CRA-efterlevnad för polska tillverkare: NASK, KSC och PCA

En landöversikt för polska tillverkare under cyberresiliensförordningen: CSIRT NASK-routing, PCA-ackreditering, KSC-överlapp och polskt språkkrav.

CRA Evidence Team Publicerad 7 januari 2026 Uppdaterad 11 juni 2026
CRA-landöversikt för polska tillverkare: två staplade dokument märkta KSC och CRA visar det dubbla regelverket med CSIRT NASK-routing och PCA-ackreditering
I denna artikel

Polska tillverkare bär samma skyldigheter under cyberresiliensförordningen som alla andra EU-tillverkare, men med ett inslag som de flesta andra medlemsstater inte har i samma utsträckning: en parallell nationell cybersäkerhetslag, den ändrade KSC-lagen, som trädde i kraft den 3 april 2026 och delvis överlappar med cyberresiliensförordningen utan att ersätta den. Den här sidan är en landöversikt för Polen: hur sårbarhets- och incidentrapporter routas via CSIRT NASK, var PCA passar in som ackrediteringsorgan, hur KSC-regelverket förhåller sig till cyberresiliensförordningen, vad det polska språkkravet kräver under 1999 års lag och vilka av programmen FENG, KPO och dedikerade cybersäkerhetslinjer som är realistiska för efterlevnadsinvesteringar. För det fullständiga skyldighetsutbudet, se klusterguiden för tillverkare.

Sammanfattning

  • Cyberresiliensförordningen är en EU-förordning med direkt effekt. Det finns inga polska undantag för produkttillverkare.
  • CSIRT NASK (som drivs av NASK som civil-sektorns nationella CSIRT) är den polska vägen för sårbarhets- och incidentrapporter när din huvudsakliga etablering är i Polen. CSIRT MON och CSIRT GOV är utanför tillämpningsområdet för kommersiella produkttillverkare.
  • PCA (Polskie Centrum Akredytacji) är det enda polska ackrediteringsorganet och håller på att utveckla ackrediterings- och notifieringsschemat för CRA. Den formella polska notifieringsmyndigheten för CRA-anmälda organ har ännu inte bekräftats i Dziennik Ustaw. Ministerstwo Cyfryzacji leder konsultationen om genomförandeinstrumentet.
  • KSC och cyberresiliensförordningen överlappar, men bara delvis. Den ändrade lagen om det nationella cybersäkerhetssystemet (Ustawa o KSC), publicerad i Dziennik Ustaw den 2 mars 2026 och i kraft sedan den 3 april 2026, täcker din organisation som en nyckel- eller viktig enhet. Cyberresiliensförordningen täcker dina produkter. En polsk tillverkare som omfattas av båda regelverken bär separata registreringsanmälningar, separata rapporteringsflöden och separata böter (KSC upp till 100 miljoner PLN, cyberresiliensförordningen upp till 15 miljoner EUR eller 2,5 procent av global omsättning).
  • Polska (język polski) krävs för användarinriktad produktinformation på den polska marknaden enligt artiklarna 7 och 7a i 1999 års polska språklag. Skyldigheten enligt cyberresiliensförordningen stämmer överens med denna nationella regel.
  • FENG (Fundusze Europejskie dla Nowoczesnej Gospodarki) är det viktigaste EU-finansierade SME-investeringsprogrammet för 2021-2027, med Prioritet 5, införd 2025 genom FENG/STEP-ändringen, som täcker cybersäkerhet direkt. KPO (Krajowy Plan Odbudowy) befinner sig i sitt avslutande NextGenerationEU-fönster (deadline 31 augusti 2026) och är inte ett realistiskt alternativ för 2027-skyldigheter.

När den här guiden gäller dig

Du är målläsaren om tillverkarens "huvudsakliga etablering i unionen" finns i Polen. Det innebär den plats där beslut som rör cybersäkerheten för dina produkter med digitala element i huvudsak fattas. Ett polskregistrerat säljbolag med teknikutveckling offshore är inte den huvudsakliga etableringen. Om ditt teknikteam, din SDLC-styrning och de personer som godkänner säkerhetsuppdateringar befinner sig i Polen, är den här guiden för dig.

