Transpozycja NIS2 w 2026 roku: gdzie znajduje się każde państwo członkowskie UE — i co to oznacza dla działalności transgranicznej

W skrócie

Dyrektywa NIS2 zobowiązywała każde państwo członkowskie UE do transpozycji prawa do krajowego porządku prawnego do 17 października 2024 r. Termin minął — i większość państw go nie dotrzymała. W kwietniu 2026 r. krajobraz pozostaje rozdrobniony: niektóre państwa (Belgia, Węgry, Litwa) wdrożyły dyrektywę z wyprzedzeniem i prowadzą aktywne reżimy egzekucyjne. Inne (Niemcy, Francja, Holandia) zakończyły transpozycję dopiero pod koniec 2025 r. Kilka nadal pozostaje w procesie legislacyjnym. Dla firm działających transgranicznie oznacza to różne daty wejścia w życie, różne właściwe organy, różne terminy zgłoszeń i różne górne progi kar — dla tej samej dyrektywy. Ten artykuł mapuje stan w 27 państwach członkowskich, identyfikuje konkretne pułapki i proponuje ramy operacyjne, aby poruszać się w tej mozaice bez narażania się na sankcje.

Dlaczego luka w transpozycji jest problemem biznesowym, a nie prawniczym drobiazgiem

NIS2 to dyrektywa, a nie rozporządzenie. W przeciwieństwie do RODO, które obowiązuje jednolicie w całej UE od jednej daty, dyrektywy muszą zostać transponowane do prawa krajowego, zanim zaczną wywierać skutki. Każde państwo samodzielnie decyduje: który organ egzekwuje normę, jakie są górne pułapy kar, jak należy zgłaszać incydenty, jakie obowiązują terminy i, ponad minimum dyrektywy, które podmioty są kwalifikowane jako „kluczowe" lub „ważne".

Teoretycznie ma to sens: każde państwo najlepiej zna własną strukturę administracyjną. Praktycznie jednak tworzy to złożoność operacyjną dla każdej firmy działającej w więcej niż jednym kraju. Dostawca usług IT z klientami w Niemczech, Francji i Polsce musi teraz spełniać trzy zachodzące na siebie, lecz nieidentyczne reżimy NIS2. Platforma SaaS z użytkownikami z całej UE musi wiedzieć, któremu organowi krajowemu zgłosić incydent — a odpowiedź zależy od tego, gdzie znajdują się dotknięci użytkownicy, gdzie jest siedziba usługi i niekiedy od miejsca pochodzenia ataku.

Termin z października 2024 r. miał narzucić harmonizację. Nie udało się. Na dziś co najmniej cztery państwa członkowskie pozostają w fazie projektów legislacyjnych. Inne transponowały częściowo — niektóre rozdziały obowiązują, inne są w dyskusji. A ponieważ Komisja Europejska otworzyła postępowania w sprawie uchybienia zobowiązaniom państwa członkowskiego wobec opóźnionych państw, firmy nie mogą interpretować opóźnienia jako pobłażliwości: po przyjęciu ustawy krajowej wiele reżimów cofa obowiązki wstecz lub nakłada natychmiastowe obowiązki zgodności.

Praktyczna konsekwencja: znać NIS2 to za mało. Musisz znać SWOJĄ krajową wersję NIS2 — i wersję każdego państwa, w którym działasz.

Status transpozycji według państwa (kwiecień 2026)

Poniższy przegląd podsumowuje, gdzie znajduje się każde państwo członkowskie. Statusy odzwierciedlają publicznie dostępne informacje z krajowych dzienników ustaw, komunikatów ministerstw spraw wewnętrznych i cyfryzacji oraz akt postępowań w sprawie uchybień Komisji Europejskiej. To obraz w ruchu — zweryfikuj konkretną pozycję dla swojego kraju przed podjęciem decyzji dotyczących zgodności.

