Transpozycja NIS2 w 2026 r.: stan prawny w każdym państwie członkowskim UE (i co to oznacza dla działalności transgranicznej)

W skrócie

Dyrektywa NIS2 (dyrektywa (UE) 2022/2555) zobowiązywała każde państwo członkowskie UE do transpozycji jej przepisów do krajowego porządku prawnego do 17 października 2024 r. Termin minął — i tylko Belgia, Chorwacja, Włochy oraz Litwa dotrzymały terminu. Według stanu na maj 2026 r. 22 z 27 państw członkowskich przyjęło już ustawy transponujące, jednak pięć — Francja, Irlandia, Luksemburg, Holandia i Hiszpania — pozostaje w procedurze ustawodawczej. Komisja Europejska wszczęła w listopadzie 2024 r. postępowania w sprawie uchybienia zobowiązaniom państwa członkowskiego wobec 23 krajów, a 7 maja 2025 r. eskalowała sprawę do uzasadnionych opinii skierowanych przeciwko 19 z nich. Dla przedsiębiorstw działających transgranicznie oznacza to różne daty wejścia w życie, różne organy właściwe, różne ścieżki zgłaszania incydentów i różne struktury kar — wszystko w ramach tej samej dyrektywy. Niniejszy artykuł mapuje zweryfikowany status we wszystkich 27 państwach członkowskich, wskazuje pierwotne źródła, identyfikuje pułapki zgodności transgranicznej oraz proponuje praktyczne ramy działania w tej mozaice.

Dlaczego luka transpozycyjna jest problemem biznesowym, a nie prawniczą ciekawostką

NIS2 jest dyrektywą, a nie rozporządzeniem. W odróżnieniu od RODO — które obowiązuje w sposób jednolity w całej UE od jednej daty — dyrektywy wymagają transpozycji do prawa krajowego każdego państwa członkowskiego, zanim wywołają skutki. Każdy kraj samodzielnie decyduje, jaki organ ma ją egzekwować, w jaki sposób w praktyce zgłaszane są incydenty oraz które podmioty kwalifikują się jako „kluczowe” lub „ważne” ponad dyrektywowe minimum (art. 2 ust. 2 wprost dopuszcza rozszerzenie zakresu).

Teoretycznie ten model ma sens: państwa członkowskie najlepiej znają własne struktury administracyjne. W praktyce tworzy on jednak złożoność operacyjną dla każdego przedsiębiorstwa działającego w więcej niż jednym kraju. Dostawca usług IT z klientami w Niemczech, we Włoszech i w Polsce musi obecnie poruszać się po trzech ustawach transponujących, które wszystkie wywodzą się z tej samej dyrektywy, lecz różnią się szczegółami proceduralnymi. Platforma SaaS z użytkownikami w całej UE musi wiedzieć, którego organu krajowego zawiadomić w razie wystąpienia incydentu — na podstawie art. 26 odpowiedź zależy od tego, gdzie znajduje się jej główny zakład, przy czym zakłady wtórne mogą wywołać równoległe obowiązki.

Termin październikowy 2024 r. miał wymusić harmonizację. Nie wymusił. Według stanu na maj 2026 r. pięć państw członkowskich nadal ma projekty ustaw na etapie procedury legislacyjnej, a Komisja Europejska wydała uzasadnione opinie wobec 19 państw (drugi etap postępowania o uchybienie zobowiązaniom państwa członkowskiego, bezpośrednio poprzedzający skierowanie sprawy do TSUE). Bułgaria została — według doniesień branżowych — skierowana do TSUE. Przedsiębiorstwa nie powinny interpretować opóźnienia jako pobłażliwości: po przyjęciu ustawy krajowej kilka państw zastosowało krótkie lub zerowe okresy przejściowe.

Praktyczny wniosek: znajomość samego tekstu dyrektywy nie wystarczy. Należy znać SWOJĄ krajową ustawę transponującą oraz ustawę transponującą każdego państwa, w którym prowadzi się działalność.

Zweryfikowany status transpozycji według państw członkowskich (maj 2026)

Poniższy przegląd przedstawia, dla każdego z 27 państw członkowskich, akt transponujący, datę publikacji w dzienniku urzędowym, datę wejścia w życie oraz wyznaczony organ właściwy. Każdy wpis został zweryfikowany wobec krajowego dziennika urzędowego lub oficjalnej strony organu właściwego (zob. Źródła na końcu). Jest to obraz w ruchu — przed podjęciem decyzji w zakresie zgodności należy zweryfikować konkretną pozycję.

Transponowane i obowiązujące (19 państw członkowskich)

