NIS2, oficjalnie znana jako unijna Dyrektywa w sprawie bezpieczeństwa sieci i informacji nr 2022/2555  https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022L2555 , została opublikowana w grudniu 2022 roku i weszła w życie na początku 2023 roku. Jej celem jest ujednolicenie i wzmocnienie środków w zakresie cyberbezpieczeństwa w całej Unii Europejskiej. Dyrektywa ta zastępuje wcześniejszą Dyrektywę NIS1, obowiązującą od 2016 roku.

Kluczowe cele Dyrektywy NIS2 to:

  • Ustanowienie jednolitego zestawu wymagań w zakresie cyberbezpieczeństwa we wszystkich państwach członkowskich UE.
  • Rozszerzenie zakresu dyrektywy na większą liczbę sektorów i podmiotów.
  • Wprowadzenie bardziej rygorystycznych obowiązków w zakresie zgłaszania incydentów oraz środków egzekwowania przepisów.
  • Promowanie lepszej współpracy i wymiany informacji między państwami członkowskimi.
  • Zapewnienie wysokiego poziomu odporności na cyberzagrożenia jako standardu w całej UE.

Każde państwo członkowskie (np. Polska, Niemcy, Francja…) musi indywidualnie dostosować przepisy Dyrektywy NIS2 do swojego prawa krajowego. Kraje UE mają czas do października 2024 roku na przyjęcie i opublikowanie wszystkich niezbędnych środków zapewniających zgodność z NIS2. Po upływie tego terminu organizacje będą prawnie zobowiązane do przestrzegania tych regulacji.

Sektory i podmioty objęte dyrektywą

Nowa ustawa obejmuje znacznie więcej kluczowych podmiotów dla bezpieczeństwa państwa. Wcześniej proces wdrażania KSC zaczynał się od ankiety klasyfikującej organizacje. Teraz obowiązuje zasada „size-cap” – jeśli spełniasz kryteria, masz obowiązek dostosować się do ustawy. To jednostki muszą być gotowe, a nie czekać na zapytania organów centralnych.

Wyłączone z obowiązku są jedynie mikroprzedsiębiorstwa, których w Polsce jest niewiele. 

Dyrektywa NIS2 dotyczy zarówno sektora publicznego, jak i prywatnego, a podmioty dzieli na kluczowe (Załącznik I) i ważne (Załącznik II) –  sprawdź dokument. Nowe przepisy obejmą wszystkie średnie i duże firmy w określonych sektorach, a także małe przedsiębiorstwa, jeśli odgrywają istotną rolę w gospodarce, społeczeństwie lub kluczowych łańcuchach dostaw.

W Załączniku I jako sektory kluczowe wskazano:

energetyka

transport

bankowość

infrastruktura rynków finansowych

opieka zdrowotna

sektor wody pitnej

ścieki

infrastruktura cyfrowa

zarządzanie usługami ICT

administracja publiczna

przestrzeń kosmiczna

Natomiast w Załączniku II wśród sektorów ważnych znalazły się takie sektory jak:

usługi pocztowe i kurierskie

gospodarowanie odpadami

produkcja, przetwarzanie i dystrybucja chemikaliów

produkcja, przetwarzanie i dystrybucja żywności

produkcja (szeroko pojęta)

usługi cyfrowe

badania naukowe

Status Dyrektywy NIS2 w Unii Europejskiej

NIS2 ALBANIA Andorra ARMENIA AUSTRIA BELGIA BUŁGARIA Bośnia i Hercegowina Białoruś Szwajcaria CZECHY NIEMCY DANIA ESTONIA FINLANDIA Wielka Brytania GRUZJA GRECJA CHORWACJA WĘGRY IRLANDIA WŁOCHY LIECHTENSTEIN LITWA LUKSEMBURG ŁOTWA MOŁDAWIA MACEDONIA CZARNOGÓRA NORWEGIA PORTUGALIA RUMUNIA SERBIA SŁOWACJA SŁOWENIA SZWECJA Turcja UKRAINA Kosovo HOLANDIA HISZPANIA FRANCJA CYPR ISLANDIA POLSKA Wdrożone od krajowego systemu prawnego (Państwa członkowskie UE) Projekt ustawy (Państwa członkowskie UE) Wdrożone od krajowego systemu prawnego (Państwa spoza UE) Projekt ustawy (Państwa spoza UE)
Stan na Marzec 2026r.
Tracker wdrożenia Dyrektywy NIS2 opiera się na informacjach z publicznych źródeł, które są regularnie weryfikowane.
Udostępnione dane mogą jednak nie być w pełni kompletne ani aktualne.

POLSKA

  1. Status implementacji

    Gotowa ustawa (Opublikowana i wchodząca w życie).

  1. Nazwa lokalnej ustawy: Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw.
  1. Branże kluczowe i ważne
    • Podział na podmioty kluczowe (m.in. energetyka, transport, bankowość, ochrona zdrowia, infrastruktura cyfrowa, administracja publiczna) oraz podmioty ważne (m.in. produkcja, żywność, gospodarka odpadami, usługi pocztowe, chemikalia).
  1. Środki techniczne:
    • Zapory sieciowe oraz IDS/IPS: Obowiązkowe jako element bezpieczeństwa sieci i systemów informatycznych.
    • MFA (Uwierzytelnianie wieloskładnikowe): Ustawa wprost wskazuje na konieczność stosowania silnego uwierzytelniania, zwłaszcza w dostępie zdalnym i administracyjnym.
    • Narzędzia szyfrujące i SIEM: Wymagane w celu zapewnienia poufności danych oraz ciągłego monitorowania incydentów (wykrywanie anomalii).
    • Ochrona punktów końcowych (EDR/XDR) oraz zarządzanie podatnościami: Kluczowe elementy proaktywnej obrony, wymagane przez polskie organy nadzorcze.
    • Backup i Recovery: Bezpośredni wymóg ustawowy dotyczący ciągłości działania i zarządzania kryzysowego.
    • Bezpieczeństwo łańcucha dostaw: Nowość w UKSC – podmioty muszą technicznie i kontraktowo weryfikować bezpieczeństwo dostawców ICT.
    • Dostawca Wysokiego Ryzyka (DWR): Mechanizm pozwalający na wykluczenie dostawców sprzętu/oprogramowania uznanych za zagrożenie dla bezpieczeństwa narodowego (przepis ten został skierowany przez Prezydenta do kontroli następczej w Trybunale Konstytucyjnym, ale obecnie obowiązuje).
  1. Środki organizacyjne:
    • Zarządzanie bezpieczeństwem i obsługa incydentów: Ustanowienie stałych kanałów raportowania do CSIRT poziomu krajowego (NASK, GOV, MON) oraz procedur natychmiastowej analizy i ograniczania skutków ataków w trybie 24/7.
    • Nadzór nad łańcuchem dostaw: Wprowadzenie rygorystycznej weryfikacji dostawców usług i produktów ICT, obejmującej ocenę ich odporności oraz egzekwowanie wymogów bezpieczeństwa w umowach (w tym procedury wycofywania rozwiązań od „dostawców wysokiego ryzyka”).
    • Systematyczne testowanie i weryfikacja skuteczności: Przeprowadzanie obowiązkowych audytów bezpieczeństwa (co 2 lata dla podmiotów kluczowych) oraz realizacja cyklicznych testów penetracyjnych, które weryfikują realną odporność systemów.
    • Ciągłe wyszukiwanie podatności i zarządzanie poprawkami: Uruchomienie procesów stałego monitorowania luk w oprogramowaniu i infrastrukturze, połączone z harmonogramem priorytetowego wdrażania aktualizacji (Patch Management).
    • Sformalizowana kontrola dostępu i stosowanie kryptografii: Wdrożenie procedur nadawania uprawnień wyłącznie do niezbędnych zasobów oraz zatwierdzonych przez kierownictwo zasad szyfrowania danych w spoczynku i transmisji.
    • Zarządzanie kontami uprzywilejowanymi (PAM): Wprowadzenie szczególnego nadzoru nad dostępami administratorów i personelu technicznego, aby zapobiec nadużyciom uprawnień i atakom wewnętrznym.
    • Zapewnienie ciągłości działania i odtwarzania po awarii (BCP/DRP): Utrzymywanie aktualnych planów awaryjnych oraz procedur odzyskiwania danych z kopii zapasowych, pozwalających na szybki powrót do pracy po incydencie.
    • Edukacja i budowanie świadomości (Higiena Cybernetyczna): Realizacja cyklicznych programów szkoleniowych dla pracowników wszystkich szczebli, obejmujących zasady bezpiecznej pracy, rozpoznawanie phishingu i ochronę przed socjotechniką.
    • Zarządzanie zasobami i nośnikami wymiennymi: Wprowadzenie ewidencji całego sprzętu IT/OT oraz procedur bezpiecznego korzystania z zewnętrznych pamięci i fizycznej ochrony nośników danych.
    • Zasady bezpieczeństwa personelu: Wdrożenie procesów weryfikacji pracowników na kluczowych stanowiskach przed zatrudnieniem oraz procedur natychmiastowego odbierania uprawnień po rozwiązaniu współpracy.
  1. Szkolenia:
    • Programy podnoszenia odporności użytkowników końcowych (Higiena Cybernetyczna): Realizacja cyklicznych warsztatów dla wszystkich pracowników organizacji, koncentrujących się na rozpoznawaniu prób manipulacji (socjotechnika, phishing), zasadach bezpiecznej pracy zdalnej oraz fizycznej ochronie zasobów informacyjnych.
    • Specjalistyczne szkolenia dla zespołów IT i Cyberbezpieczeństwa: Systematyczne podnoszenie kompetencji technicznych personelu odpowiedzialnego za infrastrukturę. Obejmuje to certyfikowane kursy z zakresu reagowania na incydenty, analizy złośliwego oprogramowania oraz zaawansowanej administracji systemami bezpieczeństwa.
    • Szkolenia z obsługi i konfiguracji wdrożonych rozwiązań cybersecurity: Obowiązkowe sesje techniczne dedykowane konkretnym narzędziom eksploatowanym w organizacji (np. systemy klasy EDR/XDR, SIEM, zapory ogniowe nowej generacji, systemy PAM). Proces ten zapewnia, że osoby zarządzające tymi narzędziami w pełni wykorzystują ich potencjał obronny i potrafią prawidłowo interpretować generowane przez nie alerty
    • Warsztaty z procedur operacyjnych i reagowania: Praktyczne ćwiczenia dla zespołów technicznych oparte na symulacjach rzeczywistych ataków, mające na celu wypracowanie automatyzmów w obsłudze incydentów zgodnie z przyjętymi w organizacji schematami działania.
    • Budowanie świadomości kadry zarządzającej: Szkolenia zarządu są obowiązkowe (coroczne) i obejmują odpowiedzialność prawną, zarządzanie ryzykiem oraz reakcję na kryzys. Dodatkowo kadra musi przejść ten sam program, co każdy pracownik: od rozpoznawania phishingu po higienę haseł, by dawać przykład i znać realne zagrożenia wewnątrz firmy.
    • Ciągły proces aktualizacji wiedzy o zagrożeniach (Threat Intelligence): Zapewnienie specjalistom IT dostępu do bieżących informacji o nowych metodach ataków (TTPs) oraz szkolenia z zakresu wdrażania adekwatnych zabezpieczeń przed nowo odkrytymi podatnościami typu zero-day.

AUSTRIA

  1. Status implementacji:
    Gotowa ustawa (Przyjęta pod koniec 2025 roku).
  1. Nazwa lokalnej ustawy wraz z linkiem
  1. Branże kluczowe i ważne

    Austria ściśle podąża za załącznikami dyrektywy NIS2, dzieląc podmioty na „Wesentliche Einrichtungen” (Kluczowe) oraz „Wichtige Einrichtungen” (Ważne):

    • Sektory Kluczowe: Energetyka (prąd, gaz, wodór, ciepło), transport (lotniczy, kolejowy, wodny, drogowy), bankowość i infrastruktura rynków finansowych, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa (IXP, DNS, TLD, cloud, data centers), administracja publiczna (szczebel federalny), przestrzeń kosmiczna.
    • Sektory Ważne: Usługi pocztowe i kurierskie, gospodarka odpadami, chemikalia, żywność (produkcja i dystrybucja), produkcja wyrobów medycznych, maszyn i pojazdów, dostawcy usług cyfrowych (wyszukiwarki, media społecznościowe), badania naukowe.
  1. Środki techniczne

    Wiedeń kładzie duży nacisk na tzw. „State-of-the-Art” (najnowszy stan wiedzy technicznej):

    • MFA (Multi-Faktor-Authentisierung): Obowiązkowe dla wszystkich dostępów administracyjnych oraz zdalnych.
    • Kryptografia: Wymóg stosowania silnego szyfrowania danych w spoczynku (at rest) i w transporcie (in transit).
    • Segmentacja sieci: Fizyczna lub logiczna izolacja systemów sterowania przemysłowego (OT) od sieci korporacyjnych (IT).
    • Zabezpieczenia fizyczne: Ścisła kontrola dostępu do serwerowni i infrastruktury krytycznej.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek przeprowadzania cyklicznych analiz ryzyka w oparciu o normy takie jak ISO/IEC 27001 lub krajowy standard ÖNORM L 1090.
    • Zarządzanie łańcuchem dostaw: Obowiązek weryfikacji poziomu zabezpieczeń u dostawców IT i OT (Supply Chain Risk Management).
    • Obsługa incydentów: Trzystopniowy model raportowania (wstępne ostrzeżenie 24h, zgłoszenie incydentu 72h, raport końcowy po miesiącu).
    • BCP/DR: Plany ciągłości działania i odtwarzania po awarii, w tym regularne testy przywracania danych z backupu.
  1. Szkolenia obowiązkowe i rekomendowane

    Austria wprowadziła bardzo surowe podejście do edukacji w ramach „Governance”:

    • Kadra zarządzająca (Geschäftsführung): Obowiązkowe szkolenia z zakresu ryzyk cybernetycznych i zarządzania nimi. Ustawa NISG 2026 wprost wskazuje, że zarząd nie może delegować odpowiedzialności za brak przeszkolenia.
    • Pracownicy IT i Cybersecurity: Szkolenia specjalistyczne (rekomendowane certyfikacje typu CISM, CISSP) oraz treningi z procedur reagowania na incydenty (Incident Response).
    • Wszyscy użytkownicy: Regularne szkolenia z zakresu cyberhigieny (phishing, bezpieczne hasła). Pracodawca musi prowadzić rejestr przeprowadzonych szkoleń (tzw. „Training Log”).

NIEMCY

  1. Status implementacji
    Gotowa ustawa. Po intensywnych pracach legislacyjnych w 2024 i 2025 roku, Niemcy w pełni wdrożyły przepisy, zaostrzając niektóre wymogi unijne (tzw. „gold-plating”).
  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
    • Link: https://www.recht.bund.de/bgbl/1/2025/301/VO  – oficjalny dziennik ustaw federalnych.
    • Data wejścia w życie: Obowiązuje w pełni od 2025/2026 r.
  1. Branże kluczowe i ważne

    Niemcy dzielą podmioty na „Besonders wichtige Einrichtungen” (Kluczowe) oraz „Wichtige Einrichtungen” (Ważne).

    • Kluczowe: Energetyka, Transport, Bankowość, Giełdy, Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa, Administracja Publiczna, Przestrzeń Kosmiczna.
    • Ważne: Poczta, Odpady, Chemia, Żywność, Produkcja (maszyny, pojazdy, elektronika), Usługi Cyfrowe, Badania Naukowe.
    • Dodatkowo: Niemcy objęły rygorem niektóre średnie przedsiębiorstwa w sektorach strategicznych, które w innych krajach mogłyby zostać pominięte.
  1. Środki techniczne

    Niemcy kładą nacisk na standardy BSI IT-Grundschutz:

    • Systemy wykrywania ataków (SzA): Obowiązkowe wdrożenie systemów klasy IDS/IPS/SIEM dla podmiotów kluczowych.
    • MFA i Silne Uwierzytelnianie: Standard dla wszystkich dostępów uprzywilejowanych.
    • Zabezpieczenie łańcucha dostaw: Restrykcje dotyczące „komponentów krytycznych” (zakaz stosowania sprzętu od dostawców z krajów o podwyższonym ryzyku politycznym).
    • Szyfrowanie: Wymóg stosowania algorytmów odpornych na komputery kwantowe (rekomendacje BSI).
  1. Środki organizacyjne
    • Zarządzanie incydentami: System raportowania zintegrowany z portalem BSI (obowiązek 24h/72h).
    • Ciągłość działania: Obowiązkowe plany awaryjne (Wiederanlaufpläne).
    • Zarządzanie podatnościami: Aktywne skanowanie i eliminacja luk w oparciu o bazę CVE.
    • Audyty: Obowiązek przeprowadzania audytów bezpieczeństwa co 2 lata przez certyfikowanych audytorów BSI.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca: Prawny obowiązek szkolenia (Art. 38 NIS2uomsüG). Zarząd odpowiada osobistym majątkiem za rażące zaniedbania w nadzorze nad cyberbezpieczeństwem.
    • IT/Cyber: Wymagana znajomość metodyki BSI IT-Grundschutz lub ISO 27001.
    • Użytkownicy: Obowiązkowe okresowe testy socjotechniczne (np. kontrolowany phishing).