Om din huvudsakliga etablering finns någon annanstans i EU och du bara levererar till Polen, routas dina CRA-rapporter via CSIRT i din etableringsstats land, inte via CSIRT NASK. Det polska språkkravet för användarinriktad information gäller ändå för alla produkter som placeras på den polska marknaden.

NASK och CSIRT NASK: den polska CSIRT-vägen

CRA-anmälningar routas via den CSIRT som utsetts till samordnare i den medlemsstat där tillverkaren har sin huvudsakliga etablering i unionen. För en tillverkare med huvudsaklig etablering i Polen är den CSIRT:en CSIRT NASK, den nationella CSIRT som drivs inom NASK (Naukowa i Akademicka Sieć Komputerowa), landets nationella forsknings- och utbildningsnätverksoperatör och den sedan länge etablerade värden för CERT Polska.

Polen driver tre nationella CSIRT:er under KSC-ramverket: CSIRT NASK för civilsektorn (inklusive kommersiella tillverkare, kommuner och de flesta offentliga organ), CSIRT MON för militärsektorn och CSIRT GOV för den centrala statsförvaltningen. För en kommersiell tillverkare som placerar en produkt med digitala element på EU-marknaden är vägen CSIRT NASK. De andra två är utanför tillämpningsområdet.

Den tekniska kanalen för rapporteringskadensen 24 timmar/72 timmar/14 dagar är ENISA:s gemensamma rapporteringsplattform, som tas i drift den 11 september 2026. En polsk tillverkare lämnar in via den plattformen med CSIRT NASK som mottagande samordnare. CSIRT-utpekandet är routingen. Plattformen är transporten.

Anmälda organ: PCA ackrediterar, notifieringsmyndigheten ännu ej utsedd

För Viktig klass I-produkter där ingen harmoniserad standard tillämpas, Viktig klass II-produkter och kritiska produkter krävs ett anmält organ för bedömning av överensstämmelse (modul B+C eller modul H).

Den polska institutionella kedjan är:

  • PCA (Polskie Centrum Akredytacji) är det enda nationella ackrediteringsorganet i Polen, med ställning som en statlig juridisk person under tillsyn av ministern med ansvar för ekonomifrågor. PCA är den enda institution som är behörig att bevilja ackreditering till organ för bedömning av överensstämmelse och håller aktivt på att utveckla ackrediterings- och notifieringsschemat för CRA-organ för bedömning av överensstämmelse. Ackreditering under ISO/IEC 17065:2012 är det tekniska steget före notifiering.
  • Notifieringsmyndigheten som formellt utser polska CRA-anmälda organ till Europeiska kommissionen har ännu inte bekräftats i Dziennik Ustaw. Ministerstwo Cyfryzacji är den ledande kandidaten baserat på sin konsultationsroll, men den formella utpekandet kommer att finnas i det polska genomförandeinstrumentet.

CRA-ramverket för anmälda organ träder i kraft från och med den 11 juni 2026, varefter utsedda organ kan börja utfärda CRA-certifikat för bedömning av överensstämmelse. Den 11 juni 2026 byggs den polska kedjan fortfarande upp parallellt med genomförandeinstrumentet. En polsk tillverkare kan använda vilket EU-anmält organ som helst, inte bara polska. Att välja ett polskt anmält organ är en upphandlingspreferens och inget krav enligt cyberresiliensförordningen. Slutliga CRA-utpekanden publiceras i Europeiska kommissionens NANDO-databas.

KSC och cyberresiliensförordningen: var de överlappar och var de inte gör det

Den ändrade Ustawa o krajowym systemie cyberbezpieczeństwa (KSC-lagen) är Polens implementering av NIS2. Den publicerades i Dziennik Ustaw den 2 mars 2026, trädde i kraft den 3 april 2026 efter en månads vacatio legis, ger berörda enheter fram till den 3 april 2027 på sig att följa lagen, och kräver självidentifiering samt registrering i KSC-registret senast den 3 oktober 2026. Maximala böter uppgår till 100 miljoner PLN.