• Belgia — Loi/Wet z 26 kwietnia 2024 r. transponująca NIS2, opublikowana w Moniteur belge / Belgisch Staatsblad 17 maja 2024 r.; weszła w życie 18 października 2024 r. Organ właściwy: Centre for Cybersecurity Belgium (CCB). Belgia jako pierwsza uruchomiła zgłoszenia poprzez portal i odsyła do ramy CyFun® jako ścieżki dochodzenia do zgodności.
• Bułgaria — Закон за изменение и допълнение на Закона за киберсигурност, Държавен вестник nr 17 z 13 lutego 2026 r.; w mocy od 13 lutego 2026 r. Koordynator: Krajowy Koordynator ds. Cyberbezpieczeństwa. Bułgaria — według wielu źródeł branżowych — została skierowana przez Komisję do TSUE w maju 2025 r. jeszcze przed przyjęciem ustawy.
• Chorwacja — Zakon o kibernetičkoj sigurnosti, Narodne novine nr 14/2024 z 14 lutego 2024 r.; w mocy od 15 lutego 2024 r. Pierwsze państwo członkowskie, które dokonało transpozycji — osiem miesięcy przed terminem. Organ właściwy: Nacionalni centar za kibernetičku sigurnost (NCSC-HR), działający w ramach SOA.
• Cypr — Network and Information Systems Security (Amendment) Law L. 60(I)/2025, opublikowana 25 kwietnia 2025 r. Organ właściwy: Digital Security Authority (DSA). Adresat uzasadnionej opinii Komisji z 7 maja 2025 r. (wydanej zanim notyfikacja publikacji została w pełni zakończona).
• Czechy — Zákon č. 264/2025 Sb. o kybernetické bezpečnosti, Sbírka zákonů z 4 sierpnia 2025 r.; w mocy od 1 listopada 2025 r. Nowy samodzielny akt (a nie nowelizacja poprzedniej ustawy 181/2014). Organ właściwy: Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). 24-godzinny termin zgłoszenia incydentu; termin rejestracji do końca grudnia 2025 r.
• Dania — Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (LOV nr. 434 z 6 maja 2025 r.), Lovtidende z 7 maja 2025 r.; w mocy od 1 lipca 2025 r. Organ właściwy: Center for Cybersikkerhed (CFCS) podległy Forsvarets Efterretningstjeneste, z organami sektorowymi w określonych domenach. Termin rejestracji 1 października 2025 r. za pośrednictwem portalu Virk z użyciem MitID.
• Estonia — Küberturvalisuse seaduse ja teiste seaduste muutmise seadus, Riigi Teataja, grudzień 2025 r.; w mocy od 1 stycznia 2026 r. Organ właściwy: Riigi Infosüsteemi Amet (RIA). Zakres rozszerzony z około 3 500 do 5 500–7 000 podmiotów. Trzyletni okres przejściowy na pełne dostosowanie.
• Finlandia — Kyberturvallisuuslaki (Säädöskokoelma 124/2025), uchwalona 13 marca 2025 r.; w mocy od 8 kwietnia 2025 r. Model zdecentralizowany: sektorowe organy nadzorcze, przy czym Liikenne- ja viestintävirasto Traficom prowadzi krajowe centrum cyberbezpieczeństwa jako pojedynczy punkt kontaktowy. Termin rejestracji 8 maja 2025 r.; termin wdrożenia modelu operacyjnego zarządzania ryzykiem 8 lipca 2025 r.
• Niemcy — NIS-2-Umsetzungsgesetz (NIS2UmsuCG), BGBl. 2025 I Nr. 301, opublikowana 5 grudnia 2025 r.; w mocy od 6 grudnia 2025 r. Uchwalenie przez Bundestag 13 listopada 2025 r.; przez Bundesrat 21 listopada 2025 r. Organ właściwy: Bundesamt für Sicherheit in der Informationstechnik (BSI). Około 29 500 podmiotów w 18 sektorach. Czternastomiesięczne opóźnienie wobec terminu wynikało z rozpadu koalicji Ampel pod koniec 2024 r.
• Grecja — Νόμος 5160/2024, ΦΕΚ A' 188 z 27 listopada 2024 r.; w mocy od 28 listopada 2024 r. Organ właściwy: Εθνική Αρχή Κυβερνοασφάλειας (Krajowy Urząd Cyberbezpieczeństwa — NCSA), powołany na mocy ustawy 5086/2024, nadzorowany przez Ministra Zarządzania Cyfrowego. W 2025 r. wydano akty wykonawcze ministerstwa nr 1645/2025 i 1689/2025.
• Węgry — 2024. évi LXIX. törvény Magyarország kiberbiztonságáról (ustawa LXIX z 2024 r. o cyberbezpieczeństwie Węgier), Magyar Közlöny nr 130 z 20 grudnia 2024 r.; w mocy od 1 stycznia 2025 r. Uchyliła ustawę XXIII z 2023 r. Organ właściwy: Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH). Akt wykonawczy: rozporządzenie rządu 418/2024.
• Włochy — Decreto Legislativo 4 settembre 2024, n. 138, Gazzetta Ufficiale, Serie Generale n. 230 z 1 października 2024 r.; w mocy od 16 października 2024 r. Organ właściwy: Agenzia per la Cybersicurezza Nazionale (ACN), z organami sektorowymi w określonych domenach. Włochy włączyły do zakresu więcej sektorów, niż wymaga dyrektywa, i prowadzą roczną rejestrację za pośrednictwem platformy ACN od 1 grudnia 2024 r.
• Łotwa — Nacionālās kiberdrošības likums (NKDL), Latvijas Vēstnesis, czerwiec 2024 r.; w mocy od 1 września 2024 r. Organ właściwy: Nacionālais kiberdrošības centrs (Krajowe Centrum Cyberbezpieczeństwa) przy Ministerstwie Obrony; CERT.LV obsługuje reagowanie na incydenty. Rejestr samoidentyfikacji: termin 1 kwietnia 2025 r.; wyznaczenie kierownika ds. cyberbezpieczeństwa oraz pierwsza samoocena: do 1 października 2025 r.
• Litwa — Kibernetinio saugumo įstatymas (znowelizowana), Teisės aktų registras, lipiec 2024 r.; w mocy od 18 października 2024 r. Organ właściwy: Nacionalinis kibernetinio saugumo centras (NKSC) przy Ministerstwie Obrony Narodowej. Rozporządzenie wykonawcze rządu z 6 listopada 2024 r. określa wymogi techniczne i organizacyjne.
• Polska — Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, Dziennik Ustaw z 2 marca 2026 r.; w mocy od 2 kwietnia 2026 r. (jednomiesięczne vacatio legis). Sejm uchwalił ustawę 23 stycznia 2026 r.; Senat 28 stycznia 2026 r.; podpis Prezydenta RP 19 lutego 2026 r. Organy właściwe: Minister Cyfryzacji oraz CSIRT-y poziomu krajowego (CSIRT GOV, CSIRT MON, CSIRT NASK). Dwunastomiesięczny okres dostosowawczy do 2 kwietnia 2027 r.
• Rumunia — Ordonanța de Urgență 155/2024, Monitorul Oficial 1334 z 30 grudnia 2024 r.; w mocy od stycznia 2025 r. Zatwierdzona i znowelizowana ustawą 124/2025, w mocy od 10 lipca 2025 r. Organ właściwy: Directoratul Național de Securitate Cibernetică (DNSC). Rumunia transponowała w trybie nadzwyczajnej ordonansy ze względu na presję terminu; trzydziestodniowy termin rejestracji uruchomiony we wrześniu 2025 r.
• Słowacja — Zákon č. 366/2024 Z. z., Zbierka zákonov z 19 grudnia 2024 r.; w mocy od 1 stycznia 2025 r. Nowelizacja istniejącej ustawy 69/2018 o cyberbezpieczeństwie, a nie jej zastąpienie. Organ właściwy: Národný bezpečnostný úrad (NBÚ); SK-CERT obsługuje reagowanie na incydenty. Około 10 000 podmiotów w zakresie; rejestracja w JISKB do 1 marca 2025 r.; pełna zgodność do 31 grudnia 2026 r.
• Słowenia — Zakon o informacijski varnosti (ZInfV-1), Uradni list RS št. 40/25 z 4 czerwca 2025 r.; w mocy od 19 czerwca 2025 r. Jedna ustawa transponuje również Cyber Solidarity Act oraz Cybersecurity Act (rozporządzenie 2025/38). Organ właściwy: Urad Vlade Republike Slovenije za informacijsko varnost (URSIV); SI-CERT obsługuje reagowanie na incydenty. Adresat postępowania Komisji w sprawie uchybienia, wszczętego w maju 2025 r. Pierwszy termin samorejestracji: 19 grudnia 2025 r.
• Szwecja — Cybersäkerhetslag (SFS 2025:1506), promulgowana w grudniu 2025 r.; w mocy od 15 stycznia 2026 r. Uchyla wcześniejszą Lag om informationssäkerhet (2018:1174). Model zdecentralizowany, prowadzony sektorowo: sektorowe organy nadzorcze (np. PTS dla telekomunikacji), z MSB (Myndigheten för samhällsskydd och beredskap) jako koordynatorem. Towarzyszące rozporządzenie wskazuje organy nadzorcze.