FRANCJA

  1. Status implementacji
    • Projekt ustawu. Projekt ustawy, który ma wdrożyć dyrektywę NIS2 (wraz z dyrektywą CER i DORA), jest obecnie procedowany w parlamencie. Oficjalne przyjęcie przepisów spodziewane jest w drugim kwartale 2026 roku (najczęściej wskazuje się lipiec 2026 r. jako realny termin pełnego obowiązywania).
  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: Résilience des infrastructures critiques et renforcement de la cybersécurité (implementująca NIS2 do kodeksu obronności i bezpieczeństwa).
    • Link: https://www.senat.fr/dossier-legislatif/pjl24-033.html
    • Organ nadzorczy: ANSSI (Agence nationale de la sécurité des systèmes d’information).
  1. Branże kluczowe i ważne

    Francja stosuje bardzo szerokie podejście, dzieląc podmioty na „Entités Essentielles” (EE) oraz „Entités Importantes” (EI).

    • Kluczowe (EE): Wszystkie sektory z Załącznika I NIS2 + rozbudowana lista podmiotów administracji publicznej i samorządowej (powyżej określonej liczby mieszkańców).
    • Ważne (EI): Sektory z Załącznika II, w tym duży nacisk na sektor rolno-spożywczy i produkcję przemysłową.
  1. Środki techniczne

    Francja wyróżnia się wymogiem certyfikacji rozwiązań:

    • Produkty z wizą ANSSI: Rekomendacja (a w niektórych sektorach wymóg) stosowania rozwiązań z certyfikatem SecNumCloud (dla chmury) oraz wizą bezpieczeństwa ANSSI dla firewalli i VPN.
    • Zero Trust Architecture: Promowanie architektury braku zaufania.
    • Szyfrowanie: Wyłącznie algorytmy zatwierdzone przez ANSSI (RGS – Référentiel Général de Sécurité).
    • Izolacja systemów: Bardzo surowe wymogi separacji sieci IT od sieci operacyjnych (OT) w przemyśle.
  1. Środki organizacyjne
    • Governance: Wyznaczenie oficera łącznikowego ds. cyberbezpieczeństwa dostępnego 24/7.
    • Zarządzanie kryzysowe: Obowiązkowe uczestnictwo w krajowych ćwiczeniach cybernetycznych (np. Cyber Europe).
    • Analiza ryzyka: Stosowanie metodyki EBIOS Risk Manager opracowanej przez ANSSI.
    • Raportowanie: Przez dedykowaną platformę ANSSI, zintegrowaną z europejskim systemem CyCLONe.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca: Obowiązkowe moduły szkoleniowe z odpowiedzialności cywilnej i karnej za incydenty.
    • IT/Cyber: Rekomendowane ukończenie kursów w „Cyber-campusach” (lokalne huby edukacyjne).
    • Użytkownicy: Francja stawia na platformę „Cybermalveillance.gouv.fr”, która dostarcza ustandaryzowane materiały szkoleniowe dla pracowników.

HISZPANIA

  1. Status implementacji

    Projekt ustawu. Ustawa przeszła przez etap konsultacji publicznych i poprawek zgłoszonych m.in. przez Hiszpański Urząd Ochrony Danych. Choć rząd planował pełne wdrożenie do końca 2025 roku, proces parlamentarny nieco się przeciągnął. Według najświeższych komunikatów, przepisy mają wejść w życie w drugim kwartale 2026 roku.

  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: Real Decreto-ley de Seguridad de las Redes y Sistemas de Información (Actualización NIS2) oraz powiązane z nim królewskie dekretu dotyczące Esquema Nacional de Seguridad (ENS).
    • Link: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-1192
    • Organ nadzorczy: CCN-CERT (dla sektora publicznego i strategicznego) oraz INCIBE-CERT (dla sektora prywatnego i obywateli).
  1. Branże kluczowe i ważne

    Hiszpania dzieli podmioty na „Entidades Esenciales” (Kluczowe) i „Entidades Importantes” (Ważne):

    • Sektory Kluczowe: Energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna.
    • Sektory Ważne: Usługi pocztowe, gospodarka odpadami, chemikalia, żywność, produkcja (elektronika, maszyny, pojazdy), dostawcy usług cyfrowych, badania naukowe.
    • Specyfika: Hiszpania kładzie szczególny nacisk na łańcuch dostaw dla administracji publicznej, co sprawia, że wiele mniejszych firm technologicznych wpada w rygor NIS2 jako poddostawcy.
  1. Środki techniczne

    Fundamentem technicznym jest ENS (Esquema Nacional de Seguridad), który definiuje konkretne poziomy zabezpieczeń (Bajo, Medio, Alto):

    • MFA: Obowiązkowe dla wszystkich dostępów zdalnych i administracyjnych (standard ENS).
    • Szyfrowanie: Wymóg stosowania certyfikowanych modułów kryptograficznych (zgodnych z katalogiem CCN-STIC).
    • Segmentacja sieci: Restrykcyjne zasady separacji sieci produkcyjnych od biurowych.
    • Logowanie i monitorowanie: Obowiązek retencji logów i ich korelacji w celu wykrywania anomalii.
  1. Środki organizacyjne
    • Polityka Bezpieczeństwa (PNS): Każdy podmiot musi posiadać formalnie zatwierdzoną Politykę Bezpieczeństwa Narodowego (PNS).
    • Zarządzanie ryzykiem: Obowiązkowe stosowanie metodyki MAGERIT (oficjalna hiszpańska metoda analizy ryzyka) oraz narzędzia PILAR.
    • Zarządzanie incydentami: Raportowanie do platformy LUCIA (narzędzie CCN-CERT do zarządzania incydentami).
    • Ciągłość działania: Wymóg regularnych testów odtwarzania (DRP) z certyfikacją wyników.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca: Obowiązkowe szkolenia z odpowiedzialności prawnej. W Hiszpanii zarządy muszą podpisać oświadczenie o zapoznaniu się z ryzykami cybernetycznymi organizacji.
    • Pracownicy IT/Cyber: Rekomendowane certyfikaty krajowe wydawane przez CCN (np. kursy eksperckie CCN-STIC). Obowiązkowa znajomość narzędzi MAGERIT i LUCIA.
    • Wszyscy użytkownicy: Obowiązkowe programy awareness realizowane co najmniej raz w roku. INCIBE udostępnia darmowe zestawy narzędzi „Kit de concienciación” dla firm.

PORTUGALIA

  1. Status implementacji
    Gotowa ustawa. Portugalia sfinalizowała proces legislacyjny w 2025 roku, aktualizując wcześniejszy Régime Jurídico da Segurança Ciberespacial.

    Nazwa lokalnej ustawy wraz z linkiem

  1. Branże kluczowe i ważne

    Podział na „Entidades Essenciais” (Kluczowe) i „Entidades Importantes” (Ważne) jest zgodny z unijnym standardem, ale z silnym akcentem na gospodarkę morską:

    • Sektory Kluczowe: Energetyka, transport (w tym silny sektor morski i portowy), bankowość, ochrona zdrowia, woda, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna.
    • Sektory Ważne: Usługi pocztowe, odpady, chemia, żywność, produkcja (technologie medyczne i przemysłowe), dostawcy cyfrowi, badania naukowe.
    • Specyfika: Portugalia objęła rygorem NIS2 dużą liczbę podmiotów w sektorze logistyki morskiej ze względu na strategiczne znaczenie portów (np. Sines).
  1. Środki techniczne

    Portugalia promuje ramy Quadro Nacional de Referência para a Cibersegurança (QNRC):

    • MFA: Obowiązkowe dla dostępów uprzywilejowanych i zdalnych (standard QNRC).
    • Szyfrowanie: Wymóg stosowania algorytmów zatwierdzonych przez CNCS dla ochrony danych w spoczynku i transmisji.
    • Hybrydowe środowiska chmurowe: Specyficzne wytyczne dotyczące zabezpieczania połączeń między infrastrukturą on-premise a chmurą publiczną.
    • Zarządzanie tożsamością (IAM): Silny nacisk na centralne systemy zarządzania tożsamością pracowników.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek stosowania metodyk zgodnych z ISO/IEC 27001 lub krajowym standardem QNRC.
    • Obsługa incydentów: Obowiązkowe zgłaszanie incydentów przez portal CERT.PT (24h na powiadomienie wstępne).
    • Ciągłość działania: Wymóg posiadania „Plano de Continuidade de Negócio” (PCN) i regularne testowanie przywracania systemów po ataku ransomware.
    • Łańcuch dostaw: Obowiązkowa weryfikacja poziomu bezpieczeństwa dostawców IT (Vendor Risk Management).
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (C-level): Obowiązkowe szkolenia z zakresu odpowiedzialności cywilnej i zarządzania kryzysowego. Członkowie zarządu muszą brać udział w okresowych briefingach organizowanych przez CNCS dla sektorów krytycznych.
    • Pracownicy IT/Cyber: Szkolenia techniczne z zakresu wykrywania podatności. CNCS oferuje programy certyfikacyjne „C-Academy”.
    • Wszyscy użytkownicy: Podstawowe szkolenia z cyberhigieny. Portugalia promuje darmowe kursy online „Cidadão Ciberinformado” dostępne na platformie CNCS, które są rekomendowane jako standard dla pracowników biurowych.

IRLANDIA

  1. Status implementacji

    W Irlandii proces ten opiera się na dokumencie o nazwie General Scheme of the National Cyber Security Bill.

    • Status: Ustawa przeszła przez etap konsultacji społecznych i prac rzędowych, ale jej ostateczna wersja (Act) była wciąż procedowana w parlamencie (Oireachtas) na przełomie 2025/2026 roku.
    • Problem: Irlandia została oficjalnie wezwana przez Komisję Europejską do przyspieszenia prac, ponieważ jako hub technologiczny (siedziby Google, Meta, Microsoft) jest kluczowa dla bezpieczeństwa całej Unii.
  1. Nazwa lokalnej ustawy wraz z linkiem
  1. Branże kluczowe i ważne

    Podział na „Essential Entities” i „Important Entities” jest kluczowy ze względu na obecność centrów danych i dostawców chmurowych:

    • Sektory Kluczowe: Energetyka, transport, bankowość, ochrona zdrowia (HSE), woda, Infrastruktura Cyfrowa (w tym IXP, DNS, TLD, Cloud Computing, Data Centers – Irlandia jest tu kluczowym regulatorem w skali UE), Administracja Publiczna.
    • Sektory Ważne: Usługi pocztowe, odpady, chemia, żywność, produkcja (szczególnie sektor farmaceutyczny i wyrobów medycznych – kluczowy dla gospodarki IE), dostawcy usług cyfrowych (wyszukiwarki, platformy handlowe).
  1. Środki techniczne

    NCSC-IE promuje standardy oparte na NIST Cybersecurity Framework oraz własne wytyczne „Public Sector Cyber Security Baseline”:

    • MFA (Multi-Factor Authentication): Bezwzględny wymóg dla wszystkich systemów wystawionych na świat oraz kont z uprawnieniami administracyjnymi.
    • Szyfrowanie i Zarządzanie Kluczami: Standardy dla danych w spoczynku i w ruchu, ze szczególnym uwzględnieniem bezpiecznego zarządzania kluczami w chmurze.
    • Segmentacja i Mikrosegmentacja: Wymagana szczególnie w centrach danych oraz w sektorze medycznym (HSE).
    • Bezpieczeństwo Punktów Końcowych (EDR/XDR): Silny nacisk na aktywne monitorowanie urządzeń końcowych.
  1. Środki organizacyjne
    • Zarządzanie Ryzykiem: Obowiązkowe stosowanie ram ISO 27001 lub NIST. Każdy podmiot musi wyznaczyć CISO (Chief Information Security Officer).
    • Obsługa Incydentów: Raportowanie przez portal NCSC-IE. Irlandia stosuje rygorystyczne „Incident Notification Guidelines” (24h/72h).
    • Zarządzanie Łańcuchem Dostaw (Supply Chain): Ze względu na model gospodarczy, firmy muszą przeprowadzać audyty bezpieczeństwa swoich dostawców IT (SaaS/IaaS).
    • Ciągłość Działania: Obowiązek posiadania przetestowanych planów odtwarzania po ataku typu ransomware.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Boards of Directors): Prawny obowiązek szkolenia. Irlandzkie prawo (Section 20 dyrektywy wdrożone lokalnie) nakłada na zarządy obowiązek posiadania wiedzy niezbędnej do oceny ryzyk. Zarząd musi zatwierdzać środki zarządzania ryzykiem.
    • IT i Cybersecurity: Rekomendowane ścieżki certyfikacji (SANS, GIAC, ISC2) oraz regularne ćwiczenia typu „Red Teaming”.
    • Wszyscy użytkownicy: Obowiązkowe szkolenia z zakresu Cyber Awareness. NCSC-IE udostępnia zasoby dla firm w ramach kampanii „Be Media Smart” i „Cyber Aware”.

HOLANDIA

  1. Status implementacji

    W trakcie finalizacji (przewidywane wejście w życie: II kwartał 2026 r.). Holandia nie ma jeszcze w pełni obowiązującej nowej ustawy. Obecnie trwają intensywne prace nad aktem o nazwie Cyberbeveiligingswet (Cbw), który ma zastąpić dotychczasową ustawę Wbni (z czasu NIS1).

    • Status: Projekt ustawy został przesłany do Tweede Kamer (izby niższej parlamentu) w 2025 roku. Debata plenarna została zaplanowana na marzec 2026 r.
    • Przewidywany termin: Oficjalne komunikaty rzędowe oraz NCSC wskazują na drugi kwartał 2026 roku jako moment, w którym ustawa ma zacząć obowiązywać.
  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: Cyberbeveiligingswet (Cbw) – Ustawa o Cyberbezpieczeństwie.
    • Link: https://www.internetconsultatie.nl/cyberbeveiligingswet/b1
    • Organ nadzorczy: NCSC-NL (dla podmiotów kluczowych) oraz dedykowane organy sektorowe (np. RDI – Rijksinspectie Digitale Infrastructuur dla podmiotów ważnych).
  1. Branże kluczowe i ważne

    Holandia ściśle przestrzega katalogu unijnego, ale kładzie szczególny nacisk na logistykę i infrastrukturę internetową:

    • Sektory Kluczowe: Energetyka, transport (szczególnie port Rotterdam i lotnisko Schiphol), bankowość, ochrona zdrowia, woda pitna, infrastruktura cyfrowa (Holandia jest jednym z największych hubów data center w Europie), administracja rządowa.
    • Sektory Ważne: Gospodarka odpadami, chemikalia, żywność, produkcja (maszyny, elektronika), usługi pocztowe, dostawcy usług cyfrowych (platformy handlowe, wyszukiwarki).
    • Specyfika: Bardzo szerokie ujęcie sektora zarządzania wodą (ze względu na system śluz i polderów, które są krytyczne dla przetrwania kraju).
  1. Środki techniczne

    Holandia promuje standardy oparte na „Cyberhygiëne” oraz ramy ISO 27001:

    • MFA (Meervoudige verificatie): Obowiązkowe dla wszystkich systemów o krytycznym znaczeniu i dostępów zdalnych.
    • Kryptografia: Wymóg stosowania silnego szyfrowania (wytyczne NCSC-NL dotyczące TLS i algorytmów kryptograficznych).
    • Zarządzanie lukami (Vulnerability Management): Aktywne skanowanie i szybkie patchowanie (zasada „patch or mitigate”).
    • Zabezpieczenie łańcucha dostaw: Obowiązkowa ocena ryzyka dostawców (tzw. Third-Party Risk Management).
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek prowadzenia cyklicznych analiz ryzyka i posiadania formalnego Systemu Zarządzania Bezpieczeństwem Informacji (ISMS).
    • Raportowanie incydentów: System dwuetapowy (24h powiadomienie o incydencie o znacznym skutku, 72h szczegółowy raport). Zgłoszenia trafiają do NCSC-NL lub właściwego organu nadzoru (np. RDI).
    • Ciągłość działania (BCP): Obowiązek posiadania planów odtwarzania po awarii (Disaster Recovery) oraz regularnych ćwiczeń symulacyjnych.
    • Ujawnianie podatności (CVD): Promowanie polityki Coordinated Vulnerability Disclosure – każda organizacja powinna mieć procedurę przyjmowania zgłoszeń o błędach od badaczy bezpieczeństwa.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Bestuurders): Obowiązkowe szkolenia (Zorgplicht). Członkowie zarządu ponoszą odpowiedzialność za brak wdrożenia odpowiednich środków. Muszą posiadać wiedzę pozwalającą na zrozumienie ryzyka cybernetycznego organizacji.
    • Specjaliści IT/Cyber: Szkolenia z zakresu reagowania na incydenty oraz zaawansowanej analizy zagrożeń (Threat Intelligence).
    • Pracownicy: Regularne programy podnoszące świadomość. Holandia promuje narodową kampanię „Maak het ze niet te makkelijk” (Nie ułatwiaj im tego), której materiały są standardem w szkoleniach pracowniczych.

