NIS2, oficjalnie znana jako unijna Dyrektywa w sprawie bezpieczeństwa sieci i informacji nr 2022/2555 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022L2555 , została opublikowana w grudniu 2022 roku i weszła w życie na początku 2023 roku. Jej celem jest ujednolicenie i wzmocnienie środków w zakresie cyberbezpieczeństwa w całej Unii Europejskiej. Dyrektywa ta zastępuje wcześniejszą Dyrektywę NIS1, obowiązującą od 2016 roku.
Kluczowe cele Dyrektywy NIS2 to:
- Ustanowienie jednolitego zestawu wymagań w zakresie cyberbezpieczeństwa we wszystkich państwach członkowskich UE.
- Rozszerzenie zakresu dyrektywy na większą liczbę sektorów i podmiotów.
- Wprowadzenie bardziej rygorystycznych obowiązków w zakresie zgłaszania incydentów oraz środków egzekwowania przepisów.
- Promowanie lepszej współpracy i wymiany informacji między państwami członkowskimi.
- Zapewnienie wysokiego poziomu odporności na cyberzagrożenia jako standardu w całej UE.
Każde państwo członkowskie (np. Polska, Niemcy, Francja…) musi indywidualnie dostosować przepisy Dyrektywy NIS2 do swojego prawa krajowego. Kraje UE mają czas do października 2024 roku na przyjęcie i opublikowanie wszystkich niezbędnych środków zapewniających zgodność z NIS2. Po upływie tego terminu organizacje będą prawnie zobowiązane do przestrzegania tych regulacji.
Sektory i podmioty objęte dyrektywą
Nowa ustawa obejmuje znacznie więcej kluczowych podmiotów dla bezpieczeństwa państwa. Wcześniej proces wdrażania KSC zaczynał się od ankiety klasyfikującej organizacje. Teraz obowiązuje zasada „size-cap” – jeśli spełniasz kryteria, masz obowiązek dostosować się do ustawy. To jednostki muszą być gotowe, a nie czekać na zapytania organów centralnych.
Wyłączone z obowiązku są jedynie mikroprzedsiębiorstwa, których w Polsce jest niewiele.
Dyrektywa NIS2 dotyczy zarówno sektora publicznego, jak i prywatnego, a podmioty dzieli na kluczowe (Załącznik I) i ważne (Załącznik II) – sprawdź dokument. Nowe przepisy obejmą wszystkie średnie i duże firmy w określonych sektorach, a także małe przedsiębiorstwa, jeśli odgrywają istotną rolę w gospodarce, społeczeństwie lub kluczowych łańcuchach dostaw.
W Załączniku I jako sektory kluczowe wskazano:
energetyka
transport
bankowość
infrastruktura rynków finansowych
opieka zdrowotna
sektor wody pitnej
ścieki
infrastruktura cyfrowa
zarządzanie usługami ICT
administracja publiczna
przestrzeń kosmiczna
Natomiast w Załączniku II wśród sektorów ważnych znalazły się takie sektory jak:
usługi pocztowe i kurierskie
gospodarowanie odpadami
produkcja, przetwarzanie i dystrybucja chemikaliów
produkcja, przetwarzanie i dystrybucja żywności
produkcja (szeroko pojęta)
usługi cyfrowe
badania naukowe
Status NIS2 w UE
Tracker wdrożenia Dyrektywy NIS2 opiera się na informacjach z publicznych źródeł, które są regularnie weryfikowane. Udostępnione dane mogą jednak nie być w pełni kompletne ani aktualne.
Sprawdź stan wdrożenia Dyrektywy NIS2 w swoim kraju:
* Należy pamiętać, że w niektórych przypadkach przepisy (lub ich projekty) są dostępne wyłącznie w języku lokalnym.
Austria
Austria przedłożyła do rozpatrzenia przez Parlament „Ustawę o bezpieczeństwie sieci i informacji”. Przewiduje się, że wejdzie ona w życie w czerwcu 2025 roku.
Belgia
Belgia przyjęła „Ustawę ustanawiającą ramy dla cyberbezpieczeństwa sieci i systemów informacyjnych o znaczeniu ogólnym dla bezpieczeństwa publicznego” w dniu 18 października 2024 roku, wdrażającą dyrektywę NIS2.
Bułgaria
Bułgaria przedłożyła „Ustawę o cyberbezpieczeństwie” do rozpatrzenia przez Parlament na poziomie krajowym.
Chorwacja
Chorwacja przyjęła „Ustawę o cyberbezpieczeństwie” 15 lutego 2024 r., wdrażając NIS2.
Cypr
Cypr zamierza transponować NIS2 do prawa krajowego w ramach nowelizacji „Ustawy o bezpieczeństwie sieci i systemów informacyjnych z 2020 r.”. Konsultacje publiczne zakończyły się 29 września 2023 r.
Dania
Dania przeprowadziła konsultacje publiczne dotyczące projektu ustawy. Parlament ma rozpatrzyć zaktualizowaną wersję projektu w lutym 2025 r. Jeśli zostanie przyjęta, ustawa wejdzie w życie 1 lipca 2025 r.