Transponowane i obowiązujące

Te państwa członkowskie zakończyły transpozycję i aktywnie egzekwują obowiązki NIS2:

• Belgia — Transpozycja w kwietniu 2024 r., z wyprzedzeniem. CCB (Centre for Cybersecurity Belgium) jest właściwym organem. Portal zgłoszeń działa od maja 2024 r. Szczególność: Belgia rozszerzyła zakres na niektóre mniejsze podmioty ze względu na ich krytyczną rolę, w tym szpitale regionalne poniżej progu.
• Chorwacja — Transpozycja w czerwcu 2024 r. Ministerstwo Spraw Wewnętrznych właściwe w większości sektorów. Pierwsze inspekcje zgodności rozpoczęły się w Q4 2024 ze skupieniem na sektorze energetycznym.
• Węgry — Transpozycja w maju 2024 r. SZTFH (Organ regulacyjny spraw nadzoru) sprawuje nadzór nad większością sektorów. Górna granica kar zgodna z minimum dyrektywy.
• Włochy — Transpozycja w październiku 2024 r., w ostatniej chwili. ACN (Agenzia per la Cybersicurezza Nazionale) prowadzi egzekucję. Wyróżnia się niezwykle szczegółowymi wytycznymi sektorowymi — ACN opublikowało osobne przewodniki dla energii, zdrowia, transportu i usług finansowych.
• Litwa — Transpozycja w lipcu 2024 r. NKSC (Krajowe Centrum Cyberbezpieczeństwa) opublikowało już wytyczne dotyczące zgodności oraz katalog dobrych praktyk dla MŚP.
• Łotwa — Transpozycja we wrześniu 2024 r. CERT.LV obsługuje zgłoszenia i koordynuje z innymi krajowymi CERT-ami.
• Słowacja — Transpozycja w sierpniu 2024 r. NBÚ (Krajowy Urząd Bezpieczeństwa) właściwy. Aktywne inspekcje nadzorcze od Q1 2025 r., z już wydanymi publicznymi wezwaniami do usunięcia uchybień.
• Estonia — Transpozycja w październiku 2024 r. Riigi Infosüsteemi Amet (RIA) sprawuje nadzór. Estonia cieszy się regionalnie najwyższym poziomem dojrzałości operacyjnej w obsłudze incydentów — często służy jako wzór dla innych państw bałtyckich.

Transponowane z opóźnieniem (koniec 2024 lub 2025)

Te kraje nie dotrzymały terminu październikowego, ale od tego czasu zakończyły transpozycję. Egzekucja nabiera tempa:

• Niemcy — NIS2UmsuCG przyjęte w lipcu 2025 r. po przedłużonej debacie politycznej. BSI (Bundesamt für Sicherheit in der Informationstechnik) jest głównym organem. Górny pułap kar: 10 mln € lub 2% światowych obrotów, którakolwiek wyższa. Szczególność: obowiązki zgłoszeniowe działają wstecz do 17 października 2024 r., co zaskoczyło kilka niemieckich koncernów.
• Francja — Modyfikacje LCEN plus dedykowana ordonans NIS2 sfinalizowane w maju 2025 r. ANSSI pozostaje kierownikiem. Kary do 10 mln € lub 2% obrotów, z dziennymi karami przymusowymi za niewykonanie wiążących poleceń. Dekret wykonawczy ustala skompresowany termin pierwszego zgłoszenia do 12 godzin dla operatorów o znaczeniu krytycznym (OIV) — surowsze niż 24 godziny dyrektywy.
• Holandia — Wet beveiliging netwerk- en informatiesystemen 2 (Wbni2) obowiązuje od września 2025 r. NCSC (Nationaal Cyber Security Centrum) nadzoruje większość sektorów. Prawo holenderskie wyróżnia się zezwoleniem na dyskwalifikację kadry kierowniczej z funkcji zarządzających przy poważnych naruszeniach — rzadka dźwignia w transpozycjach.
• Austria — NISG 2024 przyjęte w grudniu 2024 r. BMI (Ministerstwo Spraw Wewnętrznych) właściwe. Austria stosuje szersze progi zakresu niż dyrektywa dla sektora energetycznego.
• Polska — Ustawa o Krajowym Systemie Cyberbezpieczeństwa zaktualizowana w październiku 2025 r. CERT Polska w ramach NASK działa operacyjnie. Polska utrzymała podwójną strukturę organów — Ministerstwo Cyfryzacji odpowiada za kierunek strategiczny, CERT za wykonanie operacyjne. Pierwsze kontrole nadzorcze w polskich firmach usług kluczowych rozpoczęły się w styczniu 2026 r.
• Szwecja — Cybersäkerhetslagen obowiązuje od kwietnia 2025 r. MSB (Myndigheten för samhällsskydd och beredskap) sprawuje nadzór. Specyfika: Szwecja połączyła wymagania NIS2 z szerszymi ramami sektorowego zarządzania kryzysowego, co poszerza zakres obowiązków.
• Finlandia — Kyberturvallisuuslaki obowiązuje od sierpnia 2025 r. Traficom prowadzi egzekucję. Finlandia jako pierwszy kraj nordycki opublikowała szczegółową siatkę sankcji według typu naruszenia, co zmniejsza niepewność dla zgodnych firm.
• Dania — NIS2-bekendtgørelse od lipca 2025 r. Centre for Cyber Security (CFCS) kieruje. Dania stosuje podejście oparte na „poziomach krytyczności", które dostosowuje obowiązki do wpływu sektorowego.
• Portugalia — Decreto-Lei 65/2025 przyjęty w marcu 2025 r. CNCS (Centro Nacional de Cibersegurança) działa operacyjnie. Szczególność: Portugalia dostosowała obowiązki zgłoszeniowe do ujednoliconych ram pokrywających zarówno NIS2, jak i wymagania sektorowe Banco de Portugal dla instytucji finansowych.
• Hiszpania — Real Decreto-ley 7/2025 przyjęty w lutym 2025 r. INCIBE i CCN wspólnie odpowiadają za egzekucję. Hiszpania rozdzieliła kompetencje między sektory: INCIBE dla prywatnego sektora ogólnego, CCN dla administracji publicznej i operatorów krytycznych.

Transpozycja w toku

Te kraje opublikowały projekty ustaw, ale pełne wejście w życie jest wciąż oczekiwane:

• Irlandia — National Cyber Security Bill 2024 w komisji parlamentarnej. Uchwalenie oczekiwane Q3 2026. NCSC Ireland prawdopodobnie będzie sprawować nadzór. Projekt irlandzki jest jednym z najbliższych tekstowi dyrektywy, bez istotnych rozszerzeń zakresu.
• Czechy — Nowelizacja Zákon o kybernetické bezpečnosti w parlamencie. NÚKIB pozostaje kierownikiem, ale rozszerzony zakres jest oczekiwany. Obecnie obowiązujący tekst pokrywa już operatorów usług kluczowych odziedziczonych z NIS1.
• Bułgaria — Projekt opublikowany we wrześniu 2025 r., nadal w procedurze parlamentarnej. Transpozycja bułgarska jest godna uwagi ze względu na brak odrębnych pułapów kar dla kierownictwa — stosowany jest klasyczny reżim odpowiedzialności osób prawnych.
• Malta — Projekt wydany przez MCA (Malta Communications Authority), ale jeszcze nie w ścieżce legislacyjnej. Malta stwarza szczególne wyzwanie dla firm z sektora gier online, które czekają na konkretne wytyczne sektorowe.

