegenüber ENISA funktioniert und was als aktiv ausgenutzte Schwachstelle gilt.

Leitfaden lesen →
Importeurspflichten

Was Artikel 19 von Importeuren verlangt und wie die Herstellerkonformität überprüft wird.

Leitfaden lesen →
Planung des Supportzeitraums

Was die CRA-Supportzeitraumpflicht für Sicherheitsupdates und End-of-Life-Planung bedeutet.

Leitfaden lesen →
Vollständigen CRA-Compliance-Leitfaden ansehen