ISLANDIA

  1. Status implementacji

    Gotowa ustawa. Islandia przyjęła nowe przepisy pod koniec 2025 roku, dostosowując krajowe ramy prawne (wcześniej oparte na NIS1) do rozszerzonych wymogów NIS2.

  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: Lög um net- og upplýsingaöryggi (Ustawa o bezpieczeństwie sieci i systemów informacyjnych – aktualizacja 2025/2026).
    • Link: https://www.stjornarradid.is/verkefni/fjarskipti/netoryggi/
    • Organ nadzorczy: Electronic Communications Office of Iceland (ECOI) (Fjarskiptastofa) oraz krajowy zespół CERT-IS.
  1. Branże kluczowe i ważne

    Podział na „Mikilvægir innviðir” (Infrastruktura krytyczna/kluczowa) i podmioty ważne:

    • Sektory Kluczowe: Energetyka (geotermalna i wodna – fundament wyspy), Transport (lotniczy i morski – kluczowy dla zaopatrzenia), Bankowość, Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa (podmorskie kable telekomunikacyjne), Administracja Publiczna.
    • Sektory Ważne: Produkcja żywności (przetwórstwo rybne – sektor strategiczny), Gospodarka odpadami, Usługi pocztowe, Produkcja (aluminium), Dostawcy usług cyfrowych.
    • Specyfika: Islandia kładzie ogromny nacisk na bezpieczeństwo łączności międzynarodowej (kable podmorskie łączące wyspę z Europą i Ameryką), traktując je jako priorytet narodowy.
  1. Środki techniczne

    Islandia promuje standardy ISO/IEC 27001 oraz wytyczne CERT-IS:

    • MFA (Fjöruþáttaauðkenning): Powszechne stosowanie uwierzytelniania wieloskładnikowego, często zintegrowanego z islandzkim systemem dowodów elektronicznych (Rafræn skilríki).
    • Szyfrowanie: Obowiązkowe dla danych przesyłanych i przechowywanych w chmurze (standardy AES-256).
    • Segmentacja sieci: Separacja sieci sterowania procesami (OT) w elektrowniach geotermalnych i hutach aluminium.
    • Ochrona przed DDoS: Ze względu na izolację geograficzną, Islandia wymaga od kluczowych operatorów posiadania zaawansowanych systemów mitygacji ataków wolumetrycznych.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek regularnych audytów (co najmniej raz na 2 lata dla podmiotów kluczowych) przeprowadzanych przez niezależne strony trzecie.
    • Obsługa incydentów: Obowiązek zgłaszania incydentów do CERT-IS za pośrednictwem scentralizowanego portalu (24h/72h).
    • Łańcuch dostaw: Wymóg weryfikacji zagranicznych dostawców usług IT, co jest kluczowe, gdyż Islandia importuje większość technologii.
    • Ciągłość działania (BCP): Szczegółowe plany na wypadek utraty łączności ze światem zewnętrznym (tzw. „Island Mode”).
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Stjórnendur): Obowiązkowe szkolenia z zakresu zarządzania ryzykiem i odpowiedzialności prawnej. Islandzkie prawo kładzie nacisk na to, by zarządy rozumiały „profil zagrożeń” specyficzny dla wyspy.
    • Pracownicy IT/Cyber: Rekomendowane uczestnictwo w corocznych ćwiczeniach „Lýður” (krajowe ćwiczenia cyberbezpieczeństwa).
    • Wszyscy użytkownicy: Obowiązkowe szkolenia z cyberhigieny. Islandia korzysta z kampanii „Netöryggi fyrir alla”, mającej na celu edukację całego społeczeństwa.

LUKSEMBURG

  1. Status implementacji

    Gotowa ustawa. Izba Deputowanych (parlament) przyjęła kluczowe poprawki do projektu ustawy nr 8364 w lutym 2026 roku. Data obowiązywania: Przewiduje się, że pełne wdrożenie i egzekwowanie przepisów nastąpi w kwietniu 2026 roku.

  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: Projet de loi concernant des mesures destinées à assurer un niveau élevé de cybersécurité
    • Link: https://www.chd.lu/fr/directive-NIS2-cybersecurite
    • Organy nadzorcze: Głównym koordynatorem jest HCPN (Haut Commissariat à la Protection Nationale), a wsparciem technicznym zajmuje się ANSSI-LU. Sektor finansowy nadzoruje CSSF, a pozostałe (np. telekomunikację czy energię) – ILR.
  1. Branże kluczowe i ważne

    Luksemburg stosuje ścisły podział, ale ze względu na specyfikę kraju, sektor finansowy i funduszowy jest traktowany priorytetowo:

    • Sektory Kluczowe: Energetyka, Transport, Bankowość i Infrastruktura Rynków Finansowych (szczególnie systemy płatnicze), Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa (ogromna koncentracja Tier IV Data Centers), Administracja Publiczna, Przestrzeń Kosmiczna (Luksemburg jest liderem w sektorze satelitarnym).
    • Sektory Ważne: Usługi pocztowe, Gospodarka odpadami, Chemia, Żywność, Produkcja (wyroby medyczne, elektronika), Dostawcy usług cyfrowych, Badania naukowe.
  1. Środki techniczne

    Wymagania techniczne są oparte na standardach ANSSI-LU oraz normach ISO/IEC 27001:

    • MFA (Authentification multi-facteurs): Obowiązkowe dla wszystkich dostępów zewnętrznych oraz kont administracyjnych.
    • Kryptografia: Wymóg stosowania algorytmów o wysokiej odporności, szczególnie w sektorze finansowym i usługach chmurowych.
    • Bezpieczeństwo sieci: Obowiązkowa segmentacja sieci, stosowanie firewalli nowej generacji (NGFW) oraz systemów wykrywania anomalii w ruchu (IDS).
    • Zarządzanie lukami: Regularne skanowanie podatności oraz wymóg przeprowadzania testów penetracyjnych co najmniej raz w roku dla podmiotów kluczowych.
  1. Środki organizacyjne
    • Governance: Każda organizacja musi wyznaczyć osobę odpowiedzialną za bezpieczeństwo informacji (CISO), która raportuje bezpośrednio do zarządu.
    • Obsługa incydentów: Obowiązkowe zgłaszanie incydentów przez portal guichet.lu lub bezpośrednio do CIRCL (Computer Incident Response Center Luxembourg) w modelu 24h/72h.
    • Zarządzanie ryzykiem: Obowiązkowe stosowanie metodyk takich jak MONARC (metodyka opracowana w Luksemburgu, zoptymalizowana pod NIS2).
    • Ciągłość działania (BCP): Bardzo wysokie wymagania dotyczące Disaster Recovery (DR) ze względu na sektor finansowy.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Board members): Prawny obowiązek szkolenia. Zarządy muszą przechodzić regularne sesje z zakresu cyber-odpowiedzialności. W Luksemburgu niedopełnienie tego obowiązku może skutkować zakazem pełnienia funkcji kierowniczych.
    • Pracownicy IT i Cybersecurity: Rekomendowane uczestnictwo w programach szkoleniowych organizowanych przez LHC (Luxembourg House of Cybersecurity).
    • Wszyscy użytkownicy: Obowiązkowe szkolenia z zakresu cyberhigieny. Luksemburg promuje portal „Bee Secure”, który dostarcza materiały do edukacji pracowników.

LIECHTENSTEIN

  1. Status implementacji

    Gotowa ustawa. Liechtenstein zakończył proces legislacyjny w 2025 roku.

  1. Nazwa lokalnej ustawy wraz z linkiem
  1. Branże kluczowe i ważne

    Liechtenstein, mimo małej powierzchni, posiada strategiczne sektory, które podlegają rygorom NIS2:

    • Sektory Kluczowe: Energetyka (sieci przesyłowe), Transport, Bankowość i rynki finansowe (fundament gospodarki Księstwa), Ochrona zdrowia, Woda, Infrastruktura cyfrowa, Administracja publiczna (Landesverwaltung).
    • Sektory Ważne: Gospodarka odpadami, Produkcja (wysoko wyspecjalizowany przemysł maszynowy i stomatologiczny), Chemia, Żywność, Dostawcy usług cyfrowych, Usługi pocztowe.
    • Specyfika: Ze względu na unię celną i ścisłe powiązania ze Szwajcarią, Liechtenstein kładzie duży nacisk na bezpieczeństwo transgranicznej wymiany danych.
  1. Środki techniczne

    Standardy techniczne są silnie powiązane z rekomendacjami szwajcarskiego i niemieckiego BSI:

    • MFA (Multi-Faktor-Authentisierung): Bezwzględny wymóg dla dostępów administracyjnych oraz wszystkich usług bankowości i finansów.
    • Szyfrowanie: Standardy AES-256 dla danych „w spoczynku” oraz wymóg stosowania TLS 1.3 dla transmisji.
    • Segmentacja sieci: Ścisłe oddzielenie systemów sterowania produkcją (OT) od sieci biurowych (IT) w firmach przemysłowych.
    • Zabezpieczenie punktów końcowych: Wymóg stosowania systemów EDR (Endpoint Detection and Response) w podmiotach kluczowych.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek stosowania ram ISO/IEC 27001 lub szwajcarskiego standardu „Cyber-Check”.
    • Obsługa incydentów: Obowiązkowe raportowanie do CERT-LI (część NCSC-LI). Liechtenstein stosuje unijny schemat 24h (wstępne) / 72h (pełne).
    • Ciągłość działania (BCP): Wymóg posiadania strategii „Resilience by Design” – systemy muszą być projektowane tak, aby przetrwać awarię kluczowych węzłów komunikacyjnych ze Szwajcarią lub Austrią.
    • Audyty zewnętrzne: Podmioty kluczowe muszą przechodzić niezależny audyt bezpieczeństwa co 2-3 lata.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Mitglieder der Geschäftsleitung): Obowiązkowe szkolenia. Zgodnie z lokalnym wdrożeniem Art. 20 NIS2, członkowie zarządu mogą ponosić osobistą odpowiedzialność finansową, jeśli nie wykażą się udziałem w szkoleniach z zakresu zarządzania ryzykiem cybernetycznym.
    • Pracownicy IT i Cyber: Specjalistyczne szkolenia z zakresu ochrony infrastruktury krytycznej (Critical Infrastructure Protection – CIP).
    • Wszyscy użytkownicy: Regularne kampanie uświadamiające. Liechtenstein często korzysta z zasobów edukacyjnych szwajcarskiego NCSC oraz niemieckiego BSI.

SŁOWENIA

  1. Status implementacji

    Gotowa ustawa. Słowenia zakończyła proces legislacyjny pod koniec 2025 roku. Nowe przepisy zastąpiły ustawę o cyberbezpieczeństwie z 2018 roku (ZInfV).

  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: Zakon o spremembah in dopolnitvah Zakona o informacijski varnosti (ZInfV-1) – Ustawa o bezpieczeństwie informacji (Nowelizacja NIS2).
    • Link: https://www.uradni-list.si/glasilo-uradni-list-rs/vsebina/2025-01-1571
    • Organ nadzorczy: URSIV (Urad Vlade Republike Slovenije za informacijsko varnost) – Urząd Rządowy ds. Bezpieczeństwa Informacji.
  1. Branże kluczowe i ważne

    Słowenia stosuje podział na „Bistveni subjekti” (Kluczowe) i „Pomembni subjekti” (Ważne):

    • Sektory Kluczowe: Energetyka, transport, bankowość, ochrona zdrowia (system e-zdrowia), woda pitna, infrastruktura cyfrowa, administracja publiczna (w tym samorządy), przestrzeń kosmiczna.
    • Sektory Ważne: Usługi pocztowe, gospodarka odpadami, chemikalia, żywność, produkcja (szczególnie sektor motoryzacyjny i farmaceutyczny – np. Krka), dostawcy usług cyfrowych, badania naukowe.
    • Specyfika: Słowenia objęła szczególnym nadzorem sektor turystyczny (w zakresie dużych platform rezerwacyjnych), uznając go za istotny dla gospodarki narodowej.
  1. Środki techniczne

    Techniczne wymogi są skorelowane z wytycznymi URSIV oraz normą ISO 27001:

    • MFA (Večfaktorna avtentikacija): Obowiązkowe dla wszystkich dostępów administracyjnych oraz zdalnych połączeń VPN.
    • Szyfrowanie i Kryptografia: Wymóg stosowania zatwierdzonych przez państwo algorytmów dla ochrony danych państwowych i medycznych.
    • Bezpieczeństwo sieci: Obowiązkowa segmentacja sieci, stosowanie systemów IDS/IPS oraz regularne skanowanie podatności.
    • Zarządzanie tożsamością (IAM): Silny nacisk na wykorzystanie krajowego systemu identyfikacji elektronicznej SI-PASS.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek prowadzenia cyklicznych analiz ryzyka i wdrażania planów mitygacji. Każdy podmiot kluczowy musi mieć wyznaczonego koordynatora ds. bezpieczeństwa.
    • Obsługa incydentów: Obowiązkowe raportowanie do krajowego zespołu SI-CERT (Slovenian Computer Emergency Response Team). Obowiązuje model 24h / 72h.
    • Ciągłość działania (BCP): Wymóg posiadania strategii odtwarzania systemów po ataku, ze szczególnym uwzględnieniem kopii zapasowych odizolowanych od sieci głównej (offline backups).
    • Zarządzanie łańcuchem dostaw: Obowiązek weryfikacji cyberbezpieczeństwa dostawców zewnętrznych (tzw. „Supply chain security audits”).
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Vodstvo): Obowiązkowe szkolenia. Zgodnie z nowelizacją ZInfV-1, członkowie organów zarządzających podlegają bezpośredniej odpowiedzialności za brak wdrożenia środków bezpieczeństwa i muszą posiadać certyfikowane przeszkolenie z zarządzania ryzykiem cybernetycznym.
    • Pracownicy IT/Cyber: Specjalistyczne kursy organizowane przez URSIV oraz udział w krajowych ćwiczeniach cybernetycznych „Kibernetični ščit” (Cyber Shield).
    • Wszyscy użytkownicy: Regularne szkolenia z cyberhigieny. Słowenia promuje portal „Varni na internetu” (Bezpieczni w internecie) jako główne źródło materiałów edukacyjnych dla pracowników.

CZECHY

  1. Status implementacji

    Gotowa ustawa. Czechy sfinalizowały proces legislacyjny w 2025 roku, wprowadzając całkowicie nową ustawę o cyberbezpieczeństwie, która zastąpiła dotychczasowe przepisy z 2014 roku.