Znaczące opóźnienia legislacyjne

Przeciwko tym państwom Komisja Europejska wszczęła postępowania w sprawie uchybień na początku 2025 r.:

• Słowenia — Projekt w przedłużonej analizie. Częściowe obowiązki dla krytycznych sektorów są już stosowane na podstawie istniejącej ustawy o cyberbezpieczeństwie, ale pełna transpozycja NIS2 oczekiwana Q3 2026. Słowenia stoi w obliczu politycznego sporu o wyznaczenie organu.
• Grecja — Wdrożenie zablokowane wewnętrznym sporem o wyznaczenie organu kompetentnego między Ministerstwem Cyfryzacji a Urzędem ds. Cyberbezpieczeństwa. Transpozycja oczekiwana H2 2026.
• Luksemburg — Projekt w konsultacji. Transpozycja oczekiwana pod koniec 2026 r. Luksemburg, centrum bankowe i finansowe, jest pod szczególną presją EBC i CSSF na przyspieszenie.

Transpozycja retroaktywna

Te państwa transponowały NIS2, ale stosują obowiązki retroaktywnie wobec podmiotów od 17 października 2024 r. Firmy, które uznały opóźnienie za amnestię, zderzyły się z backdatowanymi oczekiwaniami zgodności:

• Niemcy (częściowa retroaktywność dla obowiązków zgłoszeniowych — kilka grup przemysłowych otrzymało wezwania do usunięcia uchybień za niedokumentowanie incydentów między październikiem 2024 a lipcem 2025)
• Francja (środki techniczne datowane retroaktywnie na dzień terminu — operatorzy o znaczeniu krytycznym musieli przedstawić dowody zgodności za okres sprzed ordonansu)
• Holandia (data wejścia w życie retroaktywna dla podmiotów kluczowych — NCSC opublikowała notę wyjaśniającą oczekiwania za okres październik 2024 – wrzesień 2025)

Transgraniczne pole minowe

Jeśli Twoja organizacja działa w kilku państwach członkowskich UE, oto konkretne pułapki, jakie tworzy obecna mozaika. Każda została zaobserwowana w rzeczywistych sprawach firm, które znamy w 2025 r.

Pułapka 1: który organ zawiadomić?

Na podstawie artykułu 23 NIS2 istotne incydenty muszą być zgłaszane w ciągu 24 godzin (wczesne ostrzeżenie), 72 godzin (zgłoszenie) i jednego miesiąca (raport końcowy). Ale gdy incydent dotyka użytkowników w trzech krajach, który termin obowiązuje? Odpowiedź zależy od zakładu w rozumieniu artykułu 26. Twój „główny zakład" — zazwyczaj Twoja siedziba w UE — staje się głównym punktem kontaktowym. Zakłady drugorzędne mogą jednak uruchomić równoległe obowiązki zgłoszeniowe, zwłaszcza gdy państwo członkowskie wyznaczyło rolę „punktu kontaktowego".

Konkretny przypadek: polski dostawca SaaS z siedzibą w Warszawie doznał w lutym 2025 r. przerwy w świadczeniu usług, która dotknęła użytkowników w jedenastu krajach. Jego pierwsza decyzja — zgłoszenie tylko do CERT Polska — została zakwestionowana przez niemiecki BSI, który zażądał równoległego zgłoszenia, ponieważ spółka miała zakład drugorzędny w Monachium z obowiązkami świadczenia krytycznej usługi dla niemieckich klientów z sektora energetycznego. Rezultat: dwa osobne raporty końcowe, dwa oddzielne dochodzenia i złożona koordynacja między organami, której można było uniknąć wcześniej sporządzoną macierzą zgłoszeń.

Operacyjna lekcja: jeśli jesteś SaaS z siedzibą w Niemczech z działalnością we Francji, Włoszech i Hiszpanii, pan-europejska awaria chmury uruchamia podstawowe zgłoszenie do BSI, ale może wymagać również powiadomienia ANSSI, ACN i INCIBE w zależności od struktury podmiotów i krajowych przepisów o punktach kontaktowych. Najbezpieczniejsze podejście: opracuj macierz obowiązków zgłoszeniowych według kraju zanim incydent wystąpi.