Transponowane, ale termin wejścia w życie pozostaje przyszły

• Austria — Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026), BGBl. I Nr. 94/2025 z 23 grudnia 2025 r.; wejście w życie 1 października 2026 r. (dziewięciomiesięczne vacatio legis). Organ właściwy: Bundesministerium für Inneres (BMI). Istotny kontekst: wcześniejszy projekt „NISG 2024” został ODRZUCONY przez Nationalrat 3 lipca 2024 r.; nowa koalicja rządowa musiała wnieść drugi projekt — stąd długie opóźnienie.
• Portugalia — Decreto-Lei n.º 125/2025, Diário da República z 4 grudnia 2025 r.; wejście w życie 3 kwietnia 2026 r. (120-dniowe vacatio legis). Zatwierdza nowy Regime Jurídico da Cibersegurança. Organ właściwy: Centro Nacional de Cibersegurança (CNCS). Dwunastomiesięczny okres dostosowawczy: w pierwszym roku podmioty mogą wnioskować o tymczasowe odstąpienie od kar po wykazaniu działań w dobrej wierze.

Transponowane (akt opublikowany, oczekiwane wydanie aktów wykonawczych przez ministra)

• Malta — Measures for a High Common Level of Cybersecurity across the European Union (Malta) Order, 2025 — Subsidiary Legislation 460.41 (Legal Notice 71 of 2025), opublikowane 8 kwietnia 2025 r. Organ właściwy: Critical Infrastructure Protection (CIP) Department w Ministry for Home Affairs. Przepisy materialne wchodzą w życie w dniach wskazanych przez Ministra w zawiadomieniach o wejściu w życie.

W procedurze ustawodawczej (pięć państw członkowskich)

• Francja — Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (tzw. „ustawa o odporności”) łączący transpozycję NIS2, dyrektywy CER o odporności podmiotów krytycznych oraz DORA w jednej ustawie. Pierwsze czytanie w Senacie marzec 2025 r.; głosowanie komisji specjalnej w Zgromadzeniu Narodowym 10 września 2025 r. Ostateczne uchwalenie przewidywane obecnie podczas sesji nadzwyczajnej w lipcu 2026 r.; dekrety wykonawcze ANSSI spodziewane w II kw. 2026 r. Wyznaczony organ właściwy: Agence nationale de la sécurité des systèmes d'information (ANSSI). ANSSI opublikowała 17 marca 2026 r. Référentiel Cyber France (ReCyF) jako przygotowawczy dokument referencyjny techniczny.
• Irlandia — National Cyber Security Bill 2024 (General Scheme opublikowany 30 sierpnia 2024 r.). Wybory parlamentarne w Irlandii w 2024 r. przerwały harmonogram legislacyjny; trwa pre-legislative scrutiny. Adresat uzasadnionej opinii Komisji z 7 maja 2025 r. Organ właściwy w projekcie: National Cyber Security Centre (NCSC), wraz z regulatorami sektorowymi, w tym ComReg.
• Luksemburg — Projet de loi 8364, złożony w Chambre des Députés 13 marca 2024 r.; uzupełniająca opinia Rady Stanu z grudnia 2025 r. Oczekiwanie na uchwalenie przez Izbę według stanu na maj 2026 r. Adresat uzasadnionej opinii Komisji z 7 maja 2025 r. Organ właściwy w projekcie: Institut Luxembourgeois de Régulation (ILR).
• Holandia — Cyberbeveiligingswet (Cbw), wetsvoorstel 36764. Tweede Kamer uchwaliła ustawę 15 kwietnia 2026 r.; głosowanie Eerste Kamer pozostaje oczekiwane. Planowane wejście w życie: 1 lipca 2026 r. Uwaga: ustawa nosi nazwę Cyberbeveiligingswet, NIE „Wbni2” — zastępuje istniejącą Wbni, a nie kontynuuje jej oznaczenia. Towarzyszący Wet weerbaarheid kritieke entiteiten (Wwke) transponuje równolegle dyrektywę CER. Organ właściwy: Nationaal Cyber Security Centrum (NCSC), podległy Ministerstwu Sprawiedliwości i Bezpieczeństwa, wraz z regulatorami sektorowymi.
• Hiszpania — Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Rada Ministrów zatwierdziła projekt 14 stycznia 2025 r.; oczekiwanie na debatę parlamentarną w Cortes Generales według stanu na maj 2026 r. Adresat uzasadnionej opinii Komisji z 7 maja 2025 r.; postępowanie w sprawie uchybienia wszczęte w listopadzie 2024 r. Projekt powołuje nowe Centro Nacional de Ciberseguridad (CNC) przy Sekretariacie Generalnym Prezydencji Rządu, przy zachowaniu sektorowych ról przez istniejące CCN-CERT, INCIBE-CERT i ESPDEF-CERT.