De två regelverken överlappar, men de ersätter inte varandra:

  • KSC täcker enheten. Det gäller din organisation som en "nyckelenhet" (podmiot kluczowy) eller "viktig enhet" (podmiot ważny) om du faller inom ett av de sektorer som anges i lagen. Styrning, riskhantering, incidentrapportering och krav på leveranskedjesäkerhet är kopplade till organisationen.
  • Cyberresiliensförordningen täcker produkten. Den gäller varje produkt med digitala element som du placerar på EU-marknaden, oavsett om din organisation omfattas av KSC. Väsentliga cybersäkerhetskrav, sårbarhetshantering, teknisk dokumentation och CE-märkning är kopplade till produkten.

En polsk tillverkare som är både en KSC-enhet och en CRA-produkttillverkare bär båda regelverken. Incidentrapporter går till CSIRT NASK i båda fallen, men de underliggande skyldigheterna skiljer sig åt: KSC spårar operativa incidenter på organisationsnivå, cyberresiliensförordningen spårar aktivt utnyttjade sårbarheter och allvarliga incidenter på produktnivå. Behandla KSC:s deadline för självidentifiering den 3 oktober 2026 som en organisationsnivåuppgift separat från din produktberedskap enligt CRA. KSC-registret är inte CRA-rapporteringsplattformen.

Det polska språkkravet i praktiken

Cyberresiliensförordningen kräver att användarinriktad produktinformation är på ett språk som lätt förstås av användare och den lokala marknadskontrollmyndigheten. För produkter som placeras på den polska marknaden är det polska. Artiklarna 7 och 7a i 1999 års polska språklag (Ustawa z dnia 7 października 1999 r. o języku polskim) kräver självständigt polska för konsumentproduktbenämningar, garantivillkor, fakturor, kvitton, varningar, bruksanvisningar och produktegenskapsinformation. Skyldigheten enligt cyberresiliensförordningen stämmer överens med denna sedan länge etablerade nationella regel.

Måste vara på polska:

  • Bruksanvisningar och produktinformation som medföljer produkten.
  • Tillverkarens kontaktuppgifter, oavsett var de visas.
  • Upplysning om produktens supportslutdatum som visas vid inköpstillfället.
  • Garantivillkor och konsumenträttsinformation som medföljer produkten.

Kan vara flerspråkig:

  • Produktetiketten och CE-märkningen.
  • Förpackningstext.
  • Onlinedokumentation, förutsatt att en polsk version är tillgänglig.

Engelska är normalt accepterat för:

  • Intern teknisk dokumentation. Den polska marknadskontrollmyndigheten kan begära en polsk översättning på motiverad begäran, så planera för den möjligheten.

1999 års lag, artikel 7a punkt 1, tillåter att du levererar ett tekniskt tydligt visuellt element eller symbol när informationstypen tillåter det. Artikel 11 undantar egennamn, varumärken, ursprungsbeteckningar och vedertagen vetenskaplig eller teknisk terminologi från det polska språkkravet. EU-försäkran om överensstämmelse måste finnas tillgänglig på de språk som krävs av den medlemsstat där produkten släpps ut eller tillhandahålls på marknaden.

Gränsöverskridande försäljning från Polen

Polska tillverkare som säljer till Tyskland, Tjeckien, Frankrike eller någon annan EU-medlemsstat bär samma enstaka-routing-regel: dina rapporter går fortfarande till CSIRT NASK, eftersom routing följer huvudsaklig etablering, inte destination per leverans. Du lämnar inte in till den tyska, tjeckiska eller franska CSIRT:en.

Språkkravet sprider sig däremot per marknad. En produkt som levereras till den tyska marknaden behöver tyskt användarinnehåll. En produkt som levereras till den franska marknaden behöver franskt innehåll. Det enda polska språkpaketet täcker inte dessa marknader.

