NIS2: Czy UE wymusza nadregulację?

Integracja zaleceń odnoszących się do infrastruktury telekomunikacyjnej z wdrożeniem NIS2 i rozszerzenie ich na 18 sektorów gospodarki stanowią precedens w skali całej UE. Być może to ambitne, ale i ryzykowne posunięcie, gdyż inne kraje podeszły zdecydowanie ostrożniej, ograniczając się do wymogów NIS2.

Czytaj więcej

Opinie Prawne

Piotr Bogdanowicz: Nie wszystko złoto, co się świeci

W przypadku przyjęcia projektu noweli ustawy o krajowym systemie cyberbezpieczeństwa w proponowan...

Prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), mającej transponować NIS2, nadal trwają. Brak wdrożenia NIS2 w Polsce oznacza ryzyko pojawienia się pozwu przed Trybunałem Sprawiedliwości Unii Europejskiej (TSUE) i nałożenia kar finansowych na Polskę. Termin wdrożenia NIS2 minął 17 października 2024 r., a Polska nie zgłosiła pełnej transpozycji dyrektywy do prawa krajowego. W efekcie 7 maja 2025 r. Komisja Europejska (KE) wystosowała do Polski tzw. uzasadnioną opinię.

To formalny krok w procedurze naruszeniowej, dający Polsce dwa miesiące na reakcję – w przeciwnym razie KE może skierować sprawę do Trybunału Sprawiedliwości UE (TSUE).

Foto: materiał prasowy

Kto wdrożył, kto się spóźnia?

Zgodnie z dyrektywą NIS2 państwa członkowskie miały czas do 17 października 2024 r. na przyjęcie krajowych przepisów o cyberbezpieczeństwie. Większość nie zdążyła – już w listopadzie 2024 r. Komisja wszczęła postępowania wobec 23 krajów. Od tego czasu tempo wdrażania przyspieszyło, choć niejednolicie. 14 państw (Belgia, Chorwacja, Włochy, Litwa, Dania, Finlandia, Łotwa, Słowacja, Słowenia, Grecja, Węgry, Malta, Cypr, Rumunia) wdrożyło dyrektywę NIS2 krajowymi aktami prawnymi.

Wiele z nich ograniczyło się do niezbędnej transpozycji bez „nadregulacji”, czyli bez nakładania obowiązków wykraczających poza wymogi dyrektywy. Przykładowo Włochy, Belgia, Chorwacja, Grecja, Litwa czy Finlandia uchwaliły nowe przepisy zasadniczo odzwierciedlające przepisy NIS2 – nie dodając własnych obciążeń dla przedsiębiorstw.

Z kolei dziewięć krajów (w tym Francja, Hiszpania, Holandia, Luksemburg, Bułgaria) wciąż nie zakończyło prac legislacyjnych. Polska także należy do tej grupy „spóźnialskich”.

W kilku państwach proces legislacyjny jest zaawansowany, ale jeszcze nie sfinalizowany. Izba Poselska w Czechach pod koniec czerwca 2025 r. przyjęła ustawę wdrażającą NIS2, jednak aktualnie czeka na rozpatrzenie przez Senat i podpis prezydenta.

Niemcy natomiast przygotowały wstępne projekty nowelizacji, ale ich uchwalenie opóźniły zmiany rządowe. W Estonii implementacja utknęła z powodu kryzysu koalicyjnego – planowano wejście ustawy w życie w lipcu 2025 r., czego nie dotrzymano. Ogółem w sierpniu 2025 r. nadal 13 krajów UE nie dokonało pełnej transpozycji.

Warto zaznaczyć, że niektóre kraje poszły dalej niż minimum NIS2, wprowadzając własne specyficzne rozwiązania. Na przykład Węgry wymagają od wybranych podmiotów zawarcia umowy z certyfikowanym audytorem i regularnych audytów bezpieczeństwa co dwa lata. To dodatkowy obowiązek ponad standard dyrektywy. Z kolei Rumunia zobowiązała przedsiębiorstwa do corocznej samooceny dojrzałości cyberbezpieczeństwa.