Górne pułapy kar w państwach członkowskich

Niemal każda ustawa transponująca stosuje minimalne pułapy z dyrektywy w niezmienionej formie: podmioty kluczowe — 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu, w zależności od tego, która z tych kwot jest wyższa; podmioty ważne — 7 000 000 EUR lub 1,4% całkowitego rocznego światowego obrotu, w zależności od tego, która z tych kwot jest wyższa (NIS2 art. 34 ust. 4–5). Krajowe odstępstwa są ograniczone i mają charakter proceduralny, a nie pułapowy: Węgry dodają strukturę administracyjnych pułapów rzędu 50–350 mln HUF, a Rumunia wyraża pułapy zarówno w EUR, jak i w wartościach procentowych. Tam, gdzie państwa członkowskie pozostawiły sektorowe maksima sprzed NIS2 (np. w energetyce lub telekomunikacji), funkcjonują one zwykle obok pułapów NIS2, a nie zamiast nich. Minimalne pułapy dyrektywy należy traktować jako bazowe założenie modelowania, a krajowe rozwarstwienia weryfikować z lokalną kancelarią.

Aktywność Komisji Europejskiej w sprawie uchybień

28 listopada 2024 r. Komisja skierowała wezwania do usunięcia uchybienia (letters of formal notice) wobec 23 państw członkowskich za niedopełnienie pełnej notyfikacji transpozycji NIS2 (z wyjątkiem Belgii, Chorwacji, Włoch i Litwy). 7 maja 2025 r. Komisja eskalowała sprawę do uzasadnionych opinii wobec 19 państw członkowskich: Bułgarii, Czech, Danii, Niemiec, Estonii, Irlandii, Hiszpanii, Francji, Cypru, Łotwy, Luksemburga, Węgier, Holandii, Austrii, Polski, Portugalii, Słowenii, Finlandii i Szwecji. Bułgaria — według doniesień branżowych — została skierowana do TSUE. W miarę jak państwa członkowskie kontynuowały transpozycję w 2025 r. i w 2026 r., część uzasadnionych opinii została faktycznie zdezaktualizowana przez bieg wydarzeń; inne (zwłaszcza wobec pięciu państw nadal zalegających) pozostają aktywne.

Pole minowe zgodności transgranicznej

Jeżeli organizacja działa w więcej niż jednym państwie członkowskim UE, oto konkretne pułapki, jakie tworzy obecna mozaika.

Pułapka 1: który organ właściwy zawiadomić?

Na podstawie art. 23 NIS2 istotne incydenty wymagają wczesnego ostrzeżenia w ciągu 24 godzin, zgłoszenia incydentu w ciągu 72 godzin oraz raportu końcowego w ciągu jednego miesiąca. Art. 26 ustanawia reguły jurysdykcyjne: podmiot co do zasady podlega jurysdykcji państwa członkowskiego, w którym ma siedzibę; w przypadku podmiotów działających w wielu państwach członkowskich „głównym zakładem” jest państwo, w którym podejmowana jest przeważająca część decyzji w zakresie zarządzania ryzykiem cyberbezpieczeństwa. Gdy lokalizacji tej nie da się ustalić lub znajduje się poza Unią, jurysdykcja przypada państwu członkowskiemu, w którym wykonywane są operacje cyberbezpieczeństwa, a w ostateczności — państwu o największej liczbie zatrudnionych. Podmioty spoza UE świadczące usługi objęte zakresem muszą wyznaczyć przedstawiciela na podstawie art. 26 ust. 3.

Praktyczna implikacja: jeżeli prowadzimy SaaS z siedzibą w Niemczech, z operacjami we Francji, we Włoszech i w Hiszpanii, awaria chmury obejmująca całą UE uruchamia zgłoszenie do BSI jako głównego organu właściwego. To, czy wymagane są wtórne notyfikacje wobec ANSSI, ACN, INCIBE lub innych regulatorów sektorowych, zależy od struktury podmiotów, ustaleń dotyczących punktów kontaktowych przewidzianych w każdej ustawie krajowej oraz ewentualnych nakładek sektorowych. Najbezpieczniejsze podejście: zbudować macierz obowiązków zgłoszeniowych w podziale na państwa zanim wystąpi incydent.

Pułapka 2: różne progi zakresu

NIS2 ustanawia minimalne kryteria zakresu (podmioty średnie i duże w wymienionych sektorach). Art. 2 ust. 2 wprost dopuszcza rozszerzenie zakresu przez państwa członkowskie i kilka z nich z tej możliwości skorzystało. Włochy włączyły w D.Lgs. 138/2024 więcej sektorów niż minimum dyrektywowe. Niemiecka NIS2UmsuCG obejmuje około 29 500 podmiotów w 18 sektorach. Węgry stosują dodatkową warstwę „klas bezpieczeństwa” (podstawowa, znacząca, wysoka) ponad rozróżnieniem na podmioty kluczowe i ważne. Estonia rozszerzyła zakres tak, że populacja regulowanych podmiotów uległa zasadniczo podwojeniu w porównaniu z NIS1.

