Cumplimiento CRA para fabricantes polacos: NASK, KSC y PCA

Ficha país para fabricantes polacos: notificación vía CSIRT NASK, acreditación PCA, solapamiento KSC, obligaciones en polaco y financiación FENG/KPO.

Equipo CRA Evidence Publicado 7 de enero de 2026 Actualizado 31 de mayo de 2026
Resumen país CRA para fabricantes polacos: cadena institucional nacional con CSIRT NASK para notificaciones de vulnerabilidades, PCA para acreditación y la Ley KSC con el régimen CRA en paralelo
En este artículo

Los fabricantes polacos afrontan las mismas obligaciones que cualquier otro fabricante de la UE bajo la Ley de Ciberresiliencia, con una particularidad que el resto de Estados miembros no tiene al mismo nivel: una ley nacional de ciberseguridad paralela (la Ley KSC enmendada) que entró en vigor el 3 de abril de 2026 y se solapa en parte con la Ley de Ciberresiliencia, pero no en todo. Esta página es un resumen país para Polonia. Cubre cómo se encaminan las notificaciones de vulnerabilidades e incidentes a través de CSIRT NASK, qué papel tiene PCA como organismo de acreditación, dónde se sitúa el régimen KSC respecto a la Ley de Ciberresiliencia, qué exige la ley de lengua polaca de 1999 y qué programas de financiación (FENG, KPO y líneas específicas de ciberseguridad) son realistas para invertir en cumplimiento. Para el conjunto completo de obligaciones del fabricante, consulta la guía clúster del fabricante.

Resumen

  • La Ley de Ciberresiliencia es un Reglamento de la UE con efecto directo. No existen exenciones polacas para fabricantes de productos.
  • CSIRT NASK (operado por NASK como CSIRT nacional del sector civil) es la vía polaca para las notificaciones de vulnerabilidades e incidentes cuando tu establecimiento principal está en Polonia. CSIRT MON (militar) y CSIRT GOV (administración central) quedan fuera del ámbito de los fabricantes comerciales.
  • PCA (Polskie Centrum Akredytacji) es el único organismo de acreditación polaco y está desarrollando el esquema de acreditación y notificación para la Ley de Ciberresiliencia. La autoridad polaca de notificación formal para los organismos notificados CRA todavía no ha sido confirmada en el Dziennik Ustaw. El Ministerstwo Cyfryzacji lidera la consulta del instrumento de transposición.
  • KSC y Ley de Ciberresiliencia se solapan, pero no se sustituyen mutuamente. La Ley KSC enmendada (Ustawa o KSC), publicada en el Dziennik Ustaw el 2 de marzo de 2026 y en vigor desde el 3 de abril de 2026, cubre tu organización como entidad clave o entidad importante. La Ley de Ciberresiliencia cubre tus productos. Un fabricante polaco en el ámbito de ambos regímenes asume registros separados, flujos de notificación separados y multas separadas (KSC: hasta 100 millones de PLN, Ley de Ciberresiliencia: hasta EUR 15 millones o el 2,5% de la facturación global).
  • El polaco (język polski) es obligatorio para la información del producto dirigida al usuario en el mercado polaco, según los artículos 7 y 7a de la Ley del Idioma Polaco de 1999. La obligación de la Ley de Ciberresiliencia se alinea con esta norma nacional.
  • FENG (Fundusze Europejskie dla Nowoczesnej Gospodarki) es el principal programa de inversión europeo para PYMES hasta 2027, con una Prioridad 5, introducida en 2025 mediante el cambio FENG/STEP, que cubre ciberseguridad directamente. KPO (Krajowy Plan Odbudowy) está en su ventana final de NextGenerationEU (fecha límite de ejecución: 31 de agosto de 2026) y no es viable para obligaciones de 2027.

Cuándo te aplica esta guía

Eres el lector objetivo si el «establecimiento principal del fabricante en la Unión» está en Polonia. Eso significa el lugar donde se toman de forma predominante las decisiones relativas a la ciberseguridad de tus productos con elementos digitales. Una filial de ventas registrada en Polonia con ingeniería en el extranjero no es el establecimiento principal. Si tu equipo de ingeniería, tu gobernanza del SDLC y las personas que aprueban las publicaciones de actualizaciones de seguridad están en Polonia, esta guía es para ti.