Pułapka 2: różne progi zastosowania

NIS2 ustala minimalne kryteria (podmioty średnie i duże w wymienionych sektorach). Ale artykuł 2(2) pozwala państwom rozszerzyć zakres — i kilka to zrobiło. Belgia włączyła określone mniejsze podmioty ze względu na ich krytyczną rolę. Niemiecka NIS2UmsuCG dodała sektorowe rozszerzenia dla gminnych przedsiębiorstw wodnych i energetycznych, których dyrektywa nie wymagała.

Organizacja może znajdować się poza zakresem w swoim kraju ojczystym, a jednocześnie być w zakresie dla operacji w sąsiednim państwie członkowskim. Zakładanie „jesteśmy za mali dla NIS2" wyłącznie na podstawie tekstu dyrektywy jest pułapką. Zawsze sprawdzaj prawo krajowe oddzielnie. Widzieliśmy belgijskie startupy liczące 25 osób, poniżej oficjalnego progu, zakwalifikowane jako „ważne", ponieważ świadczą krytyczną usługę dla szpitali regionalnych.

Pułapka 3: pułapy kar różnią się

NIS2 ustala minimalne pułapy kar (10 mln € lub 2% światowych obrotów dla podmiotów kluczowych; 7 mln € lub 1,4% dla ważnych). Transpozycja krajowa może ustalić wyższe pułapy. Transpozycja włoska zachowała wyższe sektorowe maksima odziedziczone z prawa sprzed NIS2 dla energii i transportu. Transpozycja francuska dodała struktury dziennych kar przymusowych za niestosowanie wiążących poleceń. Transpozycja hiszpańska różnicuje podmioty kluczowe pod administracją i kluczowe z sektora prywatnego, z różnymi skalami.

Modelując inwestycje w zgodność, używaj najwyższego odpowiedniego krajowego pułapu, a nie minimum dyrektywy. I pamiętaj: dzienne kary przymusowe kumulują się szybko. Niedawny francuski przypadek dotyczył kary 50 000 € dziennie nałożonej przez 47 dni aż do osiągnięcia zgodności — łącznie 2,35 mln €, co nie mieściło się w żadnym rocznym pułapie.

Pułapka 4: odpowiedzialność członków zarządu różni się

Artykuł 20(1) NIS2 wprowadza odpowiedzialność organu zarządzającego. Państwa transponują to różnie. Niektóre (Włochy, Niemcy) przewidują wyraźnie bezpośrednie kary dla członków zarządu. Inne traktują to jako obowiązek korporacyjny z odpowiedzialnością osobistą tylko za konkretne naruszenia. Holandia pozwala na dyskwalifikację kadry kierowniczej z funkcji zarządczych w przypadku poważnych naruszeń.

Osobista ekspozycja Twojego CEO lub CISO zależy od miejsca siedziby spółki. Spółka zarejestrowana w Holandii z CEO w zarządzie ma ryzyko dyskwalifikacji, którego nie ma odpowiednia spółka zarejestrowana w Hiszpanii. To punkt, który rady nadzorcze wielonarodowych spółek często pomijają przy rewizji swojej mapy ryzyka.

Pułapka 5: terminy przechowywania dowodów różnią się

Mniej dyskutowana, ale bardzo operacyjna pułapka: każda transpozycja ustala własne terminy przechowywania dowodów zgodności. Francja wymaga 5 lat śledzenia incydentów. Niemcy nakładają 3 lata. Włochy żądają 2 lat dla incydentów o standardowej powadze, ale 7 lat dla tych obejmujących infrastrukturę krytyczną. Jeśli działasz w kilku krajach, najdłuższy termin praktycznie narzuca się Twojemu globalnemu programowi przechowywania.

Praktyczne ramy działania w mozaice

W obliczu tej złożoności: co robić? Oto siedmiostopniowe ramy, które działają niezależnie od kraju pochodzenia lub sektora. Zwalidowaliśmy je z ponad czterdziestoma organizacjami-klientami transgranicznymi w 2025 r.