Varje mottagande medlemsstats marknadskontrollmyndighet kan också begära din tekniska dokumentation på ett språk som den myndigheten lätt förstår. Om din leverans sträcker sig brett över EU, räkna med begäranden på minst ett allmänt använt arbetsspråk och behandla tidig översättning av de mest efterfrågade avsnitten i teknisk dokumentation som en praktisk förebyggande åtgärd.

Nationella finansieringsprogram

Den polska finansieringsbilden för CRA-investeringar 2026 har ett aktivt flerårigt program, ett avslutande program och ett antal dedikerade cybersäkerhetslinjer.

  • FENG (Fundusze Europejskie dla Nowoczesnej Gospodarki) är det viktigaste EU-finansierade innovations- och SME-programmet för 2021-2027, administrerat av PARP. I maj 2025 godkände kommissionen en FENG-ändring som införde Prioritet 5 för STEP-anpassad försvarsteknik och dubblanvändbara investeringar, inklusive cybersäkerhet. En separat fond för digital omställning och miljövänliga investeringar inom FENG öppnar SME-låneansökningar under Q3 2026. CRA-drivna SBOM-verktyg, plattformar för sårbarhetshantering och infrastruktur för inbyggd säkerhet passar in där arbetet är genuint innovativt eller digitaliserande för produktionsprocessen.
  • KPO (Krajowy Plan Odbudowy) är Polens återhämtnings- och resiliensplan med ett totalt belopp på ungefär 54,7 miljarder EUR (25,3 miljarder EUR i bidrag och 29,4 miljarder EUR i förmånliga lån). KPO-investeringar måste vara genomförda senast den 31 augusti 2026 under NextGenerationEU-solnedgången, med slutliga betalningsansökningar senast den 30 september 2026. KPO är därför inte ett realistiskt planeringsverktyg för CRA-deadlinen den 11 december 2027.
  • Regionala SME-cybersäkerhetsbidrag via PARP och de regionala operativa programmen ligger typiskt i intervallet 20 000 till 200 000 PLN och täcker diagnostiska revisioner, utbildning i säker utveckling och verktygspilotprojekt. Användbara för en initial diagnos, inte för hela CRA-programmet.

För efterlevnadsinvesteringar daterade mot deadlinen den 11 december 2027 är den realistiska offentliga finansieringsbilden i Polen FENG (Prioritet 5 och fonden för digital omställning) plus regionala SME-program.

Vanliga frågor

Vilken polsk CSIRT tar emot mina CRA-sårbarhetsanmälningar?

CSIRT NASK, den nationella CSIRT:en för civilsektorn, när tillverkarens huvudsakliga etablering är i Polen. CSIRT MON (militär) och CSIRT GOV (central statsförvaltning) är utanför tillämpningsområdet för kommersiella produkttillverkare. Rapporter lämnas in via ENISA:s gemensamma rapporteringsplattform från och med den 11 september 2026, med CSIRT NASK som mottagande samordnare. CERT Polska är det sedan länge etablerade operativa varumärket inom NASK och publicerar polskspråkiga rådgivningar.

Vem utser polska anmälda organ, PCA eller ministeriet?

PCA (Polskie Centrum Akredytacji) är det enda polska nationella ackrediteringsorganet och håller på att utveckla CRA:s ackrediterings- och notifieringsschema. PCA ackrediterar kandidatorganen under ISO/IEC 17065:2012. Den notifieringsmyndighet som formellt kommer att utse polska CRA-anmälda organ till Europeiska kommissionen har ännu inte bekräftats i Dziennik Ustaw. Ministerstwo Cyfryzacji är den ledande kandidaten baserat på sin konsultationsroll, och det formella utpekandet kommer att finnas i det polska genomförandeinstrumentet. En polsk tillverkare kan fortfarande använda vilket EU-anmält organ som helst för CRA-bedömning av överensstämmelse.

Ersätter cyberresiliensförordningen mina KSC-skyldigheter, eller behöver jag båda?