Si tu establecimiento principal está en otro país de la UE y solo comercializas en Polonia, tus notificaciones CRA se encaminan a través del CSIRT de ese Estado miembro, no de CSIRT NASK. La obligación de lengua polaca para la información dirigida al usuario sigue aplicándose a cualquier producto introducido en el mercado polaco.

NASK y CSIRT NASK: la vía CSIRT polaca

Las notificaciones CRA se encaminan a través del CSIRT designado como coordinador del Estado miembro donde el fabricante tiene su establecimiento principal en la Unión. Para un fabricante con establecimiento principal en Polonia, ese CSIRT es CSIRT NASK, el CSIRT nacional operado dentro de NASK (Naukowa i Akademicka Sieć Komputerowa), el operador de la red nacional de investigación y educación del país y sede histórica de CERT Polska.

Polonia tiene tres CSIRT de ámbito nacional bajo el régimen KSC: CSIRT NASK para el sector civil (fabricantes comerciales, administración local y la mayoría de entidades públicas), CSIRT MON para el sector militar y CSIRT GOV para la administración central del Estado. Para un fabricante comercial que introduce un producto con elementos digitales en el mercado de la UE, la vía es CSIRT NASK. Los otros dos quedan fuera de su ámbito.

El canal técnico para el ciclo de notificación de 24 h / 72 h / 14 días es la plataforma única de notificación de ENISA, que entra en operación el 11 de septiembre de 2026. Un fabricante polaco envía a través de esa plataforma con CSIRT NASK como coordinador receptor. La designación CSIRT determina el enrutamiento. La plataforma es el canal de transmisión.

Organismos notificados: PCA acredita, designación de la autoridad notificante pendiente

Los productos Importantes de Clase I necesitan un organismo notificado (Módulo B+C o Módulo H) únicamente cuando las normas armonizadas, las especificaciones comunes o un esquema de certificación no los cubren íntegramente. Los productos Importantes de Clase II utilizan un organismo notificado (Módulo B+C o Módulo H) o un esquema de certificación disponible y aplicable. Los productos Críticos (Anexo IV) siguen el Artículo 32(4): la vía de certificación del Artículo 8(1) cuando la Comisión la haya activado; de lo contrario, las mismas vías del Artículo 32(3).

La cadena institucional polaca es la siguiente:

  • PCA (Polskie Centrum Akredytacji) es el único organismo nacional de acreditación en Polonia, con rango de entidad estatal de derecho público bajo la supervisión del ministro competente en materia de economía. PCA es la única institución habilitada para conceder acreditación a los organismos de evaluación de la conformidad y está desarrollando activamente el esquema de acreditación y notificación para los organismos de evaluación de la conformidad en el marco de la Ley de Ciberresiliencia. La acreditación conforme a ISO/IEC 17065:2012 es el paso técnico previo a la notificación.
  • La autoridad notificante que designará formalmente a los organismos notificados CRA polacos ante la Comisión Europea todavía no ha sido confirmada en el Dziennik Ustaw. El Ministerstwo Cyfryzacji es el principal candidato por su papel en la consulta, pero la designación formal quedará fijada en el instrumento de transposición polaco.

El régimen de la Ley de Ciberresiliencia para los organismos notificados se aplica desde el 11 de junio de 2026, fecha a partir de la cual los organismos designados podrán empezar a emitir certificados de evaluación de la conformidad CRA. A mediados de 2026, la cadena polaca se está poniendo en marcha junto con el instrumento de transposición. Un fabricante polaco puede usar cualquier organismo notificado de la UE, no solo los designados en Polonia. Elegir un organismo designado en Polonia es una preferencia de contratación, no un requisito de la Ley de Ciberresiliencia. Las designaciones CRA definitivas se publican en la base de datos NANDO de la Comisión Europea.

