Unijna dyrektywa NIS2 – wyzwania, koszty i opóźnienia w implementacji

W maju br. Komisja Europejska skierowała uzasadnione opinie do 19 państw członkowskich – w tym Polski – w związku z niedopełnieniem obowiązku zgłoszenia pełnej transpozycji dyrektywy NIS 2. Kraje te mają dwa miesiące na udzielenie odpowiedzi i podjęcie niezbędnych środków. W przeciwnym razie KE może podjąć decyzję o skierowaniu sprawy do Trybunału Sprawiedliwości Unii Europejskiej. Jak wygląda obecnie sytuacja wdrażania NIS 2 w różnych krajach UE i z jakimi wyzwaniami mierzą się państwa i organizacje przy jej implementacji?

Dyrektywa NIS2 ma na celu zapewnienie wysokiego poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Obejmuje ona podmioty działające w sektorach krytycznych, takich jak: publiczne usługi łączności elektronicznej, zarządzanie usługami ICT, usługi cyfrowe, gospodarka ściekami i odpadami, przestrzeń kosmiczna, zdrowie, energia, transport, wytwarzanie produktów krytycznych, usługi pocztowe i kurierskie oraz administracja publiczna.

Pełne wdrożenie przepisów dyrektywy ma kluczowe znaczenie dla dalszej poprawy odporności i zdolności reagowania na incydenty podmiotów publicznych oraz prywatnych. Państwa członkowskie były zobowiązane do implementacji NIS2 do 17 października 2024 roku. Sprawdźmy zatem, które kraje poradziły sobie z tym zadaniem, a które wciąż mają zaległości.

Które kraje wdrożyły NIS2, a które pozostają w tyle?

Przepisy NIS2 wdrożyły już następujące państwa:

• Węgry (maj 2023 roku, aktualizacja przepisów w styczniu 2025 roku),
• Chorwacja (luty 2024 roku),
• Łotwa (wrzesień 2024 roku),
• Belgia, Włochy i Litwa (październik 2024 roku),
• Grecja (listopad 2024 roku),
• Rumunia i Słowacja (styczeń 2025 roku),
• Malta (kwiecień 2025 roku).

W wielu państwach członkowskich proces ten wciąż trwa. Przykładowo:

• Polska – prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która ma wdrożyć NIS2, rozpoczęły się w kwietniu 2024 roku. Projekt ustawy był od tego czasu kilkukrotnie modyfikowany – ostatnia, piąta wersja, ujrzała światło dzienne w lutym 2025 roku. Choć pierwotnie Ministerstwo Cyfryzacji planowało skierowanie projektu do Sejmu do końca kwietnia 2024 roku, aktualny termin to czerwiec 2025 roku.
• Finlandia – Nowa ustawa o cyberbezpieczeństwie, rozszerzająca zakres NIS2 na średnie przedsiębiorstwa produkcyjne i wszystkie gminy powyżej 50 tys. mieszkańców, trafiła do parlamentu, jednak proces konsultacyjny wciąż trwa.
• Słowenia – projekt właściwej ustawy słoweński rząd zatwierdził 10 kwietnia 2025 roku, ale wciąż przechodzi on proces legislacyjny i nie jest pewne, kiedy zostanie w pełni przyjęty. Przygotowywany jest bowiem poprawiony projekt ustawy o bezpieczeństwie informacji i możliwe, że w trakcie procesu legislacyjnego zostaną wprowadzone dalsze poprawki.
• Cypr – NIS2 wdrażana jest przez aktualizację obowiązującej ustawy o bezpieczeństwie sieci i systemów informatycznych, ale dokładny status implementacji jest nadal opracowywany. Proces nadzoruje Urząd ds. Bezpieczeństwa Cyfrowego (DSA).
• Dania – dyrektywa NIS2 wdrażana jest poprzez połączenie ustawy ogólnej i przepisów sektorowych. Do 1 października 2025 roku duńskie organizacje muszą dokonując samooceny, czy są podmiotami „istotnymi” czy „ważnymi” na podstawie swojej wielkości i obrotów, a następnie zarejestrować się w Duńskim Centrum Cyberbezpieczeństwa (CCB).
• Estonia – projekt nowego dokumentu zmieniającego ustawę o cyberbezpieczeństwie opublikowano w grudniu 2024 roku, ale wciąż nie ukończono jeszcze pełnej transpozycji unijnej dyrektywy. Jednocześnie wspomniana ustawa uwzględnia już wiele wymogów określonych w NIS2, co sprawia, że wdrożenie spodziewane jest jeszcze w tym roku. Organem odpowiedzialnym za wdrożenie NIS2 jest Information System Authority (RIA).
• Francja – projekt łączący NIS2, DORA i RCE został przyjęty przez Senat w marcu 2025 roku. Obecnie trwa rozpatrywanie dokumentu w Zgromadzeniu Narodowym. Oczekuje się, że ostateczne przyjęcie nastąpi prawdopodobnie w II połowie 2025 roku. Nowe przepisy mają objąć m.in. samorządy powyżej 30 tys. mieszkańców i instytuty badawcze. Implementacja NIS2 prowadzona jest przez Agencję Bezpieczeństwa Systemów Informacyjnych (ANSSI).
• Niemcy – Niemcy planują transpozycję NIS2 poprzez ustawę NIS2UmsuCG, która ma zmienić istniejące przepisy dotyczące infrastruktury krytycznej (KRITIS) oraz wzmocnić cyberbezpieczeństwo w różnych sektorach. Projekt ustawy opublikowało Federalne Ministerstwo Spraw Wewnętrznych, jednak nie został on jeszcze przyjęty przez parlament. Oczekuje się, że ustawa wejdzie w życie do końca 2025 roku. Szacuje się, że nowe przepisy obejmą około 30 000 firm.
• Czechy – wdrożenie dyrektywy NIS2 odbywa się poprzez zmiany w istniejącej ustawie o cyberbezpieczeństwie, która ma wejść w życie w 2025 roku. Zakres nowych przepisów jest szerszy niż w pierwotnej dyrektywie NIS2.
• Hiszpania: Projekt ustawy o cyberbezpieczeństwie opublikowano w styczniu 2025 roku, lecz proces legislacyjny jest opóźniony. Krytyczne uwagi zgłosili m.in. Hiszpański Urząd Ochrony Danych oraz Bank Hiszpanii. Ponadto podane do wiadomości publicznej brzmienie projektu zawiera pewne odstępstwa od dyrektywy.
• Austria: Pierwsza wersja ustawy NISG 2024 została odrzucona w lipcu 2024 roku. Nowy projekt, który wciąż jest poprawiany, ma zostać przyjęty w III kwartale 2025 roku, a wejść w życie najwcześniej w styczniu 2026.

Co ciekawe, UE ma też zastrzeżenia do Węgier i Łotwy, chociaż deklarują one, że dostosowały swój porządek prawny do wymogów NIS2 odpowiednio w 2025 i 2024 roku. Niewykluczone, że zakres implementacji został uznany za niepełny lub niewystarczający.

Główne wyzwania legislacyjne i operacyjne

Wdrażanie przepisów NIS2 w krajach Unii Europejskiej napotyka na szereg wyzwań – zarówno systemowych, jak i praktycznych. Po stronie rządów są to m.in. spory polityczne (np. w Niemczech), niejednolite interpretacje ram prawnych (od bezpośrednich odniesień do wytycznych, po tworzenie hybrydowych standardów krajowych) czy trudności w harmonizacji klasyfikacji podmiotów objętych regulacją.

Przykładowo, podczas gdy NIS2 przewiduje klasyfikację podmiotów na dwie kategorie (istotne i ważne), niektóre kraje wprowadzają własne, jedno lub trójstopniowe systemy. Również termin zgłaszania incydentów, ustalony przez dyrektywę na 24 godziny, w niektórych państwach – jak Czechy – został skrócony do zaledwie 6 godzin.