Båda. Den ändrade KSC-lagen (i kraft sedan den 3 april 2026) täcker din organisation som en nyckel- eller viktig enhet. Cyberresiliensförordningen täcker varje produkt med digitala element som du placerar på EU-marknaden. De överlappar på CSIRT-routing (CSIRT NASK tar emot båda) och på de underliggande säkerhetsdisciplinerna, men de ersätter inte varandra. En polsk tillverkare som också är en KSC-enhet bär båda regelverken, med separata registreringsanmälningar, separata rapporteringsflöden och separata böter (KSC upp till 100 miljoner PLN, cyberresiliensförordningen upp till 15 miljoner EUR eller 2,5 procent av global omsättning).

Vilken polsk myndighet är marknadskontrollmyndighet för CRA?

Verifiera det slutliga utpekandet i Dziennik Ustaw innan du gör någon formell anmälan. Ministerstwo Cyfryzacji leder konsultationen om genomförandeinstrumentet och är den mest sannolika kandidaten, med PCA och en sektoriell myndighet (UKE eller UOKiK) som möjliga stödjande beroende på produktkategori. Kontrollera det slutliga utpekandet i det polska genomförandeinstrumentet innan du gör någon formell anmälan. CRA-rapporteringsflödet via CSIRT NASK fungerar oavsett hur marknadskontrollrollerna fördelas.

När publicerar Polen sin nationella CRA-genomförandelag i Dziennik Ustaw?

Cyberresiliensförordningen är en EU-förordning med direkt effekt, så Polen behöver inte transponera den till nationell lag för att de materiella skyldigheterna ska gälla den 11 december 2027. Vad Polen behöver för ramverket den 11 juni 2026 är ett genomförandeinstrument (troligen en ustawa eller rozporządzenie) som formellt utser marknadskontrollmyndigheten för CRA, notifieringsmyndigheten för organ för bedömning av överensstämmelse och den nationella kontaktpunkten, samt fastställer den polska böteskalan inom CRA:s EU-nivåtak. Ministerstwo Cyfryzacji har kört konsultationen. Ramverksdatumet 11 juni 2026 har nu passerat. Verifiera det slutliga Dziennik Ustaw-instrumentet innan du förlitar dig på utkast till utpekanden och behandla tidigare branschhänvisningar som preliminära tills texten är publicerad.

Behöver jag översätta allt till polska för B2B-försäljning?

För produkter som placeras på den polska marknaden med slutanvändare i Polen, ja. Cyberresiliensförordningen kräver användarinformation på polska. Artiklarna 7 och 7a i 1999 års polska språklag kräver självständigt polska för konsumentproduktbenämningar, garantivillkor, bruksanvisningar och produktegenskapsinformation. B2B-försäljning mellan yrkesverksamma har viss flexibilitet vad gäller kontraktsspråket, men skyldigheten enligt cyberresiliensförordningen gör ingen sådan åtskillnad när produkten väl är placerad på den polska marknaden. Planera för att leverera polsk användarinformation, polsk upplysning om supportperiod och polska tillverkarkontaktuppgifter i både konsument- och yrkeskanaler. Varumärken, vetenskaplig terminologi och vedertagna tekniska termer är uttryckligen undantagna från det polska språkkravet.

Kan FENG- eller KPO-medel betala för mina CRA-efterlevnadsverktyg?

FENG ja, där arbetet är genuint innovativt eller digitaliserande för produktionsprocessen. Prioritet 5 infördes genom FENG/STEP-ändringen 2025 och täcker cybersäkerhet, och fonden för digital omställning och miljövänliga investeringar inom FENG öppnar SME-låneansökningar under Q3 2026. Rent efterlevnadsarbete (revisioner, avgifter för bedömning av överensstämmelse) är svårare att passa in. KPO befinner sig i sitt avslutande NextGenerationEU-fönster med projektgenomförande senast den 31 augusti 2026 och slutliga betalningsansökningar senast den 30 september 2026, så det är inte ett realistiskt planeringsverktyg för deadlinen den 11 december 2027.

Jag levererar från Polen till andra EU-medlemsstater. Var rapporterar jag incidenter?