KSC y Ley de Ciberresiliencia: dónde se solapan y dónde no

La Ustawa o krajowym systemie cyberbezpieczeństwa (Ley KSC) enmendada es la transposición de NIS2 en Polonia. Se publicó en el Dziennik Ustaw el 2 de marzo de 2026, entró en vigor el 3 de abril de 2026 tras un vacatio legis de un mes, da a las entidades en su ámbito hasta el 3 de abril de 2027 para cumplir y exige la autoidentificación más el registro en el registro KSC antes del 3 de octubre de 2026. Las multas máximas alcanzan 100 millones de PLN.

Los dos regímenes se solapan, pero no se sustituyen el uno al otro:

  • La Ley KSC cubre la entidad. Se aplica a tu organización como «entidad clave» (podmiot kluczowy) o «entidad importante» (podmiot ważny) si entras en alguno de los sectores enumerados en la Ley. Las obligaciones de gobernanza, gestión de riesgos, notificación de incidentes y seguridad de la cadena de suministro se asignan a la organización.
  • La Ley de Ciberresiliencia cubre el producto. Se aplica a cada producto con elementos digitales que introduces en el mercado de la UE, independientemente de si tu organización está en el ámbito de la Ley KSC. Los requisitos esenciales de ciberseguridad, la gestión de vulnerabilidades, la documentación técnica y el marcado CE se asignan al producto.

Un fabricante polaco que sea a la vez una entidad en el ámbito de la Ley KSC y un fabricante CRA asume ambos regímenes. Las notificaciones de incidentes van a CSIRT NASK en los dos casos, pero las obligaciones subyacentes son distintas: la Ley KSC hace seguimiento de incidentes operacionales a nivel de organización. La Ley de Ciberresiliencia hace seguimiento de vulnerabilidades explotadas activamente e incidentes graves a nivel de producto. Trata la fecha límite de autoidentificación KSC del 3 de octubre de 2026 como una tarea de nivel organizativo, separada de tu preparación de producto para la Ley de Ciberresiliencia. El registro KSC no es la plataforma de notificación CRA.

Requisitos de lengua polaca en la práctica

La Ley de Ciberresiliencia exige que la información del producto dirigida al usuario esté en una lengua fácilmente comprensible para los usuarios y la autoridad de vigilancia de mercado del Estado miembro en cuestión. Para los productos introducidos en el mercado polaco, esa lengua es el polaco. Los artículos 7 y 7a de la Ley del Idioma Polaco de 1999 (Ustawa z dnia 7 października 1999 r. o języku polskim) ya exigen independientemente el polaco en la denominación de productos de consumo, las condiciones de garantía, las facturas, los tiques, las advertencias, las instrucciones de uso y la información sobre las propiedades del producto. La obligación de la Ley de Ciberresiliencia se alinea con esta norma nacional de larga data.

Debe estar en polaco:

  • Las instrucciones de usuario y la información del producto que acompañan al producto.
  • Los datos de contacto del fabricante, dondequiera que aparezcan.
  • La fecha de fin de soporte mostrada en el punto de venta.
  • Las condiciones de garantía e información sobre derechos del consumidor que acompañan al producto.

Puede ser multilingüe:

  • La etiqueta del producto y el marcado CE.
  • El texto del embalaje.
  • La documentación en línea, siempre que haya una versión en polaco accesible.

El inglés se acepta normalmente para:

  • La documentación técnica interna. La autoridad de vigilancia de mercado polaca puede solicitar una traducción al polaco mediante solicitud motivada, así que prepárate para esa contingencia.

El artículo 7a, apartado 1, de la Ley de 1999 permite usar un símbolo o representación visual técnicamente claro cuando el tipo de información lo admite. El artículo 11 exime los nombres propios, las marcas comerciales, las indicaciones de origen del producto y la terminología científica o técnica de uso habitual del requisito de lengua polaca. La declaración UE de conformidad debe estar disponible en las lenguas exigidas por el Estado miembro donde el producto se introduce o se comercializa.

Venta transfronteriza desde Polonia

Los fabricantes polacos que venden en Alemania, la República Checa, Francia o cualquier otro Estado miembro de la UE aplican la misma regla de enrutamiento único: tus notificaciones siguen yendo a CSIRT NASK, porque el enrutamiento sigue al establecimiento principal, no al destino de cada envío. No presentas notificaciones ante el CSIRT alemán, checo ni francés.