  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: Zákon o kybernetické bezpečnosti (nový zákon o kybernetické bezpečnosti) – Nowa ustawa o cyberbezpieczeństwie.
    • Link: https://www.e-sbirka.cz/sb/2025/264?zalozka=text
    • Organ nadzorczy: NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) – Narodowy Urząd ds. Bezpieczeństwa Cybernetycznego i Informacyjnego.
  1. Branże kluczowe i ważne

    Czechy stosują podział na „Režim vyšších povinností” (Podmioty kluczowe) oraz „Režim nižších povinností” (Podmioty ważne):

    • Sektory Kluczowe: Energetyka, transport, bankowość, ochrona zdrowia (w tym kluczowe szpitale), woda, infrastruktura cyfrowa, administracja publiczna (w tym systemy e-government), przestrzeń kosmiczna.
    • Sektory Ważne: Usługi pocztowe, gospodarka odpadami, chemikalia, żywność, produkcja (szczególnie sektor automotive – Škoda Auto), dostawcy usług cyfrowych, badania naukowe.
    • Specyfika: Czechy objęły rygorem NIS2 dużą liczbę średnich przedsiębiorstw działających w strategicznych łańcuchach dostaw dla przemysłu ciężkiego i zbrojeniowego.
  1. Środki techniczne

    NÚKIB wydaje bardzo szczegółowe rozporządzenia techniczne (vyhlášky), które precyzują wymogi:

    • MFA (Vícefaktorové ověření): Obowiązkowe dla wszystkich kont z uprawnieniami administracyjnymi oraz dostępów zdalnych do sieci wewnętrznej.
    • Szyfrowanie: Wymóg stosowania certyfikowanej kryptografii dla ochrony danych przesyłanych kanałami publicznymi.
    • Mechanizm sprawdzania łańcucha dostaw (Supply Chain Security): Czechy wprowadziły unikalny mechanizm pozwalający państwu na zakazanie stosowania technologii od dostawców uznanych za zagrożenie dla bezpieczeństwa narodowego (tzw. „Supply Chain Security Review”).
    • Segmentacja sieci: Fizyczna lub logiczna separacja sieci sterowania przemysłowego (OT) od sieci IT.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek stosowania metodyk zgodnych z ISO/IEC 27001, z uwzględnieniem specyficznych czeskich wytycznych dotyczących analizy zagrożeń państwowych.
    • Obsługa incydentów: Obowiązkowe raportowanie do portalu GovCERT.cz (dla sektora publicznego) lub CSIRT.cz (dla sektora prywatnego). System 24h/72h.
    • Ciągłość działania (BCP): Wymóg posiadania i regularnego testowania planów odzyskiwania danych po ataku typu ransomware.
    • Rola Managera Cyberbezpieczeństwa: Każdy podmiot kluczowy musi wyznaczyć certyfikowanego managera, architekta oraz audytora cyberbezpieczeństwa.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Vrcholové vedení): Obowiązkowe szkolenia. Czeska ustawa wprost nakłada na zarządy odpowiedzialność za zatwierdzanie środków bezpieczeństwa. Członkowie zarządu muszą przejść szkolenie z zakresu ryzyk cybernetycznych i odpowiedzialności prawnej.
    • Specjaliści IT i Cyber: Rekomendowane uczestnictwo w zaawansowanych ćwiczeniach technicznych organizowanych przez NÚKIB (np. ćwiczenia „Cyber Czech”).
    • Wszyscy użytkownicy: Regularne szkolenia z zakresu bezpieczeństwa informacji (security awareness). NÚKIB udostępnia platformę e-learningową „Osvěta”, z której mogą korzystać podmioty publiczne i prywatne.

DANIA

  1. Status implementacji

    Gotowa ustawa. Dania sfinalizowała proces legislacyjny w 2025 roku. Nowe ramy prawne zastąpiły ustawę o bezpieczeństwie sieci i systemów informacyjnych z 2018 roku, wprowadzając znacznie szerszy zakres podmiotów.

  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven)
    • Link: https://www.retsinformation.dk/eli/lta/2025/434/pdf
    • Organ nadzorczy: Center for Cybersikkerhed (CFCS) jako organ centralny oraz właściwe organy sektorowe (np. Duńska Agencja Energetyczna dla energetyki, Duńska Agencja Morska dla transportu wodnego).
  1. Branże kluczowe i ważne

    Dania stosuje podział na „Væsentlige entiteter” (Kluczowe) oraz „Vigtige entiteter” (Ważne):

    • Sektory Kluczowe: Energetyka (w tym silny sektor morskiej energetyki wiatrowej), Transport, Bankowość, Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa, Administracja Publiczna (na szczeblu państwowym i regionalnym).
    • Sektory Ważne: Usługi pocztowe, Gospodarka odpadami, Chemikalia, Żywność, Produkcja (m.in. przemysł farmaceutyczny – np. Novo Nordisk), Dostawcy usług cyfrowych, Badania naukowe.
    • Specyfika: Dania objęła rygorem NIS2 szerokie grono podmiotów w sektorze morskim ze względu na rolę portów i żeglugi w gospodarce narodowej.
  1. Środki techniczne

    Dania opiera się na standardach ISO/IEC 27001 oraz technicznych rekomendacjach CFCS:

    • MFA (Multifaktor-autentificering): Obowiązkowe dla wszystkich dostępów zdalnych i kont o wysokich uprawnieniach.
    • Szyfrowanie: Wymóg stosowania silnej kryptografii (rekomendacje CFCS dotyczące algorytmów i długości kluczy).
    • Zabezpieczenie łańcucha dostaw: Obowiązek przeprowadzania technicznej oceny ryzyka dostawców komponentów krytycznych.
    • Endpoint Protection: Wymóg stosowania zaawansowanych systemów EDR w sektorach o wysokim profilu ryzyka.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) opartego na ISO 27001.
    • Obsługa incydentów: Obowiązkowe raportowanie do CFCS (24h powiadomienie wstępne / 72h pełny raport). Dania posiada bardzo sprawny system wymiany informacji o zagrożeniach między sektorem publicznym a prywatnym.
    • Ciągłość działania (BCP): Wymóg posiadania i regularnego testowania planów odtwarzania (Disaster Recovery), szczególnie w sektorze ochrony zdrowia i energetyki.
    • Zasada „Dobrej Higieny Cyfrowej”: Dania wprowadziła zestaw minimalnych wymagań organizacyjnych dla mniejszych podmiotów „ważnych”, aby nie obciążać ich nadmierną biurokracją.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Ledelsen): Obowiązkowe szkolenia. Zgodnie z duńskim prawem, członkowie zarządu są osobiście odpowiedzialni za nadzór nad wdrażaniem środków bezpieczeństwa i muszą przejść szkolenie z zakresu ryzyk cybernetycznych (Art. 20 NIS2).
    • Pracownicy IT/Cyber: Specjalistyczne szkolenia techniczne oraz udział w krajowych ćwiczeniach „Cyber Koordination”.
    • Wszyscy użytkownicy: Regularne szkolenia z zakresu cyberhigieny. Dania promuje portal „Sikkerdigital.dk”, który oferuje gotowe materiały edukacyjne dla pracowników firm każdej wielkości.

NORWEGIA

  1. Status implementacji

    Gotowa ustawa. Norwegia zakończyła proces legislacyjny w 2025 roku. Nowe przepisy stanowią ewolucję dotychczasowej ustawy o bezpieczeństwie cyfrowym (Digital sikkerhetslov), dostosowując ją w pełni do rygorów NIS2.

  1. Nazwa lokalnej ustawy wraz z linkiem
  1. Branże kluczowe i ważne

    Norwegia kładzie szczególny nacisk na surowce energetyczne i infrastrukturę podmorską:

    • Sektory Kluczowe: Energetyka (ropa, gaz, hydroenergetyka – fundament bezpieczeństwa Europy), Transport (morski i lotniczy), Bankowość, Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa (kable podmorskie), Administracja Publiczna.
    • Sektory Ważne: Gospodarka odpadami, Produkcja (przemysł wydobywczy, metale), Chemikalia, Żywność (w tym kluczowy sektor akwakultury/łososia), Usługi pocztowe, Dostawcy usług cyfrowych.
    • Specyfika: Norwegia objęła rygorem NIS2 szeroki wachlarz podmiotów obsługujących platformy wiertnicze i rurociągi, traktując je jako infrastrukturę o znaczeniu krytycznym dla kontynentu.
  1. Środki techniczne

    Norweskie NSM publikuje zestaw „Podstawowych zasad cyberbezpieczeństwa” (Grunnprinsipper for IKT-sikkerhet):

    • MFA (Flerfaktorautentisering): Obowiązkowe dla wszystkich połączeń zewnętrznych i administracyjnych.
    • Kryptografia: Wymóg stosowania silnych algorytmów zatwierdzonych przez NSM (szczególnie w sektorze naftowym i gazowym).
    • Segmentacja i Izolacja: Restrykcyjne zasady separacji sieci SCADA/OT od sieci korporacyjnych, aby zapobiec rozprzestrzenianiu się ransomware.
    • Monitorowanie ruchu: Obowiązek wdrożenia systemów wykrywania intruzów zintegrowanych z krajowym systemem wczesnego ostrzegania (VDI).
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek stosowania metodyk opartych na ISO/IEC 27001 lub norweskim standardzie NSM.
    • Obsługa incydentów: Obowiązkowe raportowanie do NorCERT (część NSM) oraz sektorowych centrów reagowania (np. KraftCERT dla energetyki). Termin: 24h na powiadomienie o istotnym incydencie.
    • Zarządzanie łańcuchem dostaw: Obowiązkowa weryfikacja bezpieczeństwa dostawców (Supply Chain Risk Management), zwłaszcza w projektach infrastrukturalnych.
    • Ciągłość działania (BCP): Wymóg posiadania scenariuszy na wypadek całkowitej utraty łączności satelitarnej lub kablowej.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Styret og ledelsen): Obowiązkowe szkolenia. Norweskie prawo kładzie nacisk na „odpowiedzialność dowodzenia”. Zarząd musi rozumieć ryzyka cyfrowe i zatwierdzać budżety na bezpieczeństwo.
    • Pracownicy IT i Cyber: Rekomendowane uczestnictwo w corocznych ćwiczeniach „Øvelse Digital” (ogólnokrajowe ćwiczenia z odporności cyfrowej).
    • Wszyscy użytkownicy: Regularne szkolenia z zakresu cyberhigieny. Norwegia promuje portal „Nettvett.no”, który dostarcza standardowe materiały szkoleniowe dla pracowników.

SZWECJA

  1. Status implementacji

    Gotowa ustawa. Szwecja sfinalizowała proces legislacyjny w 2025 roku, wprowadzając nową ustawę o cyberbezpieczeństwie, która znacząco rozszerzyła obowiązki raportowania i nadzoru nad sektorami krytycznymi.

  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: Cybersäkerhetslag (2025:1506) – Ustawa o cyberbezpieczeństwie.
    • Link: https://www.svenskforfattningssamling.se/doc/20251506.html
    • Organ nadzorczy: MSB (Myndigheten för samhällsskydd och beredskap) – Szwedzka Agencja ds. Cywilnych Sytuacji Nadzwyczajnych, we współpracy z organami sektorowymi (np. Post- och telestyrelsen dla telekomunikacji).
  1. Branże kluczowe i ważne

    Szwecja stosuje podział na „Väsentliga entiteter” (Kluczowe) oraz „Viktiga entiteter” (Ważne):

    • Sektory Kluczowe: Energetyka, Transport, Bankowość, Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa (w tym duże huby cloud), Administracja Publiczna (w tym gminy – kommuner), Przestrzeń Kosmiczna (centrum kosmiczne Esrange).
    • Sektory Ważne: Gospodarka odpadami, Chemikalia, Żywność, Produkcja (szczególnie sektor obronny i maszynowy – np. Saab, Scania), Usługi pocztowe, Dostawcy usług cyfrowych, Badania naukowe.
    • Specyfika: Szwecja kładzie ogromny nacisk na samorządy lokalne, które zarządzają kluczową infrastrukturą na poziomie gmin.
  1. Środki techniczne

    Szwecja opiera wymogi na standardach MSB oraz „Podstawowej cyberhigienie”:

    • MFA (Flerfaktorsautentisering): Bezwzględny wymóg dla wszystkich dostępów zdalnych i administracyjnych.
    • Szyfrowanie i Kryptografia: Wymóg stosowania algorytmów zatwierdzonych przez MSB i Försvarsmakten (Siły Zbrojne) dla ochrony danych wrażliwych.
    • Segmentacja sieci: Ścisłe odizolowanie systemów sterowania (SCADA/ICS) w sektorze energetycznym i wodnym.
    • Detekcja i Reagowanie (EDR/MDR): Obowiązek posiadania zdolności do aktywnego wykrywania intruzów w sieciach podmiotów kluczowych.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) zgodnego z ISO/IEC 27001 lub szwedzkim standardem SS-ISO/IEC 27001.
    • Obsługa incydentów: Obowiązkowe raportowanie do CERT-SE (część MSB). Obowiązuje model 24h / 72h.
    • Łańcuch dostaw: Obowiązkowa weryfikacja dostawców pod kątem bezpieczeństwa narodowego (szczególnie w infrastrukturze 5G i chmurze).
    • Ciągłość działania (BCP): Plany muszą uwzględniać współpracę z obroną cywilną w ramach koncepcji „Obrony Totalnej”.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Ledningen): Obowiązkowe szkolenia. Zarządy ponoszą bezpośrednią odpowiedzialność prawną i finansową. Muszą przechodzić okresowe szkolenia z zakresu ryzyk cyfrowych i zarządzania kryzysowego.
    • Pracownicy IT i Cyber: Rekomendowane uczestnictwo w krajowych ćwiczeniach „Viking” oraz szkolenia techniczne oferowane przez MSB.
    • Wszyscy użytkownicy: Regularne szkolenia z zakresu cyberhigieny. Szwecja promuje portal „Din Säkerhet”, który dostarcza materiały do edukacji pracowników i obywateli.

FINLANDIA

  1. Status implementacji

    Gotowa ustawa. Finlandia sfinalizowała proces legislacyjny w 2024 roku, a przepisy w pełni obowiązują od 2025 roku. Nowe ramy prawne zastąpiły wcześniejszą ustawę o usługach komunikacji elektronicznej w zakresie cyberbezpieczeństwa.

  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: Kyberturvallisuuslaki (Ustawa o Cyberbezpieczeństwie) oraz nowelizacje powiązanych ustaw sektorowych.
    • Link: https://valtioneuvosto.fi/paatokset/paatos?decisionId=3531
    • Organ nadzorczy: Kyberturvallisuuskeskus (NCSC-FI) podlegający pod Traficom (Fińska Agencja Transportu i Komunikacji).
  1. Branże kluczowe i ważne

    Finlandia stosuje klasyfikację „Keskeiset toimijat” (Kluczowe) oraz „Tärkeät toimijat” (Ważne):

    • Sektory Kluczowe: Energetyka (w tym nuklearna), Transport, Bankowość, Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa, Administracja Publiczna, Przestrzeń Kosmiczna.
    • Sektory Ważne: Usługi pocztowe, Gospodarka odpadami, Chemikalia, Żywność, Produkcja (w tym zaawansowany przemysł drzewny i maszynowy), Dostawcy usług cyfrowych, Badania naukowe.
    • Specyfika: Finlandia objęła rygorem NIS2 szeroki zakres sieci ciepłowniczych, które ze względu na klimat są uznawane za infrastrukturę krytyczną dla przetrwania ludności.
  1. Środki techniczne

    NCSC-FI promuje standardy oparte na „Security by Design” oraz fińskie ramy Katakri (dla informacji niejawnych):

    • MFA (Monivaiheinen tunnistautuminen): Obowiązkowe dla wszystkich dostępów do systemów krytycznych i pracy zdalnej.
    • Szyfrowanie: Wymóg stosowania silnej kryptografii (rekomendacje NCSC-FI oparte na standardach kryptograficznych odpornych na ataki kwantowe w przyszłości).
    • Segmentacja sieci: Restrykcyjne separowanie sieci sterowania procesami (OT) od sieci korporacyjnych, szczególnie w elektrowniach i zakładach przemysłowych.
    • Endpoint Detection and Response (EDR): Wymóg ciągłego monitorowania punktów końcowych w podmiotach kluczowych.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek stosowania ISO/IEC 27001 lub krajowego standardu PiTuVi (wytyczne dla bezpieczeństwa chmury i sieci).
    • Obsługa incydentów: Obowiązkowe raportowanie do NCSC-FI (24h wstępne / 72h szczegółowe). Finlandia posiada unikalny system wymiany informacji o zagrożeniach w czasie rzeczywistym między firmami a rządem.
    • Ciągłość działania (BCP): Plany muszą być zintegrowane z krajowym systemem Huoltovarmuuskeskus (Centrum Dostaw Krytycznych), który zapewnia funkcjonowanie gospodarki w czasie kryzysu.
    • Łańcuch dostaw: Obowiązkowa weryfikacja bezpieczeństwa dostawców, szczególnie w obszarze technologii 5G/6G.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Ylin johto): Obowiązkowe szkolenia. Zarządy mają ustawowy obowiązek rozumienia ryzyk i zatwierdzania strategii cyberbezpieczeństwa. Niedopełnienie grozi wysokimi karami administracyjnymi.
    • Pracownicy IT/Cyber: Rekomendowane uczestnictwo w zaawansowanych ćwiczeniach „TIETO” (ogólnokrajowe ćwiczenia z odporności cyfrowej sektora prywatnego i publicznego).
    • Wszyscy użytkownicy: Regularne szkolenia z cyberhigieny. Finlandia korzysta z platformy „Kansalaisen kyberopas”, edukującej zarówno pracowników, jak i obywateli.

