Conformité CRA pour les fabricants polonais : NASK, KSC et PCA

Fiche pays pour les fabricants polonais : signalement via CSIRT NASK, accréditation PCA, chevauchement KSC, obligations linguistiques et financements FENG/KPO.

Équipe CRA Evidence Publié 7 janvier 2026 Mis à jour 31 mai 2026
Note pays CRA pour les fabricants polonais montrant la chaîne institutionnelle nationale : CSIRT NASK pour les signalements de vulnérabilités, PCA pour l'accréditation, chevauchement KSC avec la loi amendée sur le système national de cybersécurité
Dans cet article

Les fabricants polonais font face aux mêmes obligations CRA que tout autre fabricant de l'Union, avec une particularité que les autres États membres ne connaissent pas au même degré : une loi nationale sur la cybersécurité (la loi KSC amendée) entrée en vigueur le 3 avril 2026 qui chevauche partiellement le Règlement sur la cyberrésilience, sans s'y substituer. Cette note pays couvre la Pologne : le routage des signalements de vulnérabilités et d'incidents via CSIRT NASK, la place de PCA en tant qu'organisme d'accréditation, l'articulation du cadre KSC avec le Règlement sur la cyberrésilience, les obligations linguistiques imposées par la loi polonaise de 1999, et les programmes FENG, KPO et cybersécurité réalistes pour financer la mise en conformité. Pour l'ensemble des obligations du fabricant, consultez le guide cluster fabricant.

Résumé

  • Le Règlement sur la cyberrésilience est un règlement de l'Union d'application directe. Il n'existe pas d'exemption propre à la Pologne pour les fabricants de produits.
  • CSIRT NASK (opéré par NASK en tant que CSIRT national du secteur civil) est la voie polonaise CRA pour les signalements de vulnérabilités et d'incidents lorsque l'établissement principal du fabricant est en Pologne. CSIRT MON et CSIRT GOV sont hors périmètre pour les fabricants commerciaux.
  • PCA (Polskie Centrum Akredytacji) est le seul organisme national d'accréditation polonais et développe le schéma d'accréditation et de notification CRA. L'autorité polonaise de notification formelle pour les organismes notifiés CRA n'a pas encore été désignée dans le Dziennik Ustaw. Le Ministerstwo Cyfryzacji mène la consultation sur l'instrument d'application.
  • KSC et CRA se chevauchent, mais seulement en partie. La loi amendée sur le système national de cybersécurité (Ustawa o KSC), publiée au Dziennik Ustaw le 2 mars 2026 et en vigueur depuis le 3 avril 2026, couvre votre organisation en tant qu'entité clé ou importante. Le Règlement sur la cyberrésilience couvre vos produits. Un fabricant polonais en périmètre des deux régimes supporte des dossiers d'enregistrement distincts, des flux de signalement distincts et des amendes distinctes (KSC jusqu'à 100 millions PLN, CRA jusqu'à 15 millions EUR ou 2,5 % du chiffre d'affaires mondial).
  • Le polonais (język polski) est requis pour les informations produit destinées aux utilisateurs sur le marché polonais, en vertu des articles 7 et 7a de la loi polonaise sur la langue de 1999. L'obligation du Règlement sur la cyberrésilience s'aligne sur cette règle nationale.
  • FENG (Fundusze Europejskie dla Nowoczesnej Gospodarki) est le principal programme d'investissement PME cofinancé par l'UE jusqu'en 2027, avec une Priorité 5, introduite en 2025 par la modification FENG/STEP, couvrant directement la cybersécurité. KPO (Krajowy Plan Odbudowy) est en phase de clôture NextGenerationEU (échéance d'exécution au 31 août 2026) et n'est pas un véhicule de planification viable pour les obligations de 2027.

Champ d'application de ce guide

Vous êtes le lecteur visé si l'établissement principal du fabricant dans l'Union est en Pologne. Il s'agit du lieu où les décisions relatives à la cybersécurité de vos produits comportant des éléments numériques sont principalement prises. Une filiale de vente enregistrée en Pologne avec une ingénierie hors du pays n'est pas l'établissement principal. Si votre équipe d'ingénierie, votre gouvernance SDLC et les personnes qui approuvent les mises à jour de sécurité se trouvent en Pologne, ce guide vous concerne.