Organizacja może być poza zakresem we własnym kraju, a w zakresie dla operacji w sąsiednim państwie członkowskim. Założenie „jesteśmy zbyt mali na NIS2” wyłącznie na podstawie tekstu dyrektywy jest pułapką. Prawo krajowe należy zawsze sprawdzać oddzielnie.

Pułapka 3: pułapy kar są w większości jednolite — różni się jednak warstwa proceduralna

Jak wskazano powyżej, niemal każde państwo członkowskie zastosowało minimalne pułapy dyrektywy w niezmienionej formie. Istotne zróżnicowanie ma charakter proceduralny, a nie absolutny: dotyczy sposobu obliczania kar w odniesieniu do obrotu, czynników, które organy biorą pod uwagę przy ustalaniu wysokości kary, możliwości narastania dziennych kar przymusowych w razie niewykonania wiążących nakazów oraz interakcji postępowań administracyjnych z odpowiedzialnością karną. Modelując inwestycje w zgodność, należy traktować pułapy dyrektywy jako dolną granicę i weryfikować krajowe mechanizmy zaostrzające z lokalną kancelarią.

Pułapka 4: różnice w odpowiedzialności organów zarządzających

Art. 20 ust. 1 NIS2 wymaga, aby organy zarządzające podmiotów kluczowych i ważnych zatwierdzały środki zarządzania ryzykiem cyberbezpieczeństwa, nadzorowały ich wdrożenie i mogły ponosić odpowiedzialność za uchybienia. Państwa członkowskie wdrażają to różnie. Włoska D.Lgs. 138/2024 wprost przewiduje, że ACN może nakładać — jako akcesoryjną sankcję administracyjną — czasową „niezdolność do pełnienia funkcji kierowniczych” wobec członków organów zarządzających ponownie naruszających obowiązki podmiotów kluczowych. Niemiecka NIS2UmsuCG przewiduje osobistą odpowiedzialność członków Geschäftsführer i Vorstand, w tym potencjalne kary osobiste i czasowe zakazy pełnienia funkcji kierowniczych. Holenderska Cyberbeveiligingswet (uchwalona przez Tweede Kamer w kwietniu 2026 r.) eskaluje od nakazów naprawczych do kar i dyskwalifikacji odpowiedzialnych członków zarządu w przypadku poważnych naruszeń.

Osobista ekspozycja CEO lub CISO zależy zatem częściowo od lokalizacji siedziby spółki, a częściowo od stosowanego przez krajowy organ progu wagi naruszenia. Tę mapę warto sporządzić z wyprzedzeniem; nie należy odkrywać jej dopiero w toku postępowania egzekucyjnego.

Pułapka 5: kanały zgłoszeń i języki

Każdy krajowy organ prowadzi własny portal zgłoszeń: Melde- und Informationsportal BSI w Niemczech, platforma MonEspaceNIS2 ANSSI we Francji (po wejściu ustawy w życie), platforma ACN we Włoszech, system INCIBE-CERT w Hiszpanii, NCSC.nl oraz english.ncsc.nl w Holandii. Większość działa głównie w języku narodowym państwa członkowskiego; holenderskie NCSC wprost udostępnia w pełni dwujęzyczny portal w języku niderlandzkim i angielskim. W przypadku pozostałych państw członkowskich należy zakładać konieczność zgłoszenia w języku narodowym, chyba że dokumenty wytycznych organu stanowią inaczej. Incydent obejmujący wiele państw UE zazwyczaj wymaga zatem wielojęzycznych notyfikacji w tym samym 24-godzinnym oknie. Wstępnie przetłumaczone szablony zgłoszeń oraz lokalnojęzyczne playbooki oszczędzają w czasie zdarzenia kluczowych godzin.

Praktyczne ramy działania w mozaice

W obliczu tej złożoności: co konkretnie powinno zrobić przedsiębiorstwo działające transgranicznie? Poniżej siedmiostopniowe ramy, które działają niezależnie od kraju pochodzenia czy sektora.

Krok 1: zmapuj swoją obecność prawną i operacyjną w UE

Należy zacząć od inwentaryzacji: gdzie jesteśmy zarejestrowani, gdzie mamy pracowników, gdzie znajdują się klienci, gdzie podwykonawcy? Dla każdego kraju, w którym mamy istotną obecność, trzeba ustalić, czy NIS2 ma zastosowanie i który reżim krajowy nas wiąże. To ćwiczenie nie jest wyłącznie prawnicze — wymaga wkładu CFO, CISO i kierownictwa operacyjnego. Wiele organizacji jest zaskakanych, gdy okazuje się, że luksemburska struktura holdingowa uruchamia luksemburskie obowiązki NIS2, mimo że działalność operacyjna prowadzona jest gdzie indziej.

Krok 2: ustal swój główny zakład zgodnie z art. 26

Zgodnie z art. 26 NIS2 dla większości podmiotów „główny zakład” oznacza państwo członkowskie UE, w którym podejmowana jest przeważająca część decyzji dotyczących zarządzania ryzykiem cyberbezpieczeństwa. Jest to często siedziba, ale może odbiegać — na przykład wówczas, gdy SOC lub kierownictwo bezpieczeństwa informacji znajduje się w innym kraju. To ustalenie należy uzyskać na piśmie, podpisane przez dział prawny. Wyznacza ono podstawowy organ właściwy i zasadniczo upraszcza zgłaszanie incydentów.