Polska natomiast – na co już zwracałam uwagę – planuje nałożyć na podmioty znacznie szerszy wachlarz wymogów, niż wynika to z NIS2. Zgodnie z art. 5 ust. 4 Traktatu o Unii Europejskiej (TUE) „[…] zakres i forma działania Unii nie wykraczają poza to, co jest konieczne do osiągnięcia celów Traktatów”. Zasada ta odnosi się również do państw członkowskich przy transpozycji (wdrażaniu) dyrektyw – państwa mają swobodę wyboru środków, ale nie mogą wprowadzać regulacji nadmiernie restrykcyjnych względem celu określonego w dyrektywie (tzw. gold-plating), które w konsekwencji uniemożliwiają konkretnym podmiotom stosowanie się do prawa implementowanego.

Znaczne opóźnienia we wdrażaniu NIS2 zmusiły Komisję Europejską do podjęcia kroków prawnych wobec państw członkowskich. Już 28 listopada 2024 r. KE otworzyła postępowania naruszeniowe przeciwko 23 krajom UE, które nie zdążyły na czas z implementacją (poza Belgią, Chorwacją, Włochami i Litwą). W pierwszym etapie oznaczało to wysłanie wezwań do usunięcia uchybienia, z wyznaczeniem terminu na przedstawienie działań naprawczych do stycznia 2025 r.

Czytaj więcej

IT

Cyberbezpieczeństwo i dyrektywa NIS 2. Jest wspólny apel branży cyfrowej

22 organizacje zrzeszone w ramach DigitalEurope wnioskują o zharmonizowaną transpozycję dyrektywy...

Wiele państw nadal nie zakończyło jednak prac, więc 7 maja 2025 r. Komisja przeszła do drugiego etapu – wystosowała uzasadnione opinie do 19 państw UE, wzywając je do pełnej notyfikacji transpozycji NIS2. Na liście znalazła się Polska, a także m.in. Niemcy, Francja, Hiszpania, Szwecja, Dania, Finlandia, Czechy czy Irlandia. Kraje te dostały dwa miesiące na odpowiedź i wdrożenie brakujących przepisów – w przeciwnym razie Komisja zagroziła skierowaniem sprawy do TSUE.

Z początkiem lipca 2025 r. minął termin wyznaczony w uzasadnionych opiniach. W odpowiedzi część państw przyspieszyła działania legislacyjne – np. Finlandia, Dania czy Słowenia zdążyły w tym okresie uchwalić i wprowadzić w życie ustawy NIS2. Jednak osiem krajów wciąż nie wywiązało się z obowiązku do połowy sierpnia 2025 r. Rzecznik Komisji potwierdził, że analizowane są odpowiedzi państw na uzasadnione opinie – i jeśli nie będą one satysfakcjonujące, KE przygotuje skierowanie spraw do Trybunału. Można się spodziewać, że w najbliższym czasie Bruksela nasili działania wobec najbardziej spóźnionych rządów.

Polska znajduje się w gronie krajów objętych procedurą naruszeniową. Już w listopadzie 2024 r. otrzymała formalne wezwanie, a w maju 2025 r. – uzasadnioną opinię od Komisji. Rząd musiał do 7 lipca 2025 r. przedstawić wyjaśnienia Komisji i plan wdrożenia NIS2. Mimo to do dziś ustawy nie uchwalono, co stawia Polskę w obliczu realnej perspektywy sporu przed Trybunałem UE za niewykonanie transpozycji.

Skąd to rozszerzenie?

Prace nad polską nowelizacją UKSC, wdrażającą NIS2, ruszyły formalnie w kwietniu 2024 r. Od początku założono podejście wyjątkowe w skali UE: połączenie implementacji dyrektywy NIS2 z przepisami dotyczącymi bezpieczeństwa sieci telekomunikacyjnych w standardzie 5G (tzw. 5G Toolbox) w jednym akcie.