Si votre établissement principal est ailleurs dans l'Union et que vous ne faites qu'expédier en Pologne, vos signalements CRA transitent par le CSIRT de l'État membre où se trouve votre établissement principal, et non par CSIRT NASK. L'obligation linguistique polonaise pour les informations destinées aux utilisateurs s'applique néanmoins à tout produit mis sur le marché polonais.

NASK et CSIRT NASK : la voie CSIRT polonaise

Les notifications CRA transitent par le CSIRT désigné coordinateur de l'État membre où le fabricant a son établissement principal dans l'Union. Pour un fabricant dont l'établissement principal est en Pologne, ce CSIRT est CSIRT NASK, le CSIRT national opéré au sein de NASK (Naukowa i Akademicka Sieć Komputerowa), l'opérateur du réseau national de recherche et d'enseignement et l'hébergeur historique de CERT Polska.

La Pologne fait fonctionner trois CSIRT de niveau national dans le cadre du KSC : CSIRT NASK pour le secteur civil (y compris les fabricants commerciaux, les collectivités locales et la plupart des entités publiques), CSIRT MON pour le secteur militaire et CSIRT GOV pour l'administration centrale de l'État. Pour un fabricant commercial mettant un produit comportant des éléments numériques sur le marché de l'UE, la voie est CSIRT NASK. Les deux autres sont hors périmètre.

Le canal technique pour la cadence de signalement 24 h / 72 h / 14 jours est la plateforme unique de signalement de l'ENISA, qui devient opérationnelle le 11 septembre 2026. Un fabricant polonais dépose ses signalements via cette plateforme, avec CSIRT NASK comme coordinateur destinataire. La désignation du CSIRT détermine le routage. La plateforme est le canal de transmission.

Organismes notifiés : PCA accrédite, désignation de l'autorité de notification en attente

Les produits Important Classe I nécessitent un organisme notifié (Module B+C ou Module H) uniquement lorsque les normes harmonisées, spécifications communes, ou un schéma de certification ne les couvrent pas intégralement. Les produits Important Classe II utilisent un organisme notifié (Module B+C ou Module H) ou un schéma de certification disponible et applicable. Les produits Critiques (Annexe IV) suivent l’Article 32(4) : la voie de certification de l’Article 8(1) si la Commission l’a activée, sinon les mêmes voies tierces de l’Article 32(3).

La chaîne institutionnelle polonaise est la suivante :

  • PCA (Polskie Centrum Akredytacji) est le seul organisme national d'accréditation en Pologne, disposant du statut d'entité juridique d'État placée sous la tutelle du ministre chargé de l'économie. PCA est le seul établissement autorisé à délivrer l'accréditation aux organismes d'évaluation de la conformité et développe activement le schéma d'accréditation et de notification pour les organismes CRA. L'accréditation au titre de la norme ISO/IEC 17065:2012 constitue l'étape technique préalable à la notification.
  • L'autorité de notification qui désigne formellement les organismes notifiés CRA polonais auprès de la Commission européenne n'a pas encore été confirmée dans le Dziennik Ustaw. Le Ministerstwo Cyfryzacji est le principal candidat sur la base de son rôle de consultation, mais la désignation formelle figurera dans l'instrument d'application polonais.

Le cadre CRA pour les organismes notifiés s'applique à partir du 11 juin 2026, date à partir de laquelle les organismes désignés peuvent commencer à délivrer des certificats d'évaluation de la conformité CRA. À mi-2026, la chaîne polonaise se met en place parallèlement à l'instrument d'application. Un fabricant polonais peut faire appel à n'importe quel organisme notifié de l'UE, pas uniquement à des organismes désignés en Pologne. Choisir un organisme désigné en Pologne relève d'une préférence en matière d'achat et non d'une exigence du Règlement sur la cyberrésilience. Les désignations CRA définitives sont publiées dans la base de données NANDO de la Commission européenne.