ESTONIA

  1. Status implementacji

    Gotowa ustawa. Estonia sfinalizowała proces transpozycji NIS2 w 2026 roku, wprowadzając gruntowne zmiany w swojej ustawie o cyberbezpieczeństwie (Küberturvalisuse seadus).

  1. Nazwa lokalnej ustawy wraz z linkiem
  1. Branże kluczowe i ważne

    Estonia stosuje klasyfikację „Olulised teenuseosutajad” (Kluczowe) oraz „Tähtsad teenuseosutajad” (Ważne):

    • Sektory Kluczowe: Energetyka, Transport, Bankowość, Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa (X-Road, podpisy elektroniczne), Administracja Publiczna (w tym e-wybory), Przestrzeń Kosmiczna.
    • Sektory Ważne: Gospodarka odpadami, Produkcja, Chemikalia, Żywność, Usługi pocztowe, Dostawcy usług cyfrowych, Badania naukowe.
    • Specyfika: Ze względu na model e-państwa, Estonia objęła rygorem NIS2 niemal każdego dostawcę usług zaufania oraz firmy zarządzające rejestrami państwowymi.
  1. Środki techniczne

    Estonia opiera się na własnym, rygorystycznym standardzie E-ITS (Estonian Information Security Standard):

    • MFA (Mitmeteguriline autentimine): Obowiązkowe, z silnym naciskiem na wykorzystanie ID-kaart, Mobile-ID lub Smart-ID.
    • Kryptografia: Wymóg stosowania algorytmów zatwierdzonych przez RIA, ze szczególnym uwzględnieniem ochrony integralności danych w systemie X-Road.
    • Zarządzanie tożsamością (IAM): Scentralizowane systemy kontroli dostępu oparte na architekturze rozproszonej.
    • Monitorowanie i Wykrywanie: Obowiązek wdrożenia sensorów sieciowych przekazujących zanonimizowane dane o zagrożeniach do CERT-EE w czasie rzeczywistym.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązkowe stosowanie standardu E-ITS (następca ISKE), który jest kompatybilny z ISO 27001, ale dostosowany do specyfiki e-governmentu.
    • Obsługa incydentów: Obowiązkowe raportowanie do CERT-EE (24h/72h). Estonia posiada jeden z najszybszych na świecie systemów triage’u incydentów.
    • Ciągłość działania (BCP): Unikalna koncepcja „Data Embassies” (ambasad danych) – przechowywanie kopii zapasowych krytycznych rejestrów państwowych na serwerach w Luksemburgu, aby zapewnić ciągłość państwa w razie cyberwojny.
    • Łańcuch dostaw: Bardzo restrykcyjne wymogi dotyczące dostawców technologii, szczególnie z krajów trzecich.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Juhatus): Obowiązkowe szkolenia. Zarządy podmiotów kluczowych muszą posiadać certyfikację z zakresu zarządzania ryzykiem. W Estonii odpowiedzialność zarządu za cyberbezpieczeństwo jest egzekwowana z dużą surowością.
    • Pracownicy IT/Cyber: Rekomendowane uczestnictwo w ćwiczeniach organizowanych przez NATO CCDCOE (Tallinn jest siedzibą Centrum Doskonałości Cyberobrony NATO).
    • Wszyscy użytkownicy: Regularne szkolenia. Estonia promuje platformę „Küberpähkel” (Cyber-orzech) do edukacji pracowników i uczniów.

BUŁGARIA

  1. Status implementacji

    Gotowa ustawa. Bułgaria sfinalizowała proces legislacyjny w 2025 roku, nowelizując kluczową ustawę o cyberbezpieczeństwie z 2018 roku, aby w pełni zintegrować wymogi NIS2.

  1. Nazwa lokalnej ustawy wraz z linkiem do niej
  1. Branże kluczowe i ważne

    Bułgaria dzieli podmioty na „Съществени услуги” (Kluczowe) oraz „Важни услуги” (Ważne):

    • Sektory Kluczowe: Energetyka (w tym jądrowa – elektrownia Kozłoduj), Transport, Bankowość, Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa, Administracja Publiczna, Przestrzeń Kosmiczna.
    • Sektory Ważne: Gospodarka odpadami, Produkcja (maszyny, elektronika), Chemikalia, Żywność, Usługi pocztowe, Dostawcy usług cyfrowych, Badania naukowe.
    • Specyfika: Bułgaria objęła szczególnym nadzorem sektor turystyczny o znaczeniu narodowym oraz firmy obsługujące rurociągi tranzytowe gazu.
  1. Środki techniczne

    Wymagania techniczne są doprecyzowane w rozporządzeniach Ministerstwa Administracji Elektronicznej:

    • MFA (Многофакторна автентификация): Obowiązkowe dla wszystkich kont z dostępem do systemów informacji o znaczeniu krytycznym.
    • Szyfrowanie: Wymóg stosowania certyfikowanych metod kryptograficznych dla danych przesyłanych wewnątrz sieci administracji publicznej i sektorów kluczowych.
    • Segmentacja sieci: Ścisłe odizolowanie systemów sterowania (OT/ICS) od sieci biurowych w zakładach energetycznych i wodociągowych.
    • Zabezpieczenie punktów końcowych: Wymóg stosowania systemów ochrony przed złośliwym oprogramowaniem z centralnym zarządzaniem.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek stosowania standardów ISO/IEC 27001 lub krajowej metodologii oceny ryzyka opracowanej przez Ministerstwo.
    • Obsługa incydentów: Obowiązkowe raportowanie do CERT-BG (24h powiadomienie o istotnym zagrożeniu / 72h pełny raport).
    • Ciągłość działania (BCP): Wymóg posiadania i okresowego testowania planów odzyskiwania danych po awarii (Disaster Recovery).
    • Audyty: Podmioty kluczowe muszą przechodzić zewnętrzny audyt bezpieczeństwa co najmniej raz na dwa lata.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Ръководни кадри): Obowiązkowe szkolenia. Zarządy firm kluczowych muszą przejść certyfikowane przeszkolenie z zakresu zarządzania ryzykiem cybernetycznym i odpowiedzialności prawnej wynikającej z ustawy ZKS.
    • Pracownicy IT i Cybersecurity: Rekomendowane uczestnictwo w krajowych i międzynarodowych ćwiczeniach (np. Cyber Europe).
    • Wszyscy użytkownicy: Regularne szkolenia podnoszące świadomość. Bułgaria promuje krajową platformę e-learningową dla pracowników administracji i biznesu w zakresie higieny cyfrowej.

BELGIA

  1. Status implementacji

    Gotowa ustawa. Belgia przyjęła ustawę implementującą NIS2 w kwietniu 2024 r., a większość jej przepisów weszła w życie 18 października 2024 r. Belgia jest uznawana za unijnego lidera pod względem szybkości i jakości wdrożenia.

  1. Nazwa lokalnej ustawy wraz z linkiem
  1. Branże kluczowe i ważne

    Belgia stosuje podział na „Entités Essentielles” (Kluczowe) oraz „Entités Importantes” (Ważne):

    • Sektory Kluczowe: Energetyka, Transport, Bankowość, Ochrona Zdrowia, Woda pitna, Ścieki, Infrastruktura Cyfrowa, Administracja Publiczna (federalna i regionalna), Przestrzeń Kosmiczna.
    • Sektory Ważne: Usługi pocztowe, Gospodarka odpadami, Chemikalia, Żywność, Produkcja (wyroby medyczne, komputery, pojazdy), Dostawcy usług cyfrowych, Badania naukowe.
    • Specyfika: Belgia nałożyła szczególne obowiązki na podmioty zarządzające infrastrukturą portową (np. Port w Antwerpii-Brugii) oraz instytucje obsługujące międzynarodowe systemy płatnicze (np. SWIFT).
  1. Środki techniczne

    Belgia promuje ramy CyberFundamentals Framework (CyFun®), które oferują różne poziomy dojrzałości (Small, Basic, Important, Essential):

    • MFA (Multifactor Authentication): Bezwzględny wymóg dla wszystkich dostępów zdalnych i kont uprzywilejowanych.
    • Szyfrowanie: Wymóg stosowania silnych protokołów (TLS 1.2+) oraz szyfrowania danych wrażliwych „at rest”.
    • Segmentacja sieci: Obowiązkowa separacja środowisk IT i OT (Operational Technology) w przemyśle i energetyce.
    • Zarządzanie podatnościami: Aktywne skanowanie i eliminacja luk; Belgia kładzie duży nacisk na politykę Coordinated Vulnerability Disclosure (CVD).
  1. Środki organizacyjne
    • Rejestracja w Safeonweb@Work: Każdy podmiot objęty ustawą musi zarejestrować się na portalu CCB w celu identyfikacji i komunikacji.
    • Zarządzanie ryzykiem: Obowiązek stosowania metodyk zgodnych z ISO/IEC 27001 lub ramami CyFun®.
    • Obsługa incydentów: Obowiązkowe raportowanie do CCB/CERT.be (24h powiadomienie o incydencie o znacznym skutku / 72h szczegółowy raport).
    • Ciągłość działania (BCP): Wymóg posiadania planów odtwarzania po awarii (Disaster Recovery) oraz regularne testowanie kopii zapasowych.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Organes de direction): Obowiązkowe szkolenia. Belgijska ustawa wprost nakłada na zarządy odpowiedzialność za zatwierdzanie środków zarządzania ryzykiem. Członkowie zarządu muszą posiadać odpowiednią wiedzę, by nadzorować te procesy (Art. 20 NIS2).
    • Pracownicy IT i Cybersecurity: Szkolenia specjalistyczne oraz udział w platformach wymiany informacji (np. Cybil).
    • Wszyscy użytkownicy: Regularne szkolenia z zakresu higieny cybernetycznej. CCB udostępnia darmowe webinaria i materiały w ramach kampanii „Safeonweb”.

WŁOCHY

  1. Status implementacji

    Gotowa ustawa. Włochy sfinalizowali proces legislacyjny w 2024 roku. Nowe przepisy w pełni integrują wymogi NIS2 z istniejącą włoską architekturą bezpieczeństwa narodowego (Perimetro di Sicurezza Nazionale Cibernetica).

  1. Nazwa lokalnej ustawy wraz z linkiem do niej
  1. Branże kluczowe i ważne

    Włochy stosują podział na „Soggetti Essenziali” (Kluczowe) oraz „Soggetti Importanti” (Ważne):

    • Sektory Kluczowe: Energetyka, Transport, Bankowość, Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa (w tym krajowe węzły wymiany ruchu), Administracja Publiczna (centralna i lokalna), Przestrzeń Kosmiczna.
    • Sektory Ważne: Gospodarka odpadami, Chemikalia, Żywność, Produkcja (w tym sektor luksusowy i automotive – np. Ferrari, Leonardo), Usługi pocztowe, Dostawcy usług cyfrowych, Badania naukowe.
    • Specyfika: Włochy objęły rygorem NIS2 dużą liczbę podmiotów zarządzających infrastrukturą turystyczną i kulturalną o znaczeniu strategicznym dla PKB kraju.
  1. Środki techniczne

    Włochy kładą duży nacisk na ramy Cyber Resilience Act oraz krajowe wytyczne ACN:

    • MFA (Autenticazione a più fattori): Obowiązkowe dla wszystkich dostępów do sieci korporacyjnych i systemów krytycznych.
    • Szyfrowanie: Wymóg stosowania algorytmów zatwierdzonych przez ACN (szczególny nacisk na dane przechowywane w chmurze rządowej).
    • Bezpieczeństwo sieci: Obowiązkowa segmentacja sieci oraz wdrożenie systemów klasy SOC (Security Operations Center) dla podmiotów kluczowych.
    • Kwalifikowane Usługi Chmurowe: Wymóg korzystania z dostawców chmury posiadających certyfikację ACN (zgodnie z modelem Polo Strategico Nazionale).
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązkowe stosowanie „Framework Nazionale per la Cybersecurity e la Data Protection” (opartego na ISO 27001 i NIST).
    • Obsługa incydentów: Obowiązkowe raportowanie do CSIRT Italia (część ACN). Terminy: 24h (wstępne) / 72h (pełne).
    • Ciągłość działania (BCP): Wymóg posiadania i regularnego testowania planów Disaster Recovery, w tym scenariuszy na wypadek ataków na infrastrukturę fizyczną (np. kable transmedyterranejskie).
    • Odpowiedzialność dostawców: Włochy wprowadziły rygorystyczny proces weryfikacji dostawców technologii ICT z krajów spoza UE (tzw. „Golden Power” w cyberprzestrzeni).
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Organi di gestione): Obowiązkowe szkolenia. Członkowie zarządu ponoszą bezpośrednią odpowiedzialność za zatwierdzanie środków technicznych i organizacyjnych. Muszą uczestniczyć w programach szkoleniowych organizowanych lub certyfikowanych przez ACN.
    • Pracownicy IT i Cybersecurity: Specjalistyczne szkolenia techniczne oraz udział w krajowych ćwiczeniach „Cyber Europe” i lokalnych symulacjach ACN.
    • Wszyscy użytkownicy: Regularne programy podnoszące świadomość (Awareness training). Włochy promują platformy e-learningowe opracowane we współpracy z uniwersytetami w ramach programu „Cyber 4.0”.

CHORWACJA

  1. Status implementacji

    Gotowa ustawa. Chorwacja przyjęła nową ustawę o cyberbezpieczeństwie na początku 2024 roku, a większość przepisów wykonawczych weszła w życie w 2025 roku.

  1. Nazwa lokalnej ustawy wraz z linkiem
  1. Branże kluczowe i ważne

    Chorwacja dzieli podmioty na „Ključni subjekti” (Kluczowe) oraz „Važni subjekti” (Ważne):

    • Sektory Kluczowe: Energetyka, Transport, Bankowość, Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa, Administracja Publiczna, Przestrzeń Kosmiczna.
    • Sektory Ważne: Usługi pocztowe, Gospodarka odpadami, Produkcja, Chemikalia, Żywność, Dostawcy usług cyfrowych, Badania naukowe.
    • Specyfika: Chorwacja objęła rygorem NIS2 szeroki wachlarz podmiotów turystycznych i hotelarskich o znaczeniu strategicznym (ze względu na udział turystyki w PKB), a także firmy obsługujące infrastrukturę portową na Adriatyku.
  1. Środki techniczne

    Chorwacja opiera wymagania na normach ISO/IEC 27001 oraz krajowych wytycznych SOA:

    • MFA (Višefaktorska autentifikacija): Obowiązkowe dla wszystkich dostępów zdalnych (VPN) oraz dla kont administracyjnych w sektorach kluczowych.
    • Kryptografia: Wymóg stosowania silnego szyfrowania danych wrażliwych (zgodnie ze standardami NATO i UE, których Chorwacja ściśle przestrzega).
    • Bezpieczeństwo sieci: Obowiązkowa segmentacja sieci IT i OT (Operational Technology) w przemyśle i energetyce.
    • Ochrona przed atakami DDoS: Wymóg posiadania technicznych środków ochrony przed atakami wolumetrycznymi dla dostawców infrastruktury cyfrowej.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek wdrożenia udokumentowanego procesu analizy ryzyka i zarządzania bezpieczeństwem informacji.
    • Obsługa incydentów: Obowiązkowe raportowanie do CERT.hr (krajowy zespół reagowania) oraz do SOA. System 24h (powiadomienie wstępne) / 72h (pełny raport).
    • Ciągłość działania (BCP): Podmioty kluczowe muszą posiadać przetestowane plany przywracania systemów po awarii, ze szczególnym uwzględnieniem kopii zapasowych odizolowanych fizycznie (offline).
    • Audyty: Regularne audyty zewnętrzne (co najmniej raz na 2 lata dla podmiotów kluczowych).
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Upravljačka tijela): Obowiązkowe szkolenia. Zarządy ponoszą bezpośrednią odpowiedzialność za naruszenia NIS2. Członkowie zarządu muszą brać udział w programach edukacyjnych z zakresu cyberhigieny i zarządzania ryzykiem prawnym.
    • Specjaliści IT i Cyber: Rekomendowane szkolenia techniczne oraz udział w krajowych ćwiczeniach „Kibernetički štit” (Cyber Tarcza).
    • Wszyscy użytkownicy: Regularne sesje podnoszące świadomość zagrożeń (phishing, inżynieria społeczna). Chorwacja promuje kampanię „Veliki hrvatski cyber-test” jako narzędzie edukacyjne.