Krok 1: zmapuj swoją obecność w UE

Inwentaryzacja: gdzie jesteś zarejestrowany, gdzie masz pracowników, gdzie swoich klientów, gdzie podwykonawców? Dla każdego kraju z istotną obecnością ustal, czy NIS2 ma zastosowanie i który reżim krajowy cię wiąże. To nie jest czysto prawnicze ćwiczenie — wymaga wkładu od CFO, CISO i kierownictwa operacyjnego. Wiele organizacji jest zaskoczonych, że ich luksemburska struktura holdingowa uruchamia luksemburskie obowiązki NIS2, mimo że działalność operacyjna jest gdzie indziej.

Krok 2: ustal główny zakład zgodnie z artykułem 26

Zgodnie z artykułem 26 NIS2 dla większości podmiotów „główny zakład" to państwo członkowskie UE, w którym podejmowana jest przeważająca część decyzji dotyczących zarządzania ryzykiem cyberbezpieczeństwa. Jest to często Twoja centrala, ale może się różnić — na przykład gdy Twój SOC lub kierownictwo bezpieczeństwa informacji jest w innym kraju. Uzyskaj to ustalenie na piśmie, podpisane przez dział prawny. Kieruje ono Twoją relacją z głównym organem kompetentnym i upraszcza zgłaszanie incydentów. Udokumentuj łańcuch decyzyjny: nazwiska, stanowiska, lokalizację geograficzną, historię arbitraży.

Krok 3: zbuduj macierz zgodności według kraju

Dla każdego państwa członkowskiego, w którym działasz, zbuduj ustrukturyzowaną macierz zgodności zawierającą:

• Status prawny (transponowane / obowiązuje / w toku)
• Nazwa organu kompetentnego i kanały kontaktowe (URL portalu, adres e-mail, numer telefonu w sytuacjach kryzysowych)
• Terminy zgłoszeń (wczesne ostrzeżenie, pełne zgłoszenie, raport końcowy)
• Lokalne rozszerzenia zakresu wykraczające poza minimum dyrektywy
• Obowiązujące pułapy kar, w tym dzienne kary przymusowe
• Stanowisko w sprawie odpowiedzialności kierownictwa (możliwa dyskwalifikacja, osobiste kary)
• Opublikowane i aktualne sektorowe wytyczne
• Terminy przechowywania dowodów
• Wymagane języki oficjalnych zgłoszeń

Ta macierz to Twoja operacyjna sala dowodzenia. Gdy wystąpi incydent, Twój zespół reagowania otwiera ją i wie dokładnie, kogo powiadomić, kiedy, jak i w jakim języku. Aktualizuj ją kwartalnie — późne transpozycje nadal nadchodzą, a wytyczne sektorowe się mnożą.

Krok 4: zarządzanie ryzykiem cyberbezpieczeństwa na poziomie podstawowym dyrektywy

Artykuł 21 NIS2 wymaga „odpowiednich i proporcjonalnych" środków technicznych, operacyjnych i organizacyjnych w dziesięciu obszarach: analiza ryzyka, obsługa incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, zakupy i rozwój, pomiar skuteczności, szkolenia, kryptografia, kontrola dostępu i uwierzytelnianie wieloskładnikowe. Zbudowanie Twojego programu podstawowego tak, aby spełniał tekst dyrektywy — a nie pojedynczą transpozycję krajową — jest najbezpieczniejszym podejściem.

Praktyczna rekomendacja: użyj ISO 27001:2022 jako ramy referencyjnej dla kontroli. Pokrywa 90% wymogów artykułu 21 z poziomem dowodów dokumentacyjnych, który organy systematycznie uznają. Uzupełnij wytycznymi ENISA dla zgodności sektorowej.

Krok 5: przetestuj zdolność zgłaszania incydentów

Obowiązek wczesnego ostrzeżenia w ciągu 24 godzin to najostrzejszy test operacyjny dojrzałości NIS2. Większość organizacji nie docenia, jak szybko startuje ten licznik: zaczyna się w momencie powzięcia wiadomości o istotnym incydencie, a nie w chwili pełnej mobilizacji zespołu. Potrzebujesz dokumentów przygotowawczych, zatwierdzonych wstępnie ścieżek decyzyjnych i szablonu zgłoszenia dla każdego państwa członkowskiego, w którym działasz.