KSC et CRA : là où ils se chevauchent, là où ils ne le font pas

La loi amendée sur le système national de cybersécurité (Ustawa o krajowym systemie cyberbezpieczeństwa, loi KSC) est la transposition polonaise de la directive NIS2. Elle a été publiée au Dziennik Ustaw le 2 mars 2026, est entrée en vigueur le 3 avril 2026 après une vacatio legis d'un mois, accorde aux entités concernées jusqu'au 3 avril 2027 pour se conformer, et impose l'auto-identification ainsi que l'enregistrement dans le registre KSC avant le 3 octobre 2026. Les amendes maximales atteignent 100 millions PLN.

Les deux régimes se chevauchent, mais ne se substituent pas l'un à l'autre :

  • Le KSC couvre l'entité. Il s'applique à votre organisation en tant qu'« entité clé » (podmiot kluczowy) ou « entité importante » (podmiot ważny) si vous relevez de l'un des secteurs nommés dans la loi. Les obligations de gouvernance, de gestion des risques, de signalement d'incidents et de sécurité de la chaîne d'approvisionnement s'attachent à l'organisation.
  • Le CRA couvre le produit. Il s'applique à chaque produit comportant des éléments numériques que vous mettez sur le marché de l'UE, que votre organisation soit ou non concernée par le KSC. Les exigences essentielles de cybersécurité, la gestion des vulnérabilités, la documentation technique et le marquage CE s'attachent au produit.

Un fabricant polonais qui est à la fois une entité dans le périmètre KSC et un fabricant de produits CRA supporte les deux régimes. Les signalements d'incidents vont à CSIRT NASK dans les deux cas, mais les obligations sous-jacentes diffèrent : le KSC suit les incidents opérationnels au niveau de l'organisation, le CRA suit les vulnérabilités activement exploitées et les incidents graves au niveau du produit. Traitez la date limite d'auto-identification KSC du 3 octobre 2026 comme une tâche distincte au niveau organisationnel, séparée de votre préparation CRA des produits. Le registre KSC n'est pas la plateforme de signalement CRA.

Exigences linguistiques en polonais dans la pratique

Le Règlement sur la cyberrésilience exige que les informations produit destinées aux utilisateurs soient rédigées dans une langue facilement compréhensible par les utilisateurs et l'autorité de surveillance du marché locale. Pour les produits mis sur le marché polonais, cette langue est le polonais. Les articles 7 et 7a de la loi polonaise sur la langue de 1999 (Ustawa z dnia 7 października 1999 r. o języku polskim) imposent indépendamment le polonais pour la dénomination des produits de consommation, les conditions de garantie, les factures, les reçus, les avertissements, les instructions d'utilisation et les informations sur les caractéristiques du produit. L'obligation du Règlement sur la cyberrésilience s'aligne sur cette règle nationale de longue date.

Doit être en polonais :

  • Les instructions d'utilisation et les informations produit livrées avec le produit.
  • Les coordonnées du fabricant, où qu'elles apparaissent.
  • La date de fin de support indiquée au point de vente.
  • Les conditions de garantie et les informations sur les droits des consommateurs livrées avec le produit.

Peut être multilingue :

  • L'étiquette produit et le marquage CE.
  • Les textes d'emballage.
  • La documentation en ligne, à condition qu'une version en polonais soit accessible.

L'anglais est normalement accepté pour :

  • La documentation technique interne. L'autorité de surveillance du marché polonaise peut demander une traduction en polonais sur demande motivée, il convient donc d'anticiper cette éventualité.

L'article 7a, alinéa 1 de la loi de 1999 autorise l'utilisation d'un visuel ou d'un symbole techniquement clair lorsque le type d'information le permet. L'article 11 exempte les noms propres, marques commerciales, indications d'origine des produits et la terminologie scientifique ou technique usuellement employée de l'obligation linguistique polonaise. La déclaration UE de conformité doit être mise à disposition dans les langues requises par l'État membre dans lequel le produit est mis sur le marché ou mis à disposition.

Ventes transfrontalières depuis la Pologne

Les fabricants polonais qui vendent en Allemagne, en République tchèque, en France ou dans tout autre État membre de l'UE obéissent à la même règle de routage unique : les signalements vont toujours à CSIRT NASK, car le routage suit l'établissement principal et non la destination de chaque expédition. Vous ne déposez pas de signalement auprès du CSIRT allemand, tchèque ou français.