WĘGRY

  1. Status implementacji

    Gotowa ustawa. Węgry były jednym z pierwszych krajów, które przyjęły ramy prawne dla NIS2 (już w 2023 r.), a pełna egzekucja przepisów i obowiązek audytów weszły w życie w 2024 i 2025 roku.

  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: Act XXIII of 2023 on cybersecurity certification and cybersecurity supervision (Ustawa XXIII z 2023 r. o cyberbezpieczeństwie).
    • Link: https://njt.hu/jogszabaly/en/2023-23-00-00
    • Organ nadzorczy: SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) – Urząd Nadzoru nad Działalnością Regulowaną.
  1. Branże kluczowe i ważne

    Węgry stosują podział na „Kiemelten kritikus” (Kluczowe) oraz „Kritikus” (Ważne):

    • Sektory Kluczowe: Energetyka, Transport, Bankowość, Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa, Administracja Publiczna, Przestrzeń Kosmiczna.
    • Sektory Ważne: Usługi pocztowe, Gospodarka odpadami, Produkcja (maszyny, chemikalia, żywność), Dostawcy usług cyfrowych, Badania naukowe.
    • Specyfika: Węgry nałożyły bardzo surowe wymogi na sektor produkcyjny, który stanowi trzon ich gospodarki (szczególnie przemysł motoryzacyjny i bateryjny).
  1. Środki techniczne

    Wymogi techniczne są precyzowane przez rozporządzenia SZTFH:

    • MFA (Többtényezős hitelesítés): Obowiązkowe dla wszystkich dostępów zdalnych i administracyjnych w podmiotach obu kategorii.
    • Szyfrowanie: Bezwzględny wymóg szyfrowania danych w spoczynku i w transmisji przy użyciu algorytmów zatwierdzonych przez krajowe służby bezpieczeństwa.
    • Zarządzanie podatnościami: Obowiązek regularnego skanowania i eliminowania luk technicznych w systemach krytycznych.
    • Logowanie i Monitoring: Wymóg przechowywania logów systemowych przez określony czas w celu umożliwienia analizy powłamaniowej.
  1. Środki organizacyjne
    • Rejestracja: Każdy podmiot podlegający ustawie musiał zarejestrować się w systemie SZTFH do połowy 2024 roku.
    • Zarządzanie ryzykiem: Obowiązek wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) opartego na klasach bezpieczeństwa (1-4).
    • Obsługa incydentów: Obowiązkowe raportowanie do MKCSK (część SZTFH) oraz do GovCERT-HU. System 24h / 72h.
    • Obowiązkowy Audyt: Co dwa lata każdy podmiot musi przejść audyt przeprowadzony przez niezależną firmę audytorską zarejestrowaną w SZTFH. Jest to jeden z najbardziej unikalnych i rygorystycznych wymogów na Węgrzech.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Vezetők): Obowiązkowe szkolenia. Zarządy ponoszą bezpośrednią odpowiedzialność za wdrożenie środków NIS2. Muszą brać udział w certyfikowanych szkoleniach z zarządzania ryzykiem.
    • Specjaliści IT i Cyber: Rekomendowane szkolenia techniczne oraz ścisła współpraca z Narodowym Instytutem Cyberbezpieczeństwa (NKI).
    • Wszyscy użytkownicy: Regularne szkolenia z cyberhigieny. Węgry promują kampanię „KiberPajzs” (Cybertarcza), która dostarcza materiały edukacyjne dla pracowników.

SŁOWACJA

  1. Status implementacji

    Gotowa ustawa. Słowacja znowelizowała swoją dotychczasową ustawę o cyberbezpieczeństwie (Zákon o kybernetickej bezpečnosti) w 2024 roku, wprowadzając pełną zgodność z dyrektywą NIS2 od początku 2025 roku.

  1. Nazwa lokalnej ustawy wraz z linkiem
  1. Branże kluczowe i ważne

    Słowacja dzieli podmioty na „Základné služby” (Kluczowe) oraz „Dôležité služby” (Ważne):

    • Sektory Kluczowe: Energetyka, Transport, Bankowość, Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa, Administracja Publiczna, Przestrzeń Kosmiczna.
    • Sektory Ważne: Usługi pocztowe, Gospodarka odpadami, Produkcja (bardzo ważny sektor automotive – np. Volkswagen, Kia, Stellantis), Chemikalia, Żywność, Dostawcy usług cyfrowych, Badania naukowe.
    • Specyfika: Słowacja objęła rygorem NIS2 szeroki zakres podmiotów w sektorze hutniczym i maszynowym, które stanowią kręgosłup eksportowy kraju.
  1. Środki techniczne

    NBÚ wydaje szczegółowe rozporządzenia (vyhlášky) określające parametry techniczne:

    • MFA (Viacfaktorová autentifikácia): Obowiązkowe dla wszystkich kont z dostępem do systemów informacji o znaczeniu krytycznym oraz dla połączeń zdalnych.
    • Szyfrowanie: Wymóg stosowania metod kryptograficznych zatwierdzonych przez NBÚ, szczególnie dla ochrony danych przesyłanych kanałami publicznymi.
    • Segmentacja sieci: Ścisła separacja sieci OT (systemów sterowania przemysłowego) od sieci korporacyjnych IT.
    • Monitorowanie i Wykrywanie: Obowiązek wdrożenia systemów wykrywania incydentów i anomalii (IDS/IPS) w podmiotach kluczowych.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek stosowania Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) zgodnego z ISO/IEC 27001 lub krajowymi standardami NBÚ.
    • Obsługa incydentów: Obowiązkowe raportowanie do SK-CERT (część NBÚ) oraz do CSIRT.SK (dla administracji publicznej). Model 24h / 72h.
    • Ciągłość działania (BCP): Wymóg posiadania planów odtwarzania po awarii oraz regularne testowanie przywracania danych z kopii zapasowych.
    • Audyty: Podmioty kluczowe mają obowiązek poddania się audytowi cyberbezpieczeństwa przeprowadzanemu przez certyfikowanego audytora co dwa lata.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Štatutárne orgány): Obowiązkowe szkolenia. Zarządy ponoszą bezpośrednią odpowiedzialność za brak wdrożenia środków bezpieczeństwa. Członkowie zarządu muszą posiadać udokumentowaną wiedzę z zakresu zarządzania ryzykiem cybernetycznym.
    • Specjaliści IT i Cyber: Rekomendowane uczestnictwo w zaawansowanych szkoleniach technicznych oraz krajowych ćwiczeniach „Cyber Zora”.
    • Wszyscy użytkownicy: Regularne szkolenia z zakresu cyberhigieny. Słowacja promuje portal „Kyberbezpecnost.sk” jako źródło materiałów edukacyjnych dla pracowników.

ŁOTWA

  1. Status implementacji

    Gotowa ustawa. Łotwa sfinalizowała prace nad nową ustawą o cyberbezpieczeństwie w 2024 roku, a od początku 2025 roku przepisy NIS2 są w pełni egzekwowane.

  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: Nacionālās kiberdrošības likums (Narodowa Ustawa o Cyberbezpieczeństwie).
    • Link: https://www.vestnesis.lv/op/2024/128A.1
    • Organy nadzorcze: Nacionālais kiberdrošības centrs (NKDC) – Narodowe Centrum Cyberbezpieczeństwa (działające w ramach Ministerstwa Obrony) oraz CERT.LV.
  1. Branże kluczowe i ważne

    Łotwa dzieli podmioty na „Būtisko pakalpojumu sniedzēji” (Kluczowe) oraz „Svarīgo pakalpojumu sniedzēji” (Ważne):

    • Sektory Kluczowe: Energetyka, Transport, Bankowość, Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa, Administracja Publiczna, Przestrzeń Kosmiczna.
    • Sektory Ważne: Gospodarka odpadami, Produkcja, Chemikalia, Żywność, Usługi pocztowe, Dostawcy usług cyfrowych, Badania naukowe.
    • Specyfika: Łotwa objęła rygorem NIS2 dużą liczbę nadawców medialnych (radiowych i telewizyjnych) oraz dostawców infrastruktury krytycznej w porcie w Rydze i Windawie.
  1. Środki techniczne

    Wymagania opierają się na standardach NKDC oraz certyfikacjach NATO:

    • MFA (Daudzfaktoru autentifikācija): Obowiązkowe dla wszystkich kont z dostępem do zasobów krytycznych i pracy zdalnej.
    • Kryptografia: Wymóg stosowania silnych metod szyfrowania (AES-256 i nowsze) dla danych wrażliwych.
    • Systemy wykrywania intruzów: Obowiązek instalacji sensorów sieciowych CERT.LV w podmiotach kluczowych (tzw. „Kibersargs” – cybertarcza).
    • Zarządzanie lukami: Regularne skanowanie systemów pod kątem podatności i ich natychmiastowe raportowanie.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) zgodnego z ISO 27001.
    • Obsługa incydentów: Obowiązkowe raportowanie do CERT.LV (24h powiadomienie wstępne / 72h pełny raport).
    • Łańcuch dostaw: Bardzo restrykcyjna kontrola dostawców IT (szczególnie weryfikacja pod kątem wpływów państw spoza NATO/UE).
    • Ciągłość działania (BCP): Wymóg posiadania strategii „Resilience First” – systemy muszą być gotowe na działanie w trybie autonomicznym w razie odcięcia od sieci zewnętrznych.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Valdes locekļi): Obowiązkowe szkolenia. Członkowie zarządu muszą posiadać certyfikat ukończenia szkolenia z zakresu zarządzania ryzykiem cybernetycznym i odpowiedzialności prawnej.
    • Pracownicy IT i Cyber: Udział w corocznych ćwiczeniach „Cyber Chess” oraz szkoleniach technicznych organizowanych przez CERT.LV.
    • Wszyscy użytkownicy: Obowiązkowe szkolenia z cyberhigieny. Łotwa promuje platformę „E-mācības” dla urzędników i pracowników sektora prywatnego.

LITWA

  1. Status implementacji

    Gotowa ustawa. Litwa przyjęła nowelizację ustawy o cyberbezpieczeństwie w połowie 2024 roku. Przepisy w pełni obowiązują od początku 2025 roku, a proces rejestracji podmiotów kluczowych został już zakończony.

  1. Nazwa lokalnej ustawy wraz z linkiem
  1. Branże kluczowe i ważne

    Litwa stosuje podział na „Esminiai subjektai” (Kluczowe) oraz „Svarbūs subjektai” (Ważne):

    • Sektory Kluczowe: Energetyka, Transport, Bankowość, Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa, Administracja Publiczna, Przestrzeń Kosmiczna.
    • Sektory Ważne: Gospodarka odpadami, Chemikalia, Żywność, Produkcja, Usługi pocztowe, Dostawcy usług cyfrowych, Badania naukowe.
    • Specyfika: Litwa objęła rygorem NIS2 wszystkie podmioty zarządzające krytyczną infrastrukturą informacyjną państwa, w tym systemy obsługujące port w Kłajpedzie oraz korytarze energetyczne.
  1. Środki techniczne

    Wymogi techniczne są dyktowane przez NKSC i opierają się na standardach bezpieczeństwa narodowego:

    • MFA (Daugiafaktorinis autentiškumo patvirtinimas): Bezwzględnie obowiązkowe dla wszystkich połączeń zdalnych i kont uprzywilejowanych.
    • Kryptografia: Wymóg stosowania certyfikowanych przez państwo algorytmów szyfrowania dla danych wrażliwych i komunikacji międzyresortowej.
    • Bezpieczeństwo sieci: Obowiązkowa segmentacja sieci oraz wdrożenie systemów wykrywania intruzów (IDS/IPS) zintegrowanych z systemem wczesnego ostrzegania NKSC.
    • Hardening systemów: Obowiązek stosowania konfiguracji obronnych (tzw. „security baselines”) dla serwerów i stacji roboczych.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek stosowania metodyk zgodnych z ISO/IEC 27001 oraz krajowymi wytycznymi NKSC.
    • Obsługa incydentów: Obowiązkowe raportowanie do NKSC / CERT-LT. Terminy: 24h (wstępne) / 72h (pełne).
    • Zarządzanie łańcuchem dostaw: Bardzo restrykcyjne przepisy dotyczące dostawców technologii ICT – Litwa jako jedna z pierwszych w UE wykluczyła dostawców „wysokiego ryzyka” (np. z Chin i Rosji) z kluczowej infrastruktury.
    • Ciągłość działania (BCP): Wymóg posiadania i regularnego testowania planów odzyskiwania danych w scenariuszach hybrydowych (np. cyberatak połączony z awarią fizyczną).
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Vadovybė): Obowiązkowe szkolenia. Zarządy podmiotów kluczowych mają ustawowy obowiązek uczestnictwa w szkoleniach z zakresu zarządzania ryzykiem cybernetycznym. Odpowiedzialność osobista członków zarządu jest na Litwie traktowana bardzo poważnie.
    • Pracownicy IT i Cyber: Rekomendowane uczestnictwo w zaawansowanych ćwiczeniach „Amber Mist” (cykliczne ćwiczenia cyberobronne organizowane przez wojsko i NKSC).
    • Wszyscy użytkownicy: Regularne szkolenia z cyberhigieny. Litwa promuje platformę „Kibermokslas” do edukacji pracowników.

RUMUNIA

  1. Status implementacji

    Gotowa ustawa. Rumunia sfinalizowała proces legislacyjny w 2025 roku, aktualizując wcześniejszą ustawę o bezpieczeństwie sieci i systemów informatycznych (nr 362/2018). Nowe przepisy znacząco rozszerzyły kompetencje DNSC w zakresie audytowania firm.

  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: ORDONANȚĂ DE URGENȚĂ privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil
    • Link: https://www.dnsc.ro/vezi/document/oug-privind-transpunerea-directivei-nis-2
    • Organ nadzorczy: DNSC (Directoratul Național de Securitate Cibernetică) – Narodowy Dyrektoriat ds. Cyberbezpieczeństwa.
  1. Branże kluczowe i ważne

    Rumunia dzieli podmioty na „Entități esențiale” (Kluczowe) oraz „Entități importante” (Ważne):

    • Sektory Kluczowe: Energetyka, Transport, Bankowość, Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa, Administracja Publiczna, Przestrzeń Kosmiczna.
    • Sektory Ważne: Gospodarka odpadami, Chemikalia, Żywność, Produkcja (w tym sektor IT i outsourcingu usług cyfrowych), Usługi pocztowe, Badania naukowe.
    • Specyfika: Rumunia objęła rygorem NIS2 szeroki wachlarz dostawców usług zarządzanych (MSP), uznając ich za krytyczne ogniwo w łańcuchu dostaw dla globalnych korporacji operujących w tym kraju.
  1. Środki techniczne

    DNSC narzuca standardy zbliżone do wymogów ENISA oraz ramy techniczne NIST:

    • MFA (Autentificarea multifactor): Bezwzględnie obowiązkowe dla wszystkich dostępów uprzywilejowanych oraz pracowników zdalnych.
    • Szyfrowanie: Wymóg stosowania silnej kryptografii (minimum AES-256) dla danych wrażliwych przesyłanych kanałami publicznymi.
    • Bezpieczeństwo sieci: Obowiązkowa implementacja systemów SIEM (Security Information and Event Management) w podmiotach kluczowych.
    • Zabezpieczenie OT: Fizyczna i logiczna izolacja systemów sterowania procesami w sektorze energetycznym (szczególnie w energetyce jądrowej – Cernavodă).
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek wdrożenia ISMS opartego na ISO/IEC 27001 lub krajowym schemacie certyfikacji DNSC.
    • Obsługa incydentów: Obowiązkowe raportowanie do DNSC / CERT-RO. Terminy: 24h (wstępne) / 72h (pełne).
    • Zarządzanie łańcuchem dostaw: Obowiązkowa certyfikacja cyberbezpieczeństwa dla kluczowych dostawców technologii ICT.
    • Ciągłość działania (BCP): Wymóg posiadania planów na wypadek całkowitego paraliżu infrastruktury krytycznej, w tym scenariusze przywracania systemów bez dostępu do Internetu.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Conducerea): Obowiązkowe szkolenia. Rumuńska ustawa przewiduje wysokie kary finansowe dla członków zarządu za zaniedbania w obszarze nadzoru nad cyberbezpieczeństwem. Kadra musi przejść certyfikowane kursy z zakresu ryzyka operacyjnego.
    • Specjaliści IT i Cyber: Rekomendowane uczestnictwo w ćwiczeniach „Lumea Cibernetică” (lokalne ćwiczenia cyberobronne).
    • Wszyscy użytkownicy: Regularne szkolenia z zakresu higieny cyfrowej. Rumunia promuje portal „Siguranța Online” do edukacji pracowników.