Krok 3: zbuduj macierz zgodności dla każdego kraju

Dla każdego państwa członkowskiego, w którym prowadzimy działalność, należy zbudować ustrukturyzowaną macierz zgodności obejmującą:

• Status prawny (transponowane i obowiązujące / transponowane oczekujące na wejście w życie / w procedurze ustawodawczej)
• Nazwę organu właściwego oraz kanały kontaktowe
• Terminy zgłoszeń (wczesne ostrzeżenie 24-godzinne, zgłoszenie 72-godzinne, raport końcowy w ciągu miesiąca)
• Lokalne rozszerzenia zakresu wykraczające poza dyrektywowe minimum
• Mające zastosowanie pułapy kar oraz nakładki proceduralne
• Mechanizmy odpowiedzialności organu zarządzającego (kary korporacyjne, kary osobiste, zakazy pełnienia funkcji kierowniczych)
• Wytyczne sektorowe wydane przez krajowy organ

Macierz ta jest operacyjnym centrum dowodzenia. Gdy wystąpi incydent, zespół reagowania otwiera ją i wie dokładnie, kogo, kiedy i w jaki sposób zawiadomić.

Krok 4: zbuduj zarządzanie ryzykiem cyberbezpieczeństwa na poziomie dyrektywowego minimum

Art. 21 NIS2 wymaga „odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych” w dziesięciu obszarach: polityki analizy ryzyka, obsługa incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, bezpieczeństwo w nabywaniu / rozwoju / utrzymaniu sieci i systemów informatycznych, ocena skuteczności, szkolenia, kryptografia, kontrola dostępu oraz uwierzytelnianie wieloskładnikowe. Zbudowanie programu bazowego pod tekst dyrektywy — a nie pod implementację jednego konkretnego państwa — jest najbezpieczniejszym podejściem. Ustawy krajowe nakładają dodatkowe szczegóły, ale dyrektywowa podstawa pozostaje jednolita.

Krok 5: poddaj swoje zdolności zgłaszania incydentów testom warunków skrajnych

Obowiązek wczesnego ostrzeżenia w ciągu 24 godzin jest najostrzejszym sprawdzianem operacyjnym gotowości NIS2. Większość organizacji nie docenia, jak szybko zaczyna biec ten zegar: rozpoczyna się on w chwili powzięcia wiedzy o istotnym incydencie, a nie w chwili pełnej mobilizacji zespołu reagowania. Niezbędne są dokumenty przygotowawcze, ścieżki decyzyjne zatwierdzone z wyprzedzeniem oraz szablon zgłoszenia dla każdego państwa członkowskiego, w którym prowadzimy działalność.

Należy przeprowadzić ćwiczenie typu tabletop. Symulacja istotnego incydentu w najbardziej złożonym scenariuszu wielokrajowym powinna obejmować pomiar czasu do pierwszego zgłoszenia. Jeżeli przekracza on 20 godzin — świadczy to o problemie.

Krok 6: zintegruj bezpieczeństwo łańcucha dostaw

Jedną z najbardziej wymagających nowości NIS2 w porównaniu z NIS1 jest formalne rozszerzenie obowiązków na dostawców. Art. 21 ust. 2 lit. d) wymaga „bezpieczeństwa łańcucha dostaw, w tym aspektów bezpieczeństwa dotyczących relacji między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami”. Oznacza to: mapowanie krytycznych dostawców, integrację klauzul bezpieczeństwa do kontraktów, prowadzenie regularnych przeglądów lub akceptację alternatyw takich jak certyfikacje stron trzecich oraz utrzymywanie procedur eskalacyjnych w przypadku incydentu u dostawcy. Państwa członkowskie i unijna polityka cyberbezpieczeństwa coraz wyraźniej kierują organizacje w stronę unijnych systemów certyfikacji cyberbezpieczeństwa, zamiast otwartych ankiet skierowanych do dostawców; program dostawców należy projektować tak, by absorbował ten kierunek zmian.

Krok 7: śledź postępowania w sprawie uchybień i kształtujące się orzecznictwo

Postępowania Komisji Europejskiej w sprawie uchybień przeciwko zalegającym państwom członkowskim nie są drobiazgiem — telegrafują one, gdzie transpozycja niedługo zapadnie i gdzie egzekucja prawdopodobnie się nasili. Państwa pod presją Komisji często transponują z krótszymi okresami przejściowymi, by wykazać dobrą wiarę. Śledzenie tych postępowań przez komunikaty prasowe Komisji (oraz dziennik publikacji w Dzienniku Urzędowym UE w EUR-Lex pod kątem nowo opublikowanych ustaw transponujących) pozwala przewidywać, gdzie oczekiwania zgodności mają się zaostrzyć. Należy także obserwować Trybunał Sprawiedliwości UE pod kątem orzeczeń prejudycjalnych interpretujących przepisy NIS2; pierwsze takie orzeczenia, gdy się pojawią, przeobrażą sposób, w jaki sądy krajowe interpretują egzekucję.

Najczęstsze pytania

Mój kraj jeszcze nie transponował NIS2. Czy mogę odwlec zgodność?

Nie. Trzy powody. Po pierwsze, pięć zalegających państw członkowskich pozostaje pod presją Komisji (uzasadnione opinie z 7 maja 2025 r.) i kilka z nich transponuje prawdopodobnie z krótkimi okresami przejściowymi. Po drugie, jeżeli prowadzimy działalność w którymkolwiek kraju, który już transponował, te obowiązki wiążą nas dziś dla tej jurysdykcji. Po trzecie, NIS2 stanowi minimalny standard higieny cyberbezpieczeństwa, który rynek — klienci, audytorzy, ubezpieczyciele — już traktuje jako oczekiwaną praktykę. Odkładanie zgodności do oficjalnego terminu kraju ojczystego jest fałszywą oszczędnością.