L'obligation linguistique se diversifie en revanche par marché. Un produit expédié sur le marché allemand nécessite un contenu en allemand destiné aux utilisateurs. Un produit expédié sur le marché français nécessite un contenu en français. Le pack en polonais ne couvre pas ces marchés.

L'autorité de surveillance du marché de chaque État membre destinataire peut également demander votre documentation technique dans une langue facilement compréhensible par cette autorité. Si votre distribution couvre largement l'UE, attendez-vous à des demandes dans au moins une langue de travail largement utilisée, et anticipez la traduction des sections les plus demandées de votre documentation technique.

Programmes de financement nationaux

Le tableau des financements polonais pour les investissements CRA en 2026 comprend un programme pluriannuel actif, un programme en phase de clôture et quelques lignes dédiées à la cybersécurité.

  • FENG (Fundusze Europejskie dla Nowoczesnej Gospodarki) est le principal programme d'innovation et PME cofinancé par l'UE pour 2021-2027, administré par PARP. En mai 2025, la Commission a accepté une modification de FENG introduisant la Priorité 5 pour les technologies de défense alignées sur STEP et les investissements à double usage, dont la cybersécurité. Un Fonds de transformation numérique et environnementale distinct, au sein de FENG, ouvre les demandes de prêts PME au troisième trimestre 2026. L'outillage SBOM piloté par le CRA, les plateformes de gestion des vulnérabilités et les infrastructures de sécurité dès la conception entrent dans ce cadre lorsque les travaux constituent une véritable innovation ou une digitalisation du processus de production.
  • KPO (Krajowy Plan Odbudowy) est le plan de relance et de résilience de la Pologne, avec une enveloppe totale d'environ 54,7 milliards EUR (25,3 milliards EUR de subventions, 29,4 milliards EUR de prêts préférentiels). Les investissements KPO doivent être exécutés avant le 31 août 2026 dans le cadre du délai NextGenerationEU, avec les demandes de paiement final avant le 30 septembre 2026. Le KPO n'est donc pas un véhicule de planification viable pour l'échéance CRA du 11 décembre 2027.
  • Les subventions régionales PME en cybersécurité via PARP et les programmes opérationnels régionaux se situent typiquement entre 20 000 et 200 000 PLN et couvrent les audits de diagnostic, la formation au développement sécurisé et les projets pilotes d'outillage. Utiles pour un diagnostic initial, pas pour un programme CRA complet.

Pour les investissements de mise en conformité calés sur l'échéance du 11 décembre 2027, le tableau réaliste des financements publics en Pologne est FENG (Priorité 5 et Fonds de transformation numérique) plus les programmes PME régionaux.

Questions fréquentes

Quel CSIRT polonais reçoit mes signalements de vulnérabilités CRA ?

CSIRT NASK, le CSIRT national du secteur civil, lorsque l'établissement principal du fabricant est en Pologne. CSIRT MON (secteur militaire) et CSIRT GOV (administration centrale) sont hors périmètre pour les fabricants commerciaux. Les signalements sont déposés via la plateforme unique de signalement de l'ENISA à partir du 11 septembre 2026, avec CSIRT NASK comme coordinateur destinataire. CERT Polska est la marque opérationnelle historique au sein de NASK et publie des avis de sécurité en polonais.

Qui désigne les organismes notifiés polonais, PCA ou le ministère ?

PCA (Polskie Centrum Akredytacji) est le seul organisme national d'accréditation polonais et développe le schéma d'accréditation et de notification CRA. PCA accrédite les organismes candidats au titre de la norme ISO/IEC 17065:2012. L'autorité de notification qui désignera formellement les organismes notifiés CRA polonais auprès de la Commission européenne n'a pas encore été confirmée dans le Dziennik Ustaw. Le Ministerstwo Cyfryzacji est le principal candidat sur la base de son rôle de consultation, et la désignation formelle figurera dans l'instrument d'application polonais. Un fabricant polonais peut d'ores et déjà faire appel à n'importe quel organisme notifié de l'UE pour l'évaluation de la conformité CRA.