Estonia
Wdrożenie NIS2 zostało opóźnione. Nie opublikowano żadnego projektu ustawy ani innego aktu prawnego.
Finlandia
Wdrożenie NIS2 zostało opóźnione. Ustawodawcy nie zatwierdzili jeszcze żadnych regulacji.
Francja
Francja przedłożyła ustawę „Odporność infrastruktury krytycznej i wzmocnienie cyberbezpieczeństwa” do rozpatrzenia przez Parlament i Senat na poziomie krajowym. Sfinalizowanie ustawy może zająć ustawodawcom kilka miesięcy.
Grecja
Grecja przyjęła „Ustawę nr 5160/2024” 29 listopada 2024 r., wdrażając NIS2.
Hiszpania
Hiszpania nie opublikowała jeszcze projektu ustawy i nie jest jasne, na jakim etapie wdrażania NIS2 się znajduje.
Holandia
Holandia zamierza transponować NIS2 do prawa krajowego w ramach „Ustawy o Cyberbezpieczeństwie”. Oczekuje się, że ustawa wejdzie w życie w III kwartale 2025 r.
Irlandia
Irlandia przedłożyła „Narodową Ustawę o Cyberbezpieczeństwie” do rozpatrzenia przez Parlament. Została ona uwzględniona w jesiennym programie legislacyjnym na 2024 r. Jednak nie jest jasne, kiedy ustawa zostanie zatwierdzona.
Islandia
Islandia zamierza transponować NIS2 do prawa krajowego, jednak nie przygotowano jeszcze projektu ustawy ani nie określono harmonogramu jej wdrożenia.
Lichtenstein
Liechtenstein przedłożył „Ustawę o Cyberbezpieczeństwie” do rozpatrzenia przez Parlament na poziomie krajowym.
Litwa
Litwa przyjęła „Ustawę o Cyberbezpieczeństwie” 18 października 2024 r., wdrażając NIS2.
Luksemburg
Luksemburg przedłożył projekt ustawy do rozpatrzenia przez Parlament na poziomie krajowym.
Łotwa
Łotwa przyjęła „Narodową Ustawę o Cyberbezpieczeństwie” 1 września 2024 r., wdrażając NIS2. Obecnie trwają prace nad przepisami uzupełniającymi.
Malta
Malta zamierza transponować NIS2 do prawa krajowego w ramach „Rozporządzenia w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii Europejskiej (Malta)”. Konsultacje publiczne zakończyły się 7 października 2024 r.
Niemcy
Niemcy przedłożyły „Ustawę o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa” do rozpatrzenia przez Parlament na poziomie krajowym. Oczekujemy, że ustawa wejdzie w życie w marcu 2025 r.
Norwegia
Norwegia zamierza transponować NIS2 do prawa krajowego w ramach „Ustawy o Bezpieczeństwie Cyfrowym”. Konsultacje publiczne zakończą się 11 grudnia 2024 r. Nie opublikowano jeszcze projektu ustawy.
Polska
Rządowe Centrum Legislacji opublikowano kolejny projekt nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, datowany na 7 lutego 2025. Jest to już piąta nowelizacja tego projektu. Projekt wprowadza szereg istotnych zmian, główne w dwóch obszarach: podmiotów publicznych jako podmioty kluczowe i ważne oraz środków nadzoru.
Portugalia
Portugalia zamierza transponować NIS2 do prawa krajowego. Konsultacje publiczne dotyczące projektu ustawy zakończyły się 31 grudnia 2024 r., po czym akt prawny zostanie zatwierdzony przez rząd portugalski i Parlament.
Republika Czeska
Republika Czeska przedłożyła „Ustawę o cyberbezpieczeństwie” do rozpatrzenia przez Parlament na poziomie krajowym.
Rumunia
Rumunia przyjęła „Rządowe Rozporządzenie Nadzwyczajne (GEO) 155/2024” 30 grudnia 2024 r., wdrażając NIS2. Należy zauważyć, że podlinkowany dokument odnosi się do wcześniejszej wersji tego rozporządzenia.
Słowacja
Słowacja zamierza transponować NIS2 do prawa krajowego w ramach „Ustawy o Cyberbezpieczeństwie”. Proponowana data wejścia w życie to 1 stycznia 2025 r., jednak kolejnym krokiem jest rozpatrzenie ustawy przez Parlament.
Słowenia
Słowenia zamierza transponować NIS2 do prawa krajowego w ramach „Ustawy o Bezpieczeństwie Informacji”. Oczekuje się, że ustawodawcy przyjmą akty wykonawcze w grudniu 2024 r. lub styczniu 2025 r.
Szwecja
Szwecja zamierza transponować NIS2 do prawa krajowego poprzez nowe „Rozporządzenie o Cyberbezpieczeństwie”. Oczekuje się, że rozporządzenie wejdzie w życie 1 stycznia 2025 r.
Węgry
Węgry przyjęły „Ustawę o cyberbezpieczeństwie” 18 grudnia 2024 r., wdrażając NIS2. Drugorzędny akt prawny dotyczący tymczasowego przejścia wejdzie w życie osobno.
Włochy
Włochy przyjęły dekret legislacyjny wdrażający NIS2 w dniu 1 października 2024 r.