GRECJA

  1. Status implementacji

    Gotowa ustawa. Grecja sfinalizowała proces legislacyjny w 2025 roku. Nowe przepisy zastąpiły wcześniejszą ustawę 4577/2018, dostosowując krajowe ramy do rygorystycznych wymogów NIS2 i rozszerzając listę podmiotów o tysiące nowych firm.

  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: Νόμος για την Κυβερνοασφάλεια (Ενσωμάτωση NIS2) – Ustawa o Cyberbezpieczeństwie (Implementacja NIS2).
    • Link: https://search.et.gr/el/fek/?fekId=774154
    • Organ nadzorczy: Εθνική Αρχή Κυβερνοασφάλειας (EAK) – Narodowa Agencja Cyberbezpieczeństwa (National Cybersecurity Authority).
  1. Branże kluczowe i ważne

    Grecja stosuje podział na „Βασικές οντότητες” (Kluczowe) oraz „Σημαντικές οντότητες” (Ważne):

    • Sektory Kluczowe: Energetyka, Transport (szczególnie morski), Bankowość, Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa, Administracja Publiczna, Przestrzeń Kosmiczna.
    • Sektory Ważne: Gospodarka odpadami, Chemikalia, Żywność, Produkcja, Usługi pocztowe, Dostawcy usług cyfrowych, Badania naukowe.
    • Specyfika: Grecja objęła rygorem NIS2 ogromną liczbę podmiotów w sektorze żeglugi i logistyki portowej (np. Port w Pireusie i Salonikach), uznając je za krytyczne dla globalnych łańcuchów dostaw.
  1. Środki techniczne

    Wytyczne techniczne są wydawane przez EAK i często bazują na standardach ENISA (która ma swoją siedzibę w Atenach):

    • MFA (Αυθεντικοποίηση πολλαπλών παραγόντων): Obowiązkowe dla wszystkich dostępów do systemów zarządzania infrastrukturą i pracy zdalnej.
    • Szyfrowanie: Wymóg stosowania silnej kryptografii dla danych w spoczynku i w transmisji, ze szczególnym uwzględnieniem komunikacji między wyspami a lądem.
    • Bezpieczeństwo sieci: Obowiązkowa segmentacja sieci IT/OT, zwłaszcza w sektorze energetycznym i w transporcie morskim (bezpieczeństwo systemów pokładowych).
    • Certyfikacja urządzeń: Grecja promuje korzystanie z produktów ICT posiadających certyfikaty bezpieczeństwa uznawane na poziomie UE.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek wdrożenia ISMS opartego na ISO/IEC 27001 lub krajowych wytycznych EAK.
    • Obsługa incydentów: Obowiązkowe raportowanie do CSIRT-CYBER (krajowy zespół reagowania). Terminy: 24h (powiadomienie wstępne) / 72h (pełny raport).
    • Ciągłość działania (BCP): Wymóg posiadania planów na wypadek awarii systemów łączności, co jest kluczowe dla integralności terytorialnej kraju (archipelagi).
    • Zarządzanie łańcuchem dostaw: Obowiązkowa weryfikacja dostawców technologii, szczególnie w projektach 5G i modernizacji portów.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Διοικητικά όργανα): Obowiązkowe szkolenia. Zarządy greckich firm kluczowych ponoszą odpowiedzialność osobistą za brak wdrożenia wymogów NIS2. Muszą brać udział w certyfikowanych szkoleniach z zakresu zarządzania ryzykiem cybernetycznym.
    • Specjaliści IT i Cyber: Rekomendowane szkolenia organizowane przez EAK oraz udział w ćwiczeniach „Panoptis” (ogólnokrajowe ćwiczenia cyberbezpieczeństwa).
    • Wszyscy użytkownicy: Regularne programy awareness. Grecja promuje portal „CyberSafe” do edukacji pracowników sektora publicznego i prywatnego.

CYPR

  1. Status implementacji

    Gotowa ustawa. Cypr zakończył proces transpozycji NIS2 w 2025 roku, aktualizując ustawę o bezpieczeństwie sieci i systemów informacyjnych (Ustawa 89(I)/2020). Nowe ramy prawne znacząco zwiększyły uprawnienia kontrolne komisarza DSA.

  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: Ο περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών (Τροποποιητικός) Νόμος του 2025
    • Link: https://dsa.cy/images/pdf-upload/DSA-Law-60-I-2025.pdf
    • Organ nadzorczy: Digital Security Authority (DSA) – działający pod egidą Komisarza ds. Komunikacji (OCECPR).
  1. Branże kluczowe i ważne

    Cypr dzieli podmioty na „Βασικές οντότητες” (Kluczowe) oraz „Σημαντικές οντότητες” (Ważne):

    • Sektory Kluczowe: Energetyka, Transport (lotniczy i morski), Bankowość i Finanse, Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa (kluczowe kable podmorskie łączące Europę z Bliskim Wschodem), Administracja Publiczna, Przestrzeń Kosmiczna.
    • Sektory Ważne: Usługi pocztowe, Gospodarka odpadami, Chemikalia, Żywność, Produkcja (m.in. farmaceutyczna), Dostawcy usług cyfrowych, Badania naukowe.
    • Specyfika: Cypr objął rygorem NIS2 szeroką grupę zarządców statków (Ship Management) oraz firm obsługujących rejestr morski, co jest unikalne w tej skali w UE.
  1. Środki techniczne

    DSA publikuje wytyczne oparte na standardach ENISA oraz NIST:

    • MFA (Αυθεντικοποίηση πολλαπλών παραγόντων): Obowiązkowe dla dostępów administracyjnych oraz dla wszystkich pracowników firm finansowych i operatorów infrastruktury krytycznej.
    • Szyfrowanie: Wymóg stosowania silnych algorytmów dla danych przesyłanych przez międzynarodowe łącza podmorskie.
    • Ciągłe Monitorowanie: Obowiązek wdrożenia systemów wykrywania włamań (IDS) i monitorowania logów (SIEM) w podmiotach kluczowych.
    • Bezpieczeństwo chmury: Restrykcyjne zasady dotyczące hostowania danych administracji publicznej i danych medycznych.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek wdrożenia ram bezpieczeństwa zgodnych z ISO/IEC 27001 lub krajowym standardem bezpieczeństwa cyfrowego opracowanym przez DSA.
    • Obsługa incydentów: Obowiązkowe raportowanie do CSIRT-CY (Krajowy Zespół Reagowania na Incydenty Komputerowe). Model raportowania: 24h powiadomienie wstępne / 72h pełny raport.
    • Łańcuch dostaw: Obowiązkowa weryfikacja dostawców technologii ICT, zwłaszcza w sektorze telekomunikacyjnym i bankowym.
    • Audyty: Podmioty kluczowe muszą przechodzić regularne audyty przeprowadzane przez certyfikowanych audytorów zewnętrznych, których raporty trafiają bezpośrednio do DSA.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Διοικητικά συμβούλια): Obowiązkowe szkolenia. Członkowie zarządu ponoszą bezpośrednią odpowiedzialność za zatwierdzanie środków zarządzania ryzykiem. Muszą uczestniczyć w szkoleniach z zakresu zarządzania kryzysowego w cyberprzestrzeni.
    • Pracownicy IT i Cyber: Rekomendowane uczestnictwo w ćwiczeniach „Cyber S” oraz programach certyfikacyjnych oferowanych przez DSA.
    • Wszyscy użytkownicy: Regularne kampanie awareness. Cypr promuje krajowy program „CyberAware Cyprus” skierowany do sektora MŚP i dużych przedsiębiorstw.

SERBIA

  1. Status implementacji

    W trakcie wdrażania / Nowa ustawa. Serbia przygotowała nową ustawę o bezpieczeństwie informacyjnym (Zakon o informacionoj bezbednosti), która odzwierciedla kluczowe wymogi NIS2. Proces ten jest nadzorowany w ramach krajowej strategii rozwoju bezpieczeństwa informacyjnego na lata 2021–2026.

  1. Nazwa lokalnej ustawy wraz z linkiem
  1. Branże kluczowe i ważne

    Serbia definiuje podmioty jako „IKT sistemi od posebnog značaja” (Systemy ICT o szczególnym znaczeniu):

    • Sektory Kluczowe: Energetyka, Transport, Bankowość, Rynki finansowe, Ochrona zdrowia, Woda, Infrastruktura cyfrowa, Administracja publiczna.
    • Sektory Ważne: Usługi pocztowe, Gospodarka odpadami, Produkcja i dystrybucja chemikaliów, Produkcja żywności, Produkcja maszynowa, Dostawcy usług cyfrowych (chmura, wyszukiwarki).
    • Specyfika: Serbia kładzie ogromny nacisk na sektor górniczy i hutniczy oraz na firmy IT (outsourcing), które są kluczowym towarem eksportowym kraju.
  1. Środki techniczne

    Wymagania techniczne są określane przez rozporządzenia rządu (Uredbe) i nadzorowane przez RATEL:

    • MFA (Višefaktorska autentifikacija): Obowiązkowe dla dostępów do systemów o znaczeniu szczególnym oraz dla administratorów sieci.
    • Kryptografia: Stosowanie standardów szyfrowania zgodnych z zaleceniami krajowymi, ze szczególnym uwzględnieniem ochrony danych osobowych (zgodność z serbskim odpowiednikiem RODO – ZZPL).
    • Ochrona przed atakami sieciowymi: Obowiązek posiadania systemów zapobiegających atakom DDoS oraz monitorowania ruchu w czasie rzeczywistym.
    • Zarządzanie lukami: Regularne przeprowadzanie testów penetracyjnych i skanowania podatności.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek przyjęcia Aktu o Bezpieczeństwie Systemów IKT, który musi być aktualizowany co najmniej raz w roku.
    • Obsługa incydentów: Obowiązkowe raportowanie incydentów o znacznym wpływie do SRB-CERT. Termin: bezzwłocznie, nie później niż 24h od wykrycia.
    • Ciągłość działania (BCP): Wymóg posiadania planów odzyskiwania danych po awarii (Disaster Recovery) i regularnego testowania kopii zapasowych.
    • Audyty: Operatorzy systemów o znaczeniu szczególnym muszą poddawać się zewnętrznemu audytowi bezpieczeństwa co najmniej raz na dwa lata.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca: Obowiązkowa odpowiedzialność. Choć serbskie prawo kładzie nacisk na odpowiedzialność prawną podmiotu, nowe wytyczne wymagają, aby osoby zarządzające były świadome ryzyk cybernetycznych i zatwierdzały plany bezpieczeństwa.
    • Pracownicy IT: Specjalistyczne szkolenia organizowane przez RATEL oraz Narodową Akademię Administracji Publicznej (NAJU).
    • Wszyscy użytkownicy: Regularne podnoszenie świadomości (awareness). Serbia prowadzi kampanie takie jak „Pametno i bezbedno” (Mądrze i bezpiecznie).

MACEDONIA PÓŁNOCNA

  1. Status implementacji

    W trakcie wdrażania / Nowe ramy prawne. Macedonia Północna przygotowała nową Ustawę o bezpieczeństwie sieci i systemów informatycznych, która jest niemal dosłownym odzwierciedleniem dyrektywy NIS2. Proces ten jest kluczowym elementem Krajowej Strategii Cyberbezpieczeństwa.

  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: Закон за безбедност на мрежни и информациски системи (Ustawa o bezpieczeństwie sieci i systemów informacyjnych).
    • Link: https://portal.mdt.gov.mk/post-body-files/zakoni-mdt-file-I4ez.pdf
    • Organ nadzorczy: MKD-CIRT (Национален центар за одговор на компјутерски инциденти) działający w ramach Agencji Komunikacji Elektronicznej (AEK).
  1. Branże kluczowe i ważne

    Macedonia Północna stosuje klasyfikację zbliżoną do unijnej, koncentrując się na operatorach usług kluczowych (Оператори на суштински услуги):

    • Sektory Kluczowe: Energetyka, Transport, Bankowość, Infrastruktura rynku finansowego, Ochrona zdrowia, Woda, Infrastruktura cyfrowa, Administracja publiczna.
    • Sektory Ważne: Usługi pocztowe, Gospodarka odpadami, Produkcja i dystrybucja żywności, Dostawcy usług cyfrowych (platformy handlowe, chmura).
    • Specyfika: Ze względu na aspiracje do NATO i UE, Macedonia Północna objęła rygorem NIS2 wszystkie podmioty zarządzające krytyczną infrastrukturą informacyjną rządu oraz systemy wspierające obronność cywilną.
  1. Środki techniczne

    Wymogi techniczne są dyktowane przez MKD-CIRT i opierają się na standardach ISO:

    • MFA (Мулти-факторска автентикација): Rekomendowana i wdrażana jako obowiązek dla wszystkich dostępów do administracji państwowej i sektorów krytycznych.
    • Szyfrowanie: Wymóg stosowania silnych algorytmów kryptograficznych dla ochrony danych obywateli (zgodnie z krajowym prawem ochrony danych osobowych, zharmonizowanym z RODO).
    • Segmentacja sieci: Separacja sieci publicznych od wewnętrznych sieci rządowych i operacyjnych (OT) w energetyce.
    • Monitoring incydentów: Obowiązek wdrożenia narzędzi do ciągłego monitorowania logów i ruchu sieciowego.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek posiadania polityki bezpieczeństwa informacji opartej na ISO/IEC 27001.
    • Obsługa incydentów: Obowiązkowe raportowanie do MKD-CIRT. Terminy są dostosowywane do standardu 24h/72h w celu pełnej synchronizacji z krajami UE.
    • Ciągłość działania (BCP): Podmioty kluczowe muszą posiadać plany Disaster Recovery, w tym procedury przywracania usług po atakach typu ransomware.
    • Współpraca regionalna: Aktywne uczestnictwo w regionalnych inicjatywach cyberbezpieczeństwa na Bałkanach Zachodnich.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca: Zwiększona odpowiedzialność. Nowe przepisy wprowadzają odpowiedzialność kierownictwa za zaniedbania w obszarze cyberbezpieczeństwa, co wiąże się z obowiązkiem przechodzenia okresowych briefingów dotyczących ryzyk cyfrowych.
    • Pracownicy IT i Cyber: Regularne szkolenia organizowane przez MKD-CIRT oraz udział w ćwiczeniach „Cyber S” (Słowenia/Bałkany) i międzynarodowych symulacjach NATO.
    • Wszyscy użytkownicy: Promowanie kampanii edukacyjnych takich jak „Safe.mk” mających na celu podniesienie ogólnej kultury bezpieczeństwa cyfrowego.

ALBANIA

  1. Status implementacji

    Gotowa ustawa. Albania przyjęła nową ustawę o cyberbezpieczeństwie w 2024 roku, która niemal w 100% odzwierciedla zapisy unijnej dyrektywy NIS2. Nowe przepisy weszły w życie na początku 2025 roku.