Le CRA remplace-t-il mes obligations KSC, ou dois-je respecter les deux ?

Les deux. La loi KSC amendée (en vigueur depuis le 3 avril 2026) couvre votre organisation en tant qu'entité clé ou importante. Le Règlement sur la cyberrésilience couvre chaque produit comportant des éléments numériques que vous mettez sur le marché de l'UE. Ils se chevauchent sur le routage CSIRT (CSIRT NASK reçoit les deux) et sur les disciplines de sécurité sous-jacentes, mais ne se substituent pas l'un à l'autre. Un fabricant polonais également dans le périmètre KSC supporte les deux régimes, avec des dossiers d'enregistrement distincts, des flux de signalement distincts et des amendes distinctes (KSC jusqu'à 100 millions PLN, CRA jusqu'à 15 millions EUR ou 2,5 % du chiffre d'affaires mondial).

Quelle autorité polonaise assure la surveillance du marché CRA ?

La désignation formelle n'a pas encore été publiée dans le Dziennik Ustaw à mi-2026. Le Ministerstwo Cyfryzacji mène la consultation sur l'instrument d'application et est le candidat le plus probable, avec PCA et une autorité sectorielle (UKE ou UOKiK) potentiellement en soutien selon la catégorie de produit. Vérifiez la désignation définitive dans l'instrument d'application polonais avant tout dépôt formel. Le flux de signalement CRA via CSIRT NASK fonctionne indépendamment de la répartition des rôles de surveillance du marché.

Quand la Pologne publiera-t-elle sa loi nationale d'application CRA dans le Dziennik Ustaw ?

Le Règlement sur la cyberrésilience est un règlement de l'Union d'application directe, la Pologne n'a donc pas besoin de le transposer en droit national pour que les obligations substantielles s'appliquent le 11 décembre 2027. Ce que la Pologne doit publier avant le 11 juin 2026 est un instrument d'application (probablement une ustawa ou un rozporządzenie) qui désigne formellement l'autorité de surveillance du marché CRA, l'autorité de notification pour les organismes d'évaluation de la conformité et le point de contact national unique, et fixe le barème des amendes polonaises dans le respect des plafonds de l'UE. Le Ministerstwo Cyfryzacji mène la consultation. À mi-2026, aucun instrument spécifique au CRA n'a été publié dans le Dziennik Ustaw. Surveillez l'échéance du 11 juin 2026 pour le cadre, et traitez toute attribution anticipée d'autorités comme provisoire jusqu'à la publication de ce texte.

Dois-je tout traduire en polonais pour les ventes B2B ?

Pour les produits mis sur le marché polonais avec des utilisateurs finals en Pologne, oui. Le Règlement sur la cyberrésilience exige les informations utilisateur en polonais. Les articles 7 et 7a de la loi polonaise sur la langue de 1999 imposent indépendamment le polonais pour la dénomination des produits de consommation, les conditions de garantie, les instructions d'utilisation et les informations sur les caractéristiques du produit. Les ventes B2B entre professionnels offrent une certaine souplesse sur la langue contractuelle, mais l'obligation du Règlement sur la cyberrésilience ne fait pas de distinction sur ce point dès lors que le produit est mis sur le marché polonais. Prévoyez des informations utilisateur en polonais, la divulgation de la durée de support en polonais et les coordonnées du fabricant en polonais pour les canaux grand public et professionnel. Les marques commerciales, la terminologie scientifique et les termes techniques usuels sont explicitement exemptés de l'obligation linguistique polonaise.

Les fonds FENG ou KPO peuvent-ils financer mes outils de conformité CRA ?

FENG oui, lorsque les travaux constituent une véritable innovation ou une digitalisation du processus de production. La Priorité 5 a été introduite par la modification FENG/STEP de 2025 et couvre la cybersécurité, et le Fonds de transformation numérique et environnementale au sein de FENG ouvre les demandes de prêts PME au troisième trimestre 2026. Les travaux de pure conformité (audits, frais d'évaluation de la conformité) sont plus difficiles à faire entrer dans ce cadre. Le KPO est en phase de clôture NextGenerationEU avec une exécution des projets due au 31 août 2026 et des demandes de paiement final dues au 30 septembre 2026 : ce n'est donc pas un véhicule de planification viable pour l'échéance du 11 décembre 2027.