La obligación de lengua sí se extiende por mercado. Un producto enviado al mercado alemán necesita contenido en alemán dirigido al usuario. Un producto enviado al mercado francés necesita contenido en francés. El pack de lengua polaca no cubre esos mercados.

La autoridad de vigilancia de mercado de cada Estado miembro receptor también puede solicitar tu documentación técnica en una lengua que sea fácilmente comprensible para dicha autoridad. Si tu suministro se extiende por varios países de la UE, prevé solicitudes en al menos una lengua de trabajo ampliamente utilizada y trata la traducción anticipada de las secciones de documentación técnica más solicitadas como una medida práctica de precaución.

Programas nacionales de financiación

El panorama de financiación polaco para inversión CRA en 2026 tiene un programa plurianual activo, uno en fase de cierre y varias líneas específicas de ciberseguridad.

  • FENG (Fundusze Europejskie dla Nowoczesnej Gospodarki) es el principal programa de innovación y PYMES financiado por la UE para 2021-2027, gestionado por PARP. En mayo de 2025, la Comisión aceptó un cambio de FENG que introdujo la Prioridad 5 para tecnologías de defensa alineadas con STEP e inversiones de doble uso, incluida la ciberseguridad. Un Fondo de Transformación Digital y Medio Ambiente dentro de FENG abre solicitudes de préstamos para PYMES en el tercer trimestre de 2026. Las herramientas SBOM, las plataformas de gestión de vulnerabilidades y la infraestructura de seguridad por diseño son elegibles cuando el trabajo constituye una innovación genuina o una digitalización del proceso productivo.
  • KPO (Krajowy Plan Odbudowy) es el Plan de Recuperación y Resiliencia de Polonia, con un presupuesto total de unos EUR 54.700 millones (EUR 25.300 millones en subvenciones y EUR 29.400 millones en préstamos preferentes). Las inversiones KPO deben ejecutarse antes del 31 de agosto de 2026 bajo el límite de NextGenerationEU, con solicitudes de pago final hasta el 30 de septiembre de 2026. Por tanto, KPO no es un vehículo de planificación viable para el plazo de la Ley de Ciberresiliencia del 11 de diciembre de 2027.
  • Subvenciones regionales para PYMES en ciberseguridad a través de PARP y los programas operativos regionales: habitualmente entre 20.000 y 200.000 PLN y cubren auditorías de diagnóstico, formación en desarrollo seguro y pilotos de herramientas. Útiles para un diagnóstico inicial, no para el programa CRA completo.

Para inversión en cumplimiento ajustada al plazo del 11 de diciembre de 2027, el panorama realista de financiación pública en Polonia es FENG (Prioridad 5 y el Fondo de Transformación Digital) más los programas regionales para PYMES.

Preguntas frecuentes

¿Qué CSIRT polaco recibe mis notificaciones de vulnerabilidades CRA?

CSIRT NASK, el CSIRT nacional del sector civil, cuando el establecimiento principal del fabricante está en Polonia. CSIRT MON (militar) y CSIRT GOV (administración central) quedan fuera del ámbito de los fabricantes comerciales. Los informes se envían a través de la plataforma única de notificación de ENISA desde el 11 de septiembre de 2026, con CSIRT NASK como coordinador receptor. CERT Polska es la marca operativa histórica dentro de NASK y publica avisos de vulnerabilidad en polaco.

¿Quién designa los organismos notificados polacos, PCA o el Ministerio?

PCA (Polskie Centrum Akredytacji) es el único organismo de acreditación nacional polaco y está desarrollando el esquema de acreditación y notificación CRA. PCA acredita a los organismos candidatos conforme a ISO/IEC 17065:2012. La autoridad notificante que designará formalmente a los organismos notificados CRA polacos ante la Comisión Europea todavía no ha sido confirmada en el Dziennik Ustaw. El Ministerstwo Cyfryzacji es el principal candidato por su papel en la consulta, y la designación formal quedará en el instrumento de transposición polaco. Un fabricante polaco puede usar cualquier organismo notificado de la UE para la evaluación de la conformidad CRA.