Warto w tym miejscu podkreślić fundamentalną różnicę między tymi dwoma filarami polskiego projektu. O ile dyrektywa NIS2 jest aktem prawnie wiążącym i wymaga obowiązkowej transpozycji, o tyle 5G Toolbox to zbiór niewiążących prawnie zaleceń Komisji Europejskiej, dotyczących bezpieczeństwa sieci 5G, ze stycznia 2020 r. Oznacza to, że państwa członkowskie nie są zobligowane do ich wdrożenia w sposób narzucony.

W Polsce widoczna jest tendencja do szerokiego i restrykcyjnego wdrożenia rekomendacji, co budzi obawy w zakresie nadregulacji i konkurencyjności gospodarki. Polski projekt rozszerza zakres tych zaleceń daleko poza ich pierwotny cel. Podczas gdy 5G Toolbox koncentrował się na bezpieczeństwie sektora telekomunikacyjnego, polski ustawodawca planuje rozciągnąć związane z nim mechanizmy na wszystkie sektory objęte ustawą.

Projekt okazał się bardzo obszerny i złożony – obejmuje wszystkie sektory kluczowe i ważne z NIS2 (18 branż). Dodatkowo mechanizm uznawania dostawców technologii za dostawców wysokiego ryzyka (High Risk Vendor, HRV), który wywodzi się właśnie z zaleceń 5G Toolbox, zostanie zastosowany do wszystkich sektorów NIS2 (tj. 18), a nie tylko do telekomunikacji. Nadmierne wymagania w praktyce utrudniają lub zniechęcają do prowadzenia działalności w Polsce i mogą zostać uznane za naruszenie zasady proporcjonalności.

Tak szeroki zakres projektu UKSC wymagał długich konsultacji międzyresortowych i publicznych. W efekcie projekt był kilkukrotnie modyfikowany – do lutego 2025 r. powstały już cztery kolejne wersje.

Rząd pierwotnie zapowiadał przyjęcie noweli UKSC jeszcze w 2024 r., następnie termin przesuwano. Ostatecznie na dzień publikacji niniejszego artykułu projekt nowelizacji wciąż jest na etapie Stałego Komitetu Rady Ministrów.

Czytaj więcej:

Nawigator prawny Poradnik

Wdrożenie Dyrektywy NIS 2 i planowane zmiany w Ustawie o Krajowym Systemie Cyberbezpieczeństwa

W związku z rosnącą liczbą cyberzagro...

Pro

Kolejne wersje

Większość zmian, które wprowadza nowy projekt, to co do zasady poszczególne przepisy doprecyzowujące oraz poprawiające nowelizację, tak by była ona spójna z dyrektywą NIS2. Warto wyróżnić m.in. zmianę w postaci obniżenia kary pieniężnej nakładanej na kierownika podmiotu kluczowego lub ważnego, będącego kierownikiem podmiotu publicznego, do wysokości nie większej niż 100 proc. uzyskanego przez niego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop (w projekcie z lutego 2025 r. było to 300 proc.).

Jednocześnie warto przy tym zaznaczyć, że dla kierownika podmiotu kluczowego lub ważnego, który nie jest podmiotem publicznym, nadal pozostała kwota w wysokości 300 proc.

Ze zmian ważnych dla przedsiębiorców jest wskazanie, że odmowa wykreślenia wpisu do wykazu przez organ wymaga uzasadnienia. Swoistego rodzaju novum w kontekście projektu ustawy z lutego 2025 r. jest dodanie art. 45a, który stanowi o możliwości wsparcia finansowego ministra właściwego ds. informatyzacji na realizację projektów dotyczących m.in. wsparcia w obszarze standaryzacji i certyfikacji cyberbezpieczeństwa czy też na rozwój kompetencji w obszarze cyberbezpieczeństwa. Warte podkreślenia jest to, że katalog wskazany w art. 45a ma charakter otwarty.