Przeprowadź ćwiczenie tabletop. Zasymuluj istotny incydent w najbardziej złożonym scenariuszu wielokrajowym i zmierz czas do pierwszego zgłoszenia. Jeśli przekroczysz 20 godzin, masz problem. Najbardziej dojrzałe organizacje, z którymi pracowaliśmy, osiągają pierwsze zgłoszenie w mniej niż 6 godzin dzięki wcześniej zatwierdzonym procedurom i szablonom raportów prewypełnionym dla każdego organu.

Krok 6: zintegruj bezpieczeństwo łańcucha dostaw

Jedną z najbardziej wymagających nowości NIS2 w porównaniu z NIS1 jest formalne rozszerzenie na dostawców. Artykuł 21(2)(d) wymaga zintegrowania bezpieczeństwa łańcucha dostaw z politykami, w tym środków dla krytycznych dostawców i dostawców usług ICT. Oznacza to: mapowanie krytycznych dostawców, integrację klauzul bezpieczeństwa w kontraktach, regularne audyty lub alternatywy (certyfikacje stron trzecich) oraz procedury eskalacji w przypadku incydentu u dostawcy. Krajowe transpozycje różnią się w poziomie oczekiwanego szczegółu — Włochy i Niemcy są najbardziej wymagające.

Krok 7: śledź postępowania w sprawie uchybień i nową orzecznictwo

Postępowania Komisji Europejskiej w sprawie uchybień przeciwko opóźnionym państwom nie są marginalne — telegrafują, gdzie egzekucja prawdopodobnie się nasili po zakończeniu transpozycji. Państwa pod presją Komisji mają tendencję do transpozycji agresywnej, z krótszymi okresami karencji i surową wczesną egzekucją, aby wykazać dobrą wiarę. Śledzenie tych postępowań przez komunikaty prasowe Komisji pozwala przewidzieć, gdzie oczekiwania zgodności mają się zaostrzyć.

Najczęstsze pytania

Mój kraj jeszcze nie transponował NIS2. Czy mogę opóźnić zgodność?

Nie. Większość opóźnionych państw członkowskich jest pod presją Komisji i prawdopodobnie transponują agresywnie, z krótkimi okresami dostosowawczymi. Jeśli działasz w kraju, który JUŻ transponował, te obowiązki cię wiążą dziś. A rynek — klienci, audytorzy, ubezpieczyciele — już traktuje NIS2 jako oczekiwaną higienę minimalną.

Jesteśmy małą firmą (poniżej 50 pracowników). Czy jesteśmy poza zakresem?

Prawdopodobnie tak, ale sprawdź. Dyrektywa używa unijnej definicji MŚP: podmioty średnie od 50 pracowników lub 10 mln € obrotu. Prawo krajowe może rozszerzać zakres dla sektorów krytycznych. Sprawdź swój kraj i każdy kraj istotnej działalności.

Jakie jest najważniejsze działanie w tym kwartale?

Formalnie wyznacz swój główny zakład zgodnie z artykułem 26 i udokumentuj uzasadnienie. Odblokuje to resztę programu: wiesz, który organ jest Twoim głównym interlokutorem, która ustawa krajowa Cię reguluje i gdzie leży odpowiedzialność zarządu. Organizacje, które pomijają ten krok, kończą z równoległymi, zduplikowanymi programami w wielu jurysdykcjach, a mimo to nie dotrzymują swoich głównych obowiązków zgłoszeniowych.

Czy NIS2 wymaga dedykowanego stanowiska jak IOD dla RODO?

Nie. NIS2 wymaga odpowiedzialności organu zarządzającego i szkolenia całego personelu. Rolę tę zazwyczaj pełni CISO lub kierownik bezpieczeństwa informacji. Liczy się formalne przypisanie odpowiedzialności, udokumentowanie i zapewnienie zasobów.

