Francja i Hiszpania skierowane do TSUE w sprawie NIS2: co dostawcy powinni teraz zrobić

9 czerwca 2026 r. Komisja Europejska skierowała sprawę Francji i Hiszpanii do Trybunału Sprawiedliwości Unii Europejskiej za brak transpozycji NIS2 do prawa krajowego. Ponad 18 miesięcy po terminie dwie największe gospodarki UE wciąż nie mają tej dyrektywy w swoich kodeksach — a teraz w grę wchodzi jedyny organ, który może ukarać państwo członkowskie za ignorowanie prawa UE.

Jeśli doradzasz organizacjom działającym we Francji lub Hiszpanii, to nie jest opowieść o procedurach w Brukseli. To zmienia sposób, w jaki powinieneś zakreślać prace nad gotowością do NIS2 na tych rynkach już teraz. Oto, co to skierowanie naprawdę oznacza i co powiedzieć klientom w tym tygodniu.

Skierowanie to przystanek końcowy, a nie strzał ostrzegawczy

Komisja nie kieruje sprawy do TSUE w pierwszej kolejności. Droga do skierowania jest długa i przemyślana, a Francja i Hiszpania przeszły ją już w całości.

Termin transpozycji upłynął 17 października 2024 r. Dotrzymały go tylko cztery państwa członkowskie. Komisja wszczęła postępowania w sprawie uchybienia zobowiązaniom przeciwko 23 krajom 28 listopada 2024 r. formalnymi wezwaniami. Eskalowała 7 maja 2025 r., wydając uzasadnione opinie 19 rządom — formalny etap „macie dwa miesiące na dostosowanie się". Francja i Hiszpania były na tej liście, nie dostosowały się i teraz zostały skierowane do Trybunału.

Skierowanie to ostatni etap. TSUE jest jedynym organem, który może nakazać państwu członkowskiemu zapłatę za naruszenie prawa UE — poprzez ryczałty i dzienne kary pieniężne narastające do czasu naprawienia prawa. Ta presja finansowa ciąży teraz na Paryżu i Madrycie, co oznacza, że krajowa transpozycja jest znacznie bardziej prawdopodobna w 2026 r. niż kolejne opóźnienie.

Status Wdrożenia NIS2 według Kraju (2025–2026)
✅
W pełni obowiązuje
🇧🇪Belgia
🇭🇷Chorwacja
🇭🇺Węgry
🇱🇹Litwa
🇱🇻Łotwa
🇮🇹Włochy
6 krajów
📋
Przyjęta — koniec 2025
🇩🇪Niemcy
🇨🇿Czechy
🇫🇮Finlandia
3 krajów
⏳
W trakcie — oczekiwane 2026
🇳🇱Holandia
🇫🇷Francja
🇪🇸Hiszpania
🇵🇱Polska
🇦🇹Austria
🇸🇪Szwecja
🇮🇪Irlandia
7 krajów

Francja i Hiszpania doszły do tego samego miejsca różnymi drogami

Oba opóźnienia nie mają tej samej przyczyny, a to ma znaczenie dla przewidywania harmonogramu.

Hiszpania zatwierdziła projekt ustawy o cyberbezpieczeństwie w Radzie Ministrów w styczniu 2025 r., ale tekst końcowy wciąż nie został opublikowany. Ustawa ma wejść w życie w pewnym momencie 2026 r. Ramy istnieją na papierze — brakuje promulgacji.

Francja wpisała NIS2 w szerszą ustawę o odporności infrastruktury krytycznej, obszerniejszy pakiet legislacyjny, który nie został jeszcze w pełni promulgowany. Dyrektywa jest powiązana z większym, wolniejszym pojazdem, dlatego harmonogram francuski trudniej przewidzieć.

Dla konsultanta praktyczny wniosek brzmi: oba kraje niemal na pewno będą miały obowiązujące prawo w ciągu najbliższych 12 miesięcy, a skierowanie do TSUE czyni dalsze opóźnienia politycznie kosztownymi. Traktuj brak prawa krajowego jako kwestię harmonogramu, a nie powód do czekania.

„Brak prawa krajowego" to najniebezpieczniejsze, w co klient może uwierzyć

Największym ryzykiem we Francji i Hiszpanii jest teraz klient, który czyta nagłówki i wnioskuje, że ma wytchnienie. Nie ma.

Obowiązki NIS2 nie wynikają wyłącznie z kraju siedziby firmy. Jeśli twój klient sprzedaje lub prowadzi infrastrukturę dla podmiotów w państwach członkowskich, które dokonały transpozycji — Niemcy, Włochy, Belgia, Holandia i większość bloku — obowiązki te już mają zastosowanie poprzez łańcuch dostaw. Francuski dostawca usług zarządzanych obsługujący niemieckie podmioty kluczowe jest dziś proszony o dowody z Artykułu 21, niezależnie od tego, co Francja uchwaliła lub nie.

Mechanizmem są przepisy dyrektywy dotyczące łańcucha dostaw. Podmioty kluczowe i ważne muszą zarządzać bezpieczeństwem swoich dostawców, co oznacza, że przekazują umowne wymogi bezpieczeństwa dostawcom, bez względu na to, gdzie się znajdują. Obowiązek kaskaduje z jurysdykcji zgodnej do niezgodnej.

Eskalacja sankcji NIS2 — Poza karą finansową
!
Zdarzenie wyzwalające
Wykryto niezgodność lub wystąpił incydent
Organ nadzorczy identyfikuje lukę w zgodności lub organizacja nie spełnia wymagań NIS2
Organy mogą nałożyć
▼
Sankcje niefinansowe
1
Nakazy zgodności z wiążącymi terminami
2
Obowiązkowe audyty bezpieczeństwa na Twój koszt
3
Publiczne ujawnienie naruszeń
4
Wiążące instrukcje dotyczące konkretnych środków bezpieczeństwa
Eskaluje do
▼
Konsekwencje operacyjne i osobiste
1
Zawieszenie certyfikatów lub licencji operacyjnych
2
Tymczasowy zakaz pełnienia funkcji zarządczych dla osób
3
Publiczne wskazanie odpowiedzialnych osób fizycznych
Zdarzenie wyzwalające
Niefinansowe
Operacyjne / osobiste

Uczciwy przekaz do francuskiego lub hiszpańskiego klienta brzmi więc: prawo krajowe nadchodzi, twoi klienci w innych państwach członkowskich już są związani, a wymogi umowne docierają do ciebie teraz. Przepaść między „nasz kraj nie dokonał transpozycji" a „nie mamy obowiązków" to dokładnie to miejsce, w którym nieprzygotowane organizacje wpadają w pułapkę.

Ustalanie zakresu, gdy tekst krajowy nie jest ostateczny

Komplikacja we Francji i Hiszpanii polega na tym, że ostateczne definicje krajowe — załączniki sektorowe, progi wielkości, granica między podmiotami kluczowymi a ważnymi — nie są ustalone. Ustalanie zakresu zwykle opiera się na szczegółach ustawy transponującej. Tutaj jeszcze ich nie masz.

Pracuj na podstawie samej dyrektywy. Listy sektorów NIS2 i próg średniego przedsiębiorstwa (50+ pracowników lub 10 mln €+ obrotu, z wyjątkami dla niektórych krytycznych dostawców bez względu na wielkość) są ustalone na poziomie UE i niewiele zmienią się przy transpozycji. Klient