Jesteśmy małą firmą z mniej niż 50 pracownikami. Czy jesteśmy poza zakresem?

Prawdopodobnie tak, ale należy zweryfikować. Dyrektywa stosuje unijną definicję MŚP: podmioty średnie to te zatrudniające 50+ pracowników lub osiągające 10+ mln EUR obrotu. Ustawy krajowe mogą jednak rozszerzać zakres na podstawie art. 2 ust. 2 dla określonych sektorów, a niektóre wprost obejmują mniejsze podmioty świadczące usługi krytyczne (mikrosieci energetyczne, określeni dostawcy chmury i usług zarządzanych, wybrane elementy infrastruktury cyfrowej). Należy sprawdzić transpozycję we własnym kraju oraz w każdym państwie, w którym mamy istotne operacje.

Co jest najważniejszym pojedynczym działaniem w tym kwartale?

Wyznaczyć formalnie swój główny zakład zgodnie z art. 26 i udokumentować uzasadnienie. Odblokowuje to resztę programu zgodności: wskazuje, który krajowy organ jest podstawowym kontaktem, która krajowa ustawa jest tekstem regulującym i gdzie leży odpowiedzialność na poziomie zarządu. Organizacje pomijające ten krok kończą z równoległymi, zduplikowanymi programami zgodności w wielu jurysdykcjach, a mimo to nie spełniają swoich pierwotnych obowiązków zgłoszeniowych. Poprawne jego wykonanie zajmuje dwa tygodnie — i oszczędza całe kwartały bólu.

Czy potrzebujemy odrębnego stanowiska na wzór IOD dla RODO?

Nie, NIS2 nie wymaga inspektora ochrony danych. Wymaga natomiast odpowiedzialności organu zarządzającego na podstawie art. 20 oraz szkolenia całego personelu w zakresie cyberbezpieczeństwa. Większość dojrzałych organizacji ma CISO lub kierownika ds. bezpieczeństwa informacji pełniących równoważną rolę operacyjną. Liczy się formalne przypisanie odpowiedzialności, jej udokumentowanie i zasoby — nie konkretny tytuł.

Jakie pierwsze kary NIS2 odnotowano?

Według stanu na maj 2026 r. nie ujawniono publicznie żadnych istotnych administracyjnych kar NIS2 wobec wskazanych z nazwy podmiotów. Dotychczasowa aktywność egzekucyjna pozostaje na etapie zawiadomień nadzorczych. Niemiecki BSI rozpoczął w IV kw. 2025 r. wydawanie formalnych zawiadomień (Anordnungen) — według publicznie dostępnych danych około 47 — wobec podmiotów, które nie dokonały rejestracji lub nie wyznaczyły punktu kontaktowego, traktując priorytetowo sektor energetyczny i infrastrukturę cyfrową. Włoska ACN zidentyfikowała znaczącą populację — wedle szacunków około 2 000 — podmiotów, które nie zakończyły corocznej rejestracji do terminu 28 lutego 2026 r., i prowadzi wobec nich postępowania egzekucyjne. Komisja wydała uzasadnione opinie wobec 19 państw członkowskich za niepełną transpozycję, co stanowi odrębną (państwową) formę egzekucji. Pierwsze materialne kary pieniężne spodziewane są w 2026 r., a zarysowujący się wczesny wzorzec spraw jest spójny: organy nie karzą jeszcze niedoskonałego cyberbezpieczeństwa, lecz brak dokumentacji i niedotrzymanie terminów rejestracji.

Jak pozostać na bieżąco, gdy krajobraz zmienia się tak szybko?

Trzy źródła do śledzenia z priorytetem: komunikaty prasowe Komisji Europejskiej (postępowania w sprawie uchybień i akty wykonawcze), publikacje ENISA (sektorowe wytyczne techniczne) oraz raporty roczne krajowego organu (BSI, ANSSI, ACN, NCSC i odpowiedników). Należy unikać polegania na streszczeniach firm doradczych, które szybko się dezaktualizują — zmiany zachodzą zbyt szybko. Lepiej subskrybować bezpośrednio oficjalne kanały RSS. W zakresie aktualizacji regulacyjnych dziennik EUR-Lex publikujący Dziennik Urzędowy UE jest źródłem autorytatywnym dla nowo opublikowanych krajowych ustaw transponujących — można je zobaczyć w dniu publikacji, a nie wówczas, gdy doradca napisze o nich wiele tygodni później.

Jak NIS2 współgra z RODO przy incydencie obejmującym dane osobowe?

Należy zgłosić w obu reżimach, do różnych organów, w różnych terminach. Art. 33 RODO wymaga zawiadomienia organu nadzorczego ds. ochrony danych w ciągu 72 godzin. Art. 23 NIS2 wymaga wczesnego ostrzeżenia organu właściwego ds. cyberbezpieczeństwa w ciągu 24 godzin. Są to odrębne obowiązki wobec odrębnych organów, z odrębnymi karami. Procedurę reagowania na incydenty należy zbudować tak, aby od chwili powzięcia wiedzy uruchamiała oba przepływy równolegle.

Podsumowanie

NIS2 miała zharmonizować europejskie prawo cyberbezpieczeństwa. W 2026 r. zharmonizowała podstawę (środki z art. 21, terminy zgłoszeń z art. 23, pułapy z art. 34), ale rozdrobniła warstwę proceduralną. Dla firm transgranicznych oznacza to, że program zgodności musi być natywny dla dyrektywy, ale skonfigurowany lokalnie — zbudowany pod tekst NIS2 i dostosowany dla każdego państwa członkowskiego, w którym prowadzimy działalność. Organizacje radzące sobie najlepiej wcześnie zainwestowały w macierz „kraj po kraju", formalnie wyznaczyły swój główny zakład i zbudowały zdolność reagowania na incydenty pozwalającą jednocześnie dotrzymać 24-godzinnego terminu zgłoszenia w wielu jurysdykcjach.