  1. Nazwa lokalnej ustawy wraz z linkiem
  1. Branże kluczowe i ważne

    Albania stosuje podział na „Infrastruktura Kritike e Informacionit” (Infrastruktura Krytyczna) oraz „Infrastruktura e Rëndësishme” (Ważna):

    • Sektory Kluczowe: Energetyka, Transport, Bankowość, Ochrona Zdrowia, Woda, Infrastruktura Cyfrowa, Administracja Publiczna (portal e-Albania).
    • Sektory Ważne: Usługi pocztowe, Gospodarka odpadami, Produkcja, Żywność, Dostawcy usług cyfrowych, Badania naukowe.
    • Specyfika: Ze względu na model „Digital First”, Albania objęła szczególnym nadzorem wszystkie podmioty obsługujące systemy administracji e-obywatela oraz sektor turystyczny.
  1. Środki techniczne

    ACES narzuca standardy oparte na ISO 27001 oraz wytycznych NATO:

    • MFA (Autentifikimi me shumë faktorë): Bezwzględny wymóg dla wszystkich systemów rządowych i operatorów usług kluczowych.
    • Szyfrowanie: Obowiązek stosowania silnej kryptografii dla danych wrażliwych przesyłanych wewnątrz sieci państwowych.
    • Segmentacja sieci: Ścisłe odizolowanie systemów krytycznych od otwartego internetu.
    • Zabezpieczenie przed atakami hybrydowymi: Wymóg wdrożenia zaawansowanych systemów ochrony przed DDoS oraz systemów monitorowania ruchu w czasie rzeczywistym.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek posiadania polityki bezpieczeństwa zatwierdzonej przez ACES i regularnej aktualizacji analizy zagrożeń.
    • Obsługa incydentów: Obowiązkowe raportowanie do AL-CIRT (część ACES). Terminy: 24h (powiadomienie o incydencie) / 72h (pełny raport techniczny).
    • Ciągłość działania (BCP): Podmioty kluczowe muszą posiadać georedundantne kopie zapasowe danych.
    • Audyty: Operatorzy infrastruktury krytycznej są poddawani corocznym audytom przeprowadzanym przez inspektorów ACES.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca (Drejtuesit): Obowiązkowe szkolenia. Po reformie z 2024 r. zarządy firm kluczowych odpowiadają osobiście (również finansowo) za błędy w nadzorze nad cyberbezpieczeństwem.
    • Pracownicy IT i Cyber: Regularne szkolenia w ramach programów wsparcia od USA i UE. Udział w ćwiczeniach „Cyber Shield”.
    • Wszyscy użytkownicy: Obowiązkowe kursy z higieny cyfrowej dla pracowników administracji publicznej.

CZARNOGÓRA

  1. Status implementacji

    Gotowa ustawa / Wdrażanie przepisów wykonawczych. Czarnogóra przyjęła nową ustawę o bezpieczeństwie informacji (Zakon o informacionoj bezbjednosti) pod koniec 2024 roku. Ustawa ta jest w pełni zharmonizowana z dyrektywą NIS2 i stanowi fundament dla budowy nowoczesnego ekosystemu ochrony cyfrowej.

  1. Nazwa lokalnej ustawy wraz z linkiem
  1. Branże kluczowe i ważne

    Czarnogóra stosuje klasyfikację „Operatori kritične informatičke infrastrukture” (Operatorzy krytycznej infrastruktury informatycznej):

    • Sektory Kluczowe: Energetyka, Transport, Bankowość, Ochrona Zdrowia, Zaopatrzenie w wodę, Infrastruktura cyfrowa, Administracja publiczna.
    • Sektory Ważne: Usługi pocztowe, Gospodarka odpadami, Produkcja, Żywność, Dostawcy usług cyfrowych, turystyka (o znaczeniu strategicznym).
    • Specyfika: Ze względu na aspiracje do UE, szczególnym nadzorem objęto sektor telekomunikacyjny oraz systemy obsługujące port Bar, który jest kluczowym punktem logistycznym kraju.
  1. Środki techniczne

    Wymagania techniczne są określane przez Agencję Cyberbezpieczeństwa w oparciu o standardy NATO i ENISA:

    • MFA (Višefaktorska autentifikacija): Obowiązkowe dla wszystkich dostępów do infrastruktury krytycznej oraz usług e-administracji.
    • Szyfrowanie: Wymóg stosowania silnych algorytmów (standardy AES-256) dla ochrony danych przesyłanych w sieciach rządowych.
    • Monitoring i Detekcja: Obowiązek wdrożenia rozwiązań typu SOC (Security Operations Center) dla największych podmiotów w sektorze energetycznym i finansowym.
    • Ochrona Endpointów: Wymóg stosowania zaawansowanych systemów klasy EDR/XDR w administracji publicznej.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek wdrożenia ram bezpieczeństwa zgodnych z normą ISO/IEC 27001.
    • Obsługa incydentów: Obowiązkowe raportowanie do CIRT.ME. Przyjęto unijny model raportowania: 24h (wczesne ostrzeżenie) / 72h (szczegółowy raport).
    • Ciągłość działania (BCP): Wymóg posiadania strategii odzyskiwania danych (Disaster Recovery) z uwzględnieniem kopii zapasowych przechowywanych w bezpiecznych, odizolowanych lokalizacjach.
    • Audyty: Regularne audyty bezpieczeństwa przeprowadzane przez certyfikowane podmioty trzecie lub inspektorów Agencji Cyberbezpieczeństwa.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca: Obowiązkowa odpowiedzialność. Nowe prawo nakłada na kierownictwo organizacji obowiązek rozumienia ryzyk cybernetycznych i bezpośrednią odpowiedzialność za zatwierdzanie planów ochrony.
    • Specjaliści IT i Cyber: Rekomendowane uczestnictwo w międzynarodowych ćwiczeniach (np. NATO Locked Shields) oraz szkoleniach organizowanych przez Regionalne Centrum Szkoleniowe Cyberbezpieczeństwa (WB3C) w Podgoricy.
    • Wszyscy użytkownicy: Regularne programy podnoszące świadomość, ze szczególnym uwzględnieniem ochrony przed phishingiem i inżynierią społeczną.

UKRAINA

  1. Status implementacji

    Wdrożone i aktywne. Ukraina zaktualizowała swoją ustawę „O podstawach zapewnienia cyberbezpieczeństwa Ukrainy” oraz powiązane akty prawne (w tym uchwały Gabinetu Ministrów), aby w pełni odzwierciedlały rygory NIS2. Ze względu na stan wojny, wiele z tych przepisów jest bardziej restrykcyjnych niż standardy unijne.

  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: Закон України „Про основні засади забезпечення кібербезпеки України” (Ustawa o podstawowych zasadach zapewnienia cyberbezpieczeństwa Ukrainy).
    • Link:
    • Organy nadzorcze: NCSCC (Narodowe Centrum Koordynacji Cyberbezpieczeństwa przy Radzie Bezpieczeństwa Narodowego i Obrony), SSSCIP (Państwowa Służba Łączności Specjalnej i Ochrony Informacji) oraz CERT-UA.
  1. Branże kluczowe i ważne

    Ukraina stosuje klasyfikację „Об’єкти критичної інфраструктури” (Obiekty infrastruktury krytycznej), podzieloną na cztery kategorie istotności:

    • Sektory Kluczowe: Energetyka (jądrowa, gazowa, elektryczna), Transport, Bankowość i Finanse, Ochrona Zdrowia, Zaopatrzenie w wodę i żywność, Infrastruktura cyfrowa (telekomunikacja, chmura), Administracja Publiczna (w tym system Diia), Przemysł Obronny.
    • Sektory Ważne: Produkcja chemiczna, Gospodarka odpadami, Usługi pocztowe, Dostawcy usług cyfrowych, Instytucje badawcze.
    • Specyfika: Ukraina jako pierwsza w Europie nadała status infrastruktury krytycznej rejestrom elektronicznym oraz systemom satelitarnym wykorzystywanym do łączności cywilnej i wojskowej.
  1. Środki techniczne

    Wymagania techniczne są ekstremalnie wysokie ze względu na ciągłe ataki typu wiper i ataki na sieć energetyczną:

    • MFA (Багатофакторна автентифікација): Obowiązkowe dla każdego dostępu do systemów państwowych i infrastruktury krytycznej.
    • Szyfrowanie: Wymóg stosowania algorytmów odpornych na próby przełamania przez obce służby (standardy krajowe i NATO).
    • Segmentacja sieci i „Air-gapping”: Fizyczne odizolowanie najbardziej krytycznych systemów sterowania (OT) od internetu.
    • Systemy detekcji (EDR/XDR): Powszechne wdrożenie systemów klasy Enterprise do wykrywania zaawansowanych zagrożeń (APT) w czasie rzeczywistym.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek wdrożenia procedur zarządzania ryzykiem zgodnie ze standardami NIST i ISO/IEC 27001.
    • Obsługa incydentów: Obowiązkowe i natychmiastowe raportowanie do CERT-UA. Ukraina operuje w trybie 24/7 z czasem reakcji liczonym w minutach, nie godzinach.
    • Ciągłość działania (BCP): Wymóg posiadania kopii zapasowych w chmurze (często poza granicami kraju – np. w centrach danych w UE) oraz systemów zasilania awaryjnego.
    • Łańcuch dostaw: Całkowity zakaz stosowania oprogramowania i sprzętu pochodzącego z krajów agresorów (Rosja, Białoruś).
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca: Odpowiedzialność karna i dyscyplinarna. Kierownicy obiektów infrastruktury krytycznej są osobiście odpowiedzialni za stan cyberbezpieczeństwa i muszą przechodzić regularne odprawy z oficerami łącznikowymi NCSCC.
    • Specjaliści IT i Cyber: Stały udział w ćwiczeniach „live-fire” oraz ścisła współpraca z wolontariuszami (np. IT Army of Ukraine).
    • Wszyscy użytkownicy: Masowe programy edukacyjne z zakresu higieny cyfrowej prowadzone przez Ministerstwo Transformacji Cyfrowej.

GRUZJA

  1. Status implementacji

    Wdrożone / Systematyczna aktualizacja. Gruzja posiada nowoczesną ustawę o cyberbezpieczeństwie, która została zaktualizowana w latach 2021–2024, aby uwzględnić unijne standardy NIS i NIS2. Kraj ten buduje swój ekosystem w oparciu o unikalny model współpracy cywilno-wojskowej.

  1. Nazwa lokalnej ustawy wraz z linkiem
    • Oficjalna nazwa: ინფორმაციული უსაფრთხοების შესახებ (Ustawa o Bezpieczeństwie Informacji).
    • Link: https://matsne.gov.ge/document/view/1679424?publication=8
    • Organy nadzorcze: Digital Governance Agency (DGA) (podlegająca Ministerstwu Sprawiedliwości) oraz Cyber Operations Center (podlegające Ministerstwu Obrony).
  1. Branże kluczowe i ważne

    Gruzja dzieli podmioty na trzy kategorie (Kategoria 1, 2 i 3) w zależności od ich wpływu na bezpieczeństwo narodowe:

    • Sektory Kluczowe (Kategoria 1): Instytucje państwowe, Energetyka (szczególnie hydroelektrownie i rurociągi tranzytowe), Telekomunikacja, Transport (porty w Batumi i Poti).
    • Sektory Ważne (Kategoria 2 i 3): Bankowość i finanse, Sektor medyczny, Dostawcy usług cyfrowych, Przedsiębiorstwa komunalne (woda, odpady).
    • Specyfika: Ze względu na tranzytową rolę Gruzji, szczególny nacisk kładzie się na bezpieczeństwo korytarzy energetycznych i światłowodowych łączących Europę z Azją.
  1. Środki techniczne

    Standardy techniczne są określane przez DGA i są bardzo zbliżone do wymogów NIS2:

    • MFA (მრავალფაქტორიანი ავთენტიფიკაცია): Obowiązkowe dla systemów administracji publicznej i operatorów infrastruktury krytycznej.
    • Kryptografia: Stosowanie silnych algorytmów szyfrowania zatwierdzonych przez państwowe organy bezpieczeństwa.
    • Ochrona brzegowa: Obowiązkowe systemy detekcji włamań (IDS/IPS) dla podmiotów Kategorii 1, zintegrowane z krajowym systemem wczesnego ostrzegania.
    • Bezpieczeństwo danych: Wymóg fizycznej lokalizacji baz danych z rejestrami państwowymi na terytorium Gruzji lub w certyfikowanych chmurach sojuszniczych.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) opartego na ISO/IEC 27001.
    • Obsługa incydentów: Obowiązkowe raportowanie do CERT.GOV.GE (dla sektora cywilnego) lub Cyber Operations Center (dla sektora obronnego).
    • Ciągłość działania (BCP): Wymóg posiadania planów odzyskiwania danych po awarii, testowanych regularnie pod kątem ataków hybrydowych.
    • Łańcuch dostaw: Weryfikacja dostawców technologii ICT pod kątem powiązań z krajami wysokiego ryzyka.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca: Zarządzanie przez odpowiedzialność. Kierownicy podmiotów kluczowych muszą wyznaczać Oficera Bezpieczeństwa Informacji (CISO), który raportuje bezpośrednio do zarządu i organów nadzorczych.
    • Specjaliści IT i Cyber: Aktywne uczestnictwo w ćwiczeniach organizowanych przez NATO (np. „Cyber Coalition”) oraz lokalnych symulacjach.
    • Wszyscy użytkownicy: Gruzja prowadzi szerokie kampanie edukacyjne wspierane przez partnerów międzynarodowych (UE, USA), skierowane do urzędników i sektora prywatnego.

MOŁDAWIA

  1. Status implementacji

    Gotowa ustawa / Wdrażanie. Mołdawia przyjęła nową Ustawę o Cyberbezpieczeństwie (nr 48/2023), która weszła w życie w 2024 roku. Obecnie kraj jest w fazie tworzenia szczegółowych przepisów wykonawczych i budowy struktur operacyjnych przewidzianych w ustawie.

  1. Nazwa lokalnej ustawy wraz z linkiem
  1. Branże kluczowe i ważne

    Mołdawia identyfikuje „Furnizori de servicii esențiale” (Dostawców usług kluczowych):

    • Sektory Kluczowe: Energetyka, Transport, Bankowość i rynki finansowe, Ochrona Zdrowia, Zaopatrzenie w wodę, Infrastruktura Cyfrowa, Administracja Publiczna.
    • Sektory Ważne: Usługi pocztowe i kurierskie, Gospodarka odpadami, Produkcja i dystrybucja żywności, Produkcja chemikaliów, Dostawcy usług cyfrowych.
    • Specyfika: Szczególny priorytet nadano sektorowi energetycznemu i telekomunikacyjnemu ze względu na konieczność dywersyfikacji źródeł energii i ochronę przed dezinformacją.
  1. Środki techniczne

    Wymogi są definiowane przez ANSC i oparte na europejskich standardach:

    • MFA (Autentificarea cu mai mulți factori): Obowiązkowe dla systemów o znaczeniu krytycznym i dostępów administracyjnych w administracji publicznej.
    • Szyfrowanie: Wymóg stosowania algorytmów kryptograficznych zapewniających poufność danych obywateli i komunikacji rządowej.
    • Zarządzanie podatnościami: Obowiązkowe, regularne skanowanie systemów i łatanie luk bezpieczeństwa w terminach określonych przez ANSC.
    • Monitorowanie ruchu: Wymóg instalacji systemów wykrywania anomalii zintegrowanych z krajowym centrum operacyjnym.
  1. Środki organizacyjne
    • Zarządzanie ryzykiem: Obowiązek wdrożenia ram bezpieczeństwa opartych na standardzie ISO/IEC 27001.
    • Obsługa incydentów: Obowiązkowe raportowanie do CERT-Moldova (prowadzonego przez STISC lub nową Agencję). System 24h / 72h.
    • Ciągłość działania (BCP): Wymóg posiadania i testowania planów przywracania usług po awarii, w tym scenariuszy ochrony przed ransomware.
    • Weryfikacja dostawców: Mołdawia wprowadziła surowe kryteria oceny bezpieczeństwa dostawców technologii ICT, szczególnie dla infrastruktury 5G i systemów rządowych.
  1. Szkolenia obowiązkowe i rekomendowane
    • Kadra zarządzająca: Odpowiedzialność prawna. Kierownictwo podmiotów kluczowych jest ustawowo zobowiązane do nadzorowania wdrażania środków bezpieczeństwa i musi uczestniczyć w programach podnoszących świadomość ryzyk cybernetycznych.
    • Specjaliści IT i Cyber: Udział w międzynarodowych ćwiczeniach (np. organizowanych przez UE i USA) oraz specjalistyczne kursy certyfikowane przez ANSC.
    • Wszyscy użytkownicy: Promowanie kampanii edukacyjnych w ramach „Miesiąca Cyberbezpieczeństwa” i szkoleń e-learningowych dla urzędników.