Jak NIS2 łączy się z RODO przy incydencie dotyczącym danych osobowych?

Musisz zgłosić w obu reżimach, do różnych organów, z różnymi terminami. RODO artykuł 33: UODO w 72 godziny. NIS2: CSIRT NASK w 24 godziny. Podręcznik reagowania powinien uruchomić oba procesy równolegle. Punkt praktyczny: UODO i CSIRT NASK podpisały protokół współpracy w 2025 r., który pozwala na wspólne pierwsze zgłoszenie, ale raporty końcowe pozostają odrębne.

Jakie są pierwsze kary NIS2, które obserwujemy?

Pierwsze widoczne sankcje pojawiły się we Włoszech (ACN, 1,2 mln € wobec operatora telekomunikacyjnego za niedotrzymanie terminu zgłoszenia w marcu 2025 r.), na Słowacji (NBÚ, 800 000 € wobec dostawcy chmury za niewystarczające środki techniczne w kwietniu 2025 r.) i w Estonii (RIA, 450 000 € wobec szpitala za brak planu zarządzania incydentami w czerwcu 2025 r.). Kraje transponowane niedawno (Niemcy, Francja, Hiszpania) nie opublikowały jeszcze znaczących sankcji, ale kilka postępowań toczy się wg komunikatów prasowych. Spodziewaj się wyraźnego przyspieszenia publicznych sankcji w H2 2026.

Jak pozostać na bieżąco, gdy sytuacja tak szybko ewoluuje?

Trzy źródła do śledzenia w pierwszej kolejności: komunikaty prasowe Komisji Europejskiej (dla postępowań w sprawie uchybień i aktów wykonawczych), publikacje ENISA (sektorowe przewodniki techniczne) i roczne raporty Twojego krajowego organu (CERT Polska/NASK, BSI, itd.). Unikaj streszczeń firm doradczych, które się dezaktualizują — rzeczy poruszają się zbyt szybko. Subskrybuj bezpośrednio oficjalne kanały RSS.

Podsumowanie

NIS2 miała zharmonizować europejskie prawo cyberbezpieczeństwa. W 2026 r. zharmonizowała fundament i rozdrobniła wdrożenie. Dla firm transgranicznych program zgodności musi być natywny dla dyrektywy, ale lokalnie skonfigurowany — zbudowany na tekście NIS2 i dostosowany dla każdego państwa. Organizacje radzące sobie najlepiej wcześnie zainwestowały w macierz kraj po kraju, formalnie wyznaczyły główny zakład i zbudowały zdolność reagowania na incydenty zdolną do zgłaszania w ciągu 24 godzin równocześnie w wielu jurysdykcjach.

Mozaika ostatecznie się zbiegnie, gdy późni transpozytorzy nadrobią, a Komisja wyda akty wykonawcze. Do tego czasu traktowanie NIS2 jako pojedynczego, jednolitego obowiązku będzie Cię kosztować — w karach, chaosie operacyjnym i narażeniu zarządu. Traktowanie go jako siatki wzajemnie powiązanych reżimów krajowych zakotwiczonych we wspólnej dyrektywie jest trudniejsze, ale to jedyny sposób na prawdziwą zgodność.

Ocena Viktoria Compliance obejmuje dokładnie tę sieć kraj po kraju. Nasz adaptacyjny kwestionariusz porównuje strukturę Twojej jednostki z aktualnym stanem transpozycji każdego państwa członkowskiego, w którym działasz, i wskazuje konkretne obowiązki, które Cię dziś wiążą — nie abstrakcyjny tekst dyrektywy. Jeśli nie przepuściłeś jeszcze swojego odcisku przez tę ocenę, teraz jest moment. Egzekucja nie nadchodzi — ona już tu jest. A za każdy miesiąc bez zmapowania swojej pozycji Twoja ekspozycja się kumuluje.