¿La Ley de Ciberresiliencia sustituye mis obligaciones KSC o necesito cumplir ambas?

Ambas. La Ley KSC enmendada (en vigor desde el 3 de abril de 2026) cubre tu organización como entidad clave o entidad importante. La Ley de Ciberresiliencia cubre cada producto con elementos digitales que introduces en el mercado de la UE. Se solapan en el enrutamiento CSIRT (CSIRT NASK recibe las dos) y en las disciplinas de seguridad subyacentes, pero no se sustituyen mutuamente. Un fabricante polaco que también sea una entidad en el ámbito de la Ley KSC asume ambos regímenes, con registros separados, flujos de notificación separados y multas separadas (KSC hasta 100 millones de PLN, Ley de Ciberresiliencia hasta EUR 15 millones o el 2,5% de la facturación global).

¿Qué autoridad polaca es la autoridad de vigilancia de mercado para la Ley de Ciberresiliencia?

La designación formal todavía no ha sido publicada en el Dziennik Ustaw a mediados de 2026. El Ministerstwo Cyfryzacji lidera la consulta del instrumento de transposición y es el candidato más probable, con PCA y una autoridad sectorial (UKE o UOKiK) posiblemente como apoyo según la categoría de producto. Verifica la designación definitiva en el instrumento de transposición polaco antes de cualquier trámite formal. El flujo de notificación a través de CSIRT NASK opera independientemente de cómo se distribuyan los roles de vigilancia de mercado.

¿Cuándo publicará Polonia su ley nacional de transposición CRA en el Dziennik Ustaw?

La Ley de Ciberresiliencia es un Reglamento de la UE con efecto directo, así que Polonia no necesita transponerla a la legislación nacional para que las obligaciones sustantivas se apliquen el 11 de diciembre de 2027. Lo que Polonia sí necesita publicar antes del 11 de junio de 2026 es un instrumento de transposición (probablemente una ustawa o rozporządzenie) que designe formalmente la autoridad de vigilancia de mercado CRA, la autoridad notificante para los organismos de evaluación de la conformidad y el punto de contacto nacional único, y establezca la escala de multas polaca dentro de los límites máximos fijados por la UE. El Ministerstwo Cyfryzacji ha llevado la consulta. A mediados de 2026, no ha aparecido ningún instrumento específico CRA en el Dziennik Ustaw. Presta atención al plazo marco del 11 de junio de 2026 y trata cualquier atribución previa de autoridades por parte de la industria como provisional hasta que ese texto se publique.

¿Tengo que traducir todo al polaco para las ventas B2B?

Para productos introducidos en el mercado polaco con usuarios finales en Polonia, sí. La Ley de Ciberresiliencia exige información de usuario en polaco. Los artículos 7 y 7a de la Ley del Idioma Polaco de 1999 exigen independientemente el polaco en la denominación de productos de consumo, las condiciones de garantía, las instrucciones de uso y la información sobre propiedades del producto. Las ventas B2B entre profesionales tienen cierta flexibilidad en el idioma del contrato, pero la obligación de la Ley de Ciberresiliencia no distingue por esta razón una vez que el producto se introduce en el mercado polaco. Prepara información de usuario en polaco, divulgación del período de soporte en polaco y datos de contacto del fabricante en polaco tanto para canales de consumidor como profesionales. Las marcas comerciales, la terminología científica y los términos técnicos de uso habitual están explícitamente exentos del requisito de lengua polaca.

¿Pueden FENG o KPO pagar mis herramientas de cumplimiento CRA?

FENG sí, cuando el trabajo constituye una innovación genuina o una digitalización del proceso productivo. La Prioridad 5 se introdujo mediante el cambio FENG/STEP de 2025 y cubre ciberseguridad, y el Fondo de Transformación Digital y Medio Ambiente dentro de FENG abre solicitudes de préstamos para PYMES en el tercer trimestre de 2026. El trabajo de cumplimiento puro (auditorías, tasas de evaluación de la conformidad) es más difícil de encajar. KPO está en su ventana final de NextGenerationEU con ejecución de proyectos hasta el 31 de agosto de 2026 y solicitudes de pago final hasta el 30 de septiembre de 2026, por lo que no es un vehículo de planificación viable para el plazo del 11 de diciembre de 2027.