Cały szereg wyzwań stoi też przed przedsiębiorstwami. Najważniejsze z nich obejmują:

• Niejasne wymagania wdrożeniowe – dyrektywa NIS2 może być interpretowana na różne sposoby. Ta niejednoznaczność może powodować trudności we wdrażaniu i dokumentowaniu zgodnych procesów.
• Zarządzanie ryzykiem – NIS2 wymaga wdrożenia różnorodnych polityk zarządzania – analizę, reakcję na incydenty, szyfrowanie, kryptografię, ujawnianie podatności oraz szkolenia z cyberbezpieczeństwa.
• Bezpieczeństwo łańcucha dostaw – organizacje muszą samodzielnie oceniać bezpieczeństwo swoich dostawców, co stanowi nowe i trudne zadanie.
• Złożoność raportowania incydentów – obowiązek zgłaszania poważnych incydentów w ciągu 24 godzin oraz przedstawienia szczegółowego raportu w ciągu 72 godzin stanowi wyzwanie dla wielu firm, zwłaszcza tych bez odpowiednich procedur i zasobów.
• Integracja z istniejącymi systemami – choć dyrektywa zakłada oparcie się na istniejących strukturach bezpieczeństwa, często konieczne są kosztowne aktualizacje lub całkowita przebudowa systemów.

Ponadto wiele organizacji boryka się z oceną bieżących poziomów zgodności, przydzielaniem wystarczających zasobów na zgodność, a także wspieraniem kultury świadomości cyberbezpieczeństwa wśród pracowników.

Koszty wdrożenia NIS2 – szacunki i realia

Osobną i fundamentalną kwestią jest odpowiedź na pytanie – ile to będzie kosztować? Według szacunków Komisji Europejskiej, organizacje będą musiały zwiększyć swoje wydatki na cyberbezpieczeństwo o ok. 22% w ciągu najbliższych 3-4 lat. Dla firm już objętych wcześniejszą dyrektywą NIS, wzrost ten wyniesie średnio 12%, a dla średnich przedsiębiorstw około 15%. Oczywiście nie ma uniwersalnej formuły obliczania tego wzrostu budżetu, ponieważ będzie on zależał od poziomu dojrzałości i zarządzania już istniejącego w każdej organizacji.

Według raportu Frontier Economics, dodatkowe koszty dla firm w całej UE mogą wynieść 31,2 mld euro rocznie. Z kolei w Polsce wdrożenie NIS2 może kosztować przedsiębiorstwa nawet 2 mld euro rocznie. Wspomniany wzrost kosztów wynika z konieczności rozbudowy zespołów ds. bezpieczeństwa, zakupu nowego sprzętu, oprogramowania i usług, kosztów administracyjnych, a także poniesienia nakładów na stworzenia procedur zgodnych z unijną dyrektywą.

W Polsce – szczególnie w sektorze publicznym – koszty te mogą być trudne do udźwignięcia. Wiele jednostek samorządu terytorialnego dysponuje bowiem ograniczonymi budżetami, co utrudnia inwestycje w nowoczesne technologie i zatrudnienie specjalistów ds. cyberbezpieczeństwa. Do tego dochodzą wykorzystywane przez te instytucje przestarzałe systemy, które są trudne do zabezpieczenia i integracji z nowoczesnymi rozwiązaniami. Wreszcie, na krajowym rynku brakuje wykwalifikowanych pracowników w dziedzinie cyberbezpieczeństwa.

Z tymi samymi lub podobnymi wyzwaniami będą musiały zmierzyć się także firmy z sektora MŚP. Według raportu European Cyber Security Organisation, prawie trzy czwarte organizacji nie ma jeszcze dedykowanych budżetów na wdrożenie NIS2. Jedna trzecia zgłasza z kolei brak zaangażowania kierownictwa – mimo, że jest to przecież wymóg prawny.

Pocieszające jest natomiast to, iż według prognoz Komisji Europejskiej, dyrektywa NIS2 zmniejszy całkowity koszt incydentów cyberbezpieczeństwa o ok. 11,3 mld euro. Oczekuje się, że redukcja ta zostanie osiągnięta dzięki wzmocnionym środkom cybersecurity, w tym bardziej kompleksowemu zarządzaniu ryzykiem i bardziej rygorystycznym obowiązkom zgłaszania incydentów – ostatecznie wzmacniając odporność cyberbezpieczeństwa w całej UE.