Via CSIRT NASK, oavsett vilka medlemsstater du levererar till. Cyberresiliensförordningen kopplar anmälningsrouting till huvudsaklig etablering, inte till destination per leverans. Språkkravet sprider sig däremot per marknad: tyskt användarinnehåll för produkter levererade till Tyskland, tjeckiskt för produkter levererade till Tjeckien och så vidare. Förbered i förväg åtminstone de mest efterfrågade avsnitten i teknisk dokumentation på ett allmänt använt arbetsspråk för att hantera gränsöverskridande motiverade begäranden från andra medlemsstaters marknadskontrollmyndigheter.

För polska tillverkare som förbereder sig inför 11 december 2027

  1. Bekräfta dina tillverkarskyldigheter med hjälp av klusterguiden för tillverkare.
  2. Verifiera att din huvudsakliga etablering är i Polen och dokumentera motiveringen. Det är platsen för cybersäkerhetsbeslut, inte det registrerade sätet, som spelar roll.
  3. Kartlägg ditt CRA-rapporteringsflöde till CSIRT NASK, med en testad inlämning till ENISA:s gemensamma rapporteringsplattform när den tas i drift den 11 september 2026.
  4. Gör en KSC-självidentifieringskontroll senast den 3 oktober 2026 om du också är en nyckel- eller viktig enhet. Behandla KSC och cyberresiliensförordningen som två separata efterlevnadsflöden som delar CSIRT NASK-routing men inte skyldigheterna.
  5. Om din väg för bedömning av överensstämmelse kräver ett anmält organ, undersök PCA-ackrediterade organ som hemmamarknadens alternativ plus ett gränsöverskridande alternativ. Håll utkik i Dziennik Ustaw efter det polska notifieringsmyndighetens utpekande.
  6. Översätt bruksanvisningar till polska under 1999 års lag. Lägg till marknadsspecifika översättningar för de andra EU-medlemsstater du levererar till.
  7. Undersök FENG Prioritet 5 och fonden för digital omställning för eventuella cybersäkerhetsinvesteringar. Planera inte mot KPO för 2027-skyldigheter.
  8. Läs leverantörens due diligence-frågeformulär för ramverket för komponent-due-diligence på tillverkarsidan.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. Konsultera kvalificerade juridiska rådgivare för specifik CRA-efterlevnadsvägledning.

CRA Polen Sårbarhetshantering
Share

Relaterade artiklar

Tillbaka till alla artiklar

Gäller CRA för din produkt?

Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.

Kontrollera nu

Redo att uppnå CRA-efterlevnad?

Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.

Starta 14-dagars gratis provperiod

Djupdykning i CRA-ämnen

Tidlösa guider om de krav, processer och roller som anges i EU:s cyberresiliensförordning (CRA).

EU-försäkran om överensstämmelse

Vad EU-försäkran om överensstämmelse måste innehålla, vem som undertecknar den och när den krävs.

Läs guiden →
Bedömning av överensstämmelse

Hur överensstämmelsebedömning fungerar under CRA och när ett anmält organ krävs.

Läs guiden →
Europeisk cybersäkerhetscertifiering (EUCC)

Hur EUCC-certifieringssystemet fungerar och när det kan stödja CRA-överensstämmelse.

Läs guiden →
Teknisk dokumentation

Vad CRA:s tekniska dokumentation måste innehålla (Bilaga VII avsnitt för avsnitt) och hur tillverkare bör strukturera den.

Läs guiden →
SBOM-krav

Vad CRA kräver för SBOM:er och hur BSI TR-03183 definierar kvalitetskriterier.

Läs guiden →
Rapportering av sårbarheter

Hur kravet på 24-timmarsanmälan till ENISA fungerar och vad som räknas som en aktivt utnyttjad sårbarhet.

Läs guiden →
Importörens skyldigheter

Vad artikel 19 kräver av importörer och hur tillverkarens efterlevnad verifieras.

Läs guiden →
Planering av supportperiod

Vad CRA:s skyldighet om supportperiod innebär för säkerhetsuppdateringar och end-of-life-planering.

Läs guiden →
Visa hela guiden för CRA-efterlevnad