Envío desde Polonia a otros Estados miembros de la UE. ¿Dónde notifico los incidentes?

A través de CSIRT NASK, independientemente de los Estados miembros a los que envíes. La Ley de Ciberresiliencia vincula el enrutamiento de las notificaciones al establecimiento principal, no al destino de cada envío. La obligación de lengua sí se extiende por mercado: información del producto en alemán para los productos enviados a Alemania, en checo para los enviados a la República Checa, y así sucesivamente. Prepara con antelación al menos las secciones de documentación técnica más solicitadas en una lengua de trabajo ampliamente utilizada para absorber solicitudes motivadas de las autoridades de vigilancia de mercado de otros Estados miembros.

Para fabricantes polacos preparándose para el 11 de diciembre de 2027

  1. Confirma tus obligaciones como fabricante con la guía clúster del fabricante.
  2. Verifica que tu establecimiento principal está en Polonia y documenta el razonamiento. Lo que importa es dónde se toman las decisiones de ciberseguridad, no el domicilio social registrado.
  3. Mapea tu flujo de notificación CRA a CSIRT NASK, con un envío de prueba a la plataforma única de notificación de ENISA cuando entre en operación el 11 de septiembre de 2026.
  4. Realiza la autoidentificación KSC antes del 3 de octubre de 2026 si también eres una entidad clave o importante. Trata la Ley KSC y la Ley de Ciberresiliencia como dos flujos de cumplimiento separados que comparten el enrutamiento CSIRT NASK pero no las obligaciones.
  5. Si tu ruta de evaluación de la conformidad necesita un organismo notificado, evalúa los organismos acreditados por PCA como opción local, más una alternativa transfronteriza. Sigue el Dziennik Ustaw para la designación de la autoridad notificante polaca.
  6. Traduce las instrucciones de usuario al polaco conforme a la Ley de 1999. Añade traducciones por mercado para cualquier otro Estado miembro de la UE al que envíes.
  7. Evalúa la Prioridad 5 de FENG y el Fondo de Transformación Digital para cualquier inversión en herramientas de ciberseguridad. No planifiques contra KPO para las obligaciones de 2027.
  8. Lee el cuestionario de diligencia debida de proveedores para el marco de diligencia debida de componentes del fabricante.

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica de cumplimiento CRA, consulta con asesoría legal cualificada.

CRA Polonia Gestión de vulnerabilidades
Share

Artículos Relacionados

Volver a todos los artículos

¿Se aplica el CRA a tu producto?

Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.

Comprobar ahora

¿Listo para lograr el cumplimiento del CRA?

Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.

Iniciar Prueba Gratuita de 14 Días

Análisis en profundidad de los temas del CRA

Guías permanentes sobre los requisitos, procesos y roles específicos definidos por la Ley de Ciberresiliencia.

Declaración UE de Conformidad

Qué debe contener la Declaración de Conformidad, quién la firma y cuándo es necesaria.

Leer la guía →
Evaluación de Conformidad

Cómo funciona la evaluación de conformidad bajo el CRA y cuándo se requiere un Organismo Notificado.

Leer la guía →
Documentación técnica

Qué debe contener la documentación técnica CRA (Anexo VII sección por sección) y cómo deben estructurarla los fabricantes.

Leer la guía →
Requisitos SBOM

Lo que el CRA exige para los SBOM y cómo la BSI TR-03183 define los criterios de calidad.

Leer la guía →
Notificación de vulnerabilidades

Cómo funciona el requisito de notificación de 24 horas a ENISA y qué cuenta como vulnerabilidad explotada activamente.

Leer la guía →
Obligaciones del importador

Qué exige el artículo 19 a los importadores y cómo verificar el cumplimiento del fabricante.

Leer la guía →
Planificación del período de soporte

Qué significa la obligación del período de soporte del CRA para las actualizaciones de seguridad y la planificación del fin de vida.

Leer la guía →
View full CRA compliance guide