Mozaika ostatecznie zacznie się zbiegać, gdy pięć pozostałych państw członkowskich przyjmie swoje ustawy transponujące, a Komisja wyda akty wykonawcze. Do tego czasu traktowanie NIS2 jako pojedynczego, jednolitego obowiązku będzie kosztowne — w karach, w zakłóceniach operacyjnych i w ekspozycji na poziomie zarządu. Traktowanie go jako siatki wzajemnie powiązanych reżimów krajowych zakotwiczonych we wspólnej dyrektywie jest trudniejsze, ale to jedyna droga do rzeczywistej zgodności.

Ocena Viktoria Compliance pokrywa tę siatkę kraj po kraju. Nasz adaptacyjny kwestionariusz porównuje strukturę podmiotu ze zweryfikowanym statusem transpozycji każdego państwa członkowskiego, w którym prowadzimy działalność, i wskazuje konkretne obowiązki, które wiążą nas dziś — a nie abstrakcyjny tekst dyrektywy. Jeżeli nie poddali Państwo jeszcze swojej organizacji tej ocenie, jest to właściwy moment — egzekucja nie nadchodzi, ona już tu jest.

Źródła

Wszystkie dane dotyczące transpozycji w państwach członkowskich zweryfikowane w maju 2026 r. wobec krajowych dzienników urzędowych, publikacji wyznaczonych organów właściwych oraz trackera transpozycji NIS2 Komisji Europejskiej. Przepisy dyrektywy NIS2 cytowane za EUR-Lex, dyrektywa (UE) 2022/2555.

• Dyrektywa NIS2 (UE) 2022/2555 — https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng
• Tracker transpozycji NIS Komisji Europejskiej — https://digital-strategy.ec.europa.eu/en/policies/nis-transposition
• Austria — BGBl. I Nr. 94/2025 (NISG 2026): https://ris.bka.gv.at/eli/bgbl/I/2025/94/20251223
• Belgia — CCB NIS2: https://ccb.belgium.be/regulation/nis2
• Bułgaria — analiza nowelizacji ustawy o cyberbezpieczeństwie: https://cms.law/en/bgr/legal-updates/bulgaria-adopts-nis2-aligned-cybersecurity-law
• Chorwacja — Narodne novine 14/2024: https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html
• Cypr — Digital Security Authority: https://www.dsa.cy
• Czechy — NÚKIB: https://www.nukib.gov.cz
• Dania — Lov nr. 434/2025: https://www.retsinformation.dk/eli/lta/2025/434
• Estonia — portal NIS2 RIA: https://nis2.ee/
• Finlandia — komunikat Traficom o ustawie o cyberbezpieczeństwie: https://traficom.fi/en/news/cybersecurity-act-passed-parliament-obligations-under-nis-2-directive-enter-force-8-april-2025
• Francja — ANSSI dyrektywa NIS 2: https://cyber.gouv.fr/reglementation/cybersecurite-systemes-dinformation/directives-nis-nis2-et-dispositif-saiv/directive-nis-2/
• Niemcy — BGBl. 2025 I Nr. 301: https://www.recht.bund.de/bgbl/1/2025/301/VO.html
• Grecja — Krajowy Urząd Cyberbezpieczeństwa: https://www.ncsa.gov.gr
• Węgry — SZTFH: https://sztfh.hu
• Irlandia — General Scheme of the National Cyber Security Bill 2024: https://www.gov.ie/en/department-of-justice-home-affairs-and-migration/publications/general-scheme-of-the-national-cyber-security-bill-2024/
• Włochy — ACN Normativa: https://www.acn.gov.it/portale/en/nis/la-normativa
• Łotwa — Krajowe Centrum Cyberbezpieczeństwa: https://www.cyber.gov.lv/lv/nis2
• Litwa — ustawa o cyberbezpieczeństwie: https://kam.lt/kibernetinio-saugumo-istatymas/
• Luksemburg — projekt 8364 w Chambre des Députés: https://www.chd.lu/en/directive-NIS2-cybersecurite
• Malta — analiza Legal Notice 71 of 2025: https://gvzh.mt/insights/nis2-malta-cybersecurity-legal-notice-71-2025/
• Holandia — Eerste Kamer Cyberbeveiligingswet 36764: https://www.eerstekamer.nl/wetsvoorstel/36764_cyberbeveiligingswet
• Polska — Sejm: nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa: https://www.gov.pl/web/cyfryzacja/sejm-uchwalil-nowelizacje-ustawy-o-krajowym-systemie-cyberbezpieczenstwa
• Portugalia — Decreto-Lei 125/2025: https://diariodarepublica.pt/dr/detalhe/decreto-lei/125-2025-962603401
• Rumunia — DNSC: https://www.dnsc.ro
• Słowacja — NBÚ: https://www.nbu.gov.sk
• Słowenia — Uradni list ZInfV-1: https://www.uradni-list.si/glasilo-uradni-list-rs/vsebina/2025-01-1571
• Hiszpania — CCN NIS2: https://www.ccn.cni.es/es/normativa/directiva-nis2
• Szwecja — SFS 2025:1506 Cybersäkerhetslag: https://www.riksdagen.se/sv/dokument-och-lagar/dokument/svensk-forfattningssamling/cybersakerhetslag-20251506_sfs-2025-1506/
• NCSC Holandia — zgłaszanie incydentów: https://www.ncsc.nl/cyberincidenten-melden-bij-het-ncsc
• BSI Niemcy — zgłaszanie incydentów: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Anleitung-Meldung/Anleitung-Meldung_node.html
• ANSSI Francja — notifications réglementaires: https://cyber.gouv.fr/notifications-reglementaires
• INCIBE Hiszpania — FAQ NIS2: https://www.incibe.es/incibe-cert/sectores-estrategicos/FAQNIS2