J'expédie depuis la Pologne vers d'autres États membres de l'UE. Où déclarer les incidents ?

Via CSIRT NASK, quel que soit l'État membre de destination. Le Règlement sur la cyberrésilience lie le routage des notifications à l'établissement principal et non à la destination de chaque expédition. L'obligation linguistique se diversifie en revanche par marché : informations produit en allemand pour les produits expédiés en Allemagne, en tchèque pour les produits expédiés en République tchèque, et ainsi de suite. Anticipez la traduction des sections les plus demandées de votre documentation technique dans une langue de travail largement utilisée pour absorber les demandes motivées des autorités de surveillance du marché des autres États membres.

Pour les fabricants polonais en vue du 11 décembre 2027

  1. Confirmez vos obligations de fabricant avec le guide cluster fabricant.
  2. Vérifiez que votre établissement principal est en Pologne et documentez la justification. C'est le lieu des décisions en matière de cybersécurité, et non le siège social enregistré, qui détermine la localisation.
  3. Cartographiez votre flux de signalement CRA vers CSIRT NASK, avec un dépôt test via la plateforme unique de signalement de l'ENISA dès son ouverture le 11 septembre 2026.
  4. Effectuez une vérification d'auto-identification KSC avant le 3 octobre 2026 si vous êtes également une entité clé ou importante. Traitez KSC et CRA comme deux flux de conformité distincts qui partagent le routage CSIRT NASK mais pas les obligations.
  5. Si votre voie d'évaluation de la conformité nécessite un organisme notifié, ciblez des organismes accrédités par PCA comme option nationale, plus une alternative transfrontalière. Surveillez le Dziennik Ustaw pour la désignation de l'autorité de notification polonaise.
  6. Traduisez les instructions utilisateur en polonais au titre de la loi de 1999. Ajoutez des traductions par marché pour chaque autre État membre de l'UE vers lequel vous expédiez.
  7. Évaluez la Priorité 5 FENG et le Fonds de transformation numérique pour tout investissement en outillage cybersécurité. Ne planifiez pas contre le KPO pour les obligations de 2027.
  8. Consultez le questionnaire de diligence fournisseur pour le cadre fabricant de diligence sur les composants.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.

CRA Pologne Gestion des vulnérabilités
Share

Articles connexes

Retour à tous les articles

Le CRA s'applique-t-il à votre produit ?

Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du règlement sur la cyberrésilience de l'UE. Obtenez votre résultat en moins de 2 minutes.

Vérifier maintenant

Prêt à atteindre la conformité CRA ?

Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.

Démarrer l'essai gratuit de 14 jours

Exploration approfondie des thèmes du CRA

Guides de référence sur les exigences, processus et rôles définis par le règlement sur la cyberrésilience (CRA).

Déclaration UE de conformité

Ce que la Déclaration de conformité doit contenir, qui la signe et quand elle est requise.

Lire le guide →
Évaluation de la conformité

Comment fonctionne l'évaluation de conformité sous le CRA et quand un organisme notifié est requis.

Lire le guide →
Documentation technique

Ce que la documentation technique CRA doit contenir (Annexe VII section par section) et comment les fabricants doivent la structurer.

Lire le guide →
Exigences SBOM

Ce que le CRA exige pour les SBOM et comment BSI TR-03183 définit les critères de qualité.

Lire le guide →
Notification des vulnérabilités

Comment fonctionne l'obligation de notification à l'ENISA sous 24 heures et ce qui compte comme une vulnérabilité activement exploitée.

Lire le guide →
Obligations de l'importateur

Ce que l'article 19 exige des importateurs et comment vérifier la conformité du fabricant.

Lire le guide →
Planification de la période de support

Ce que l'obligation de période de support du CRA implique pour les mises à jour de sécurité et la planification de fin de vie.

Lire le guide →
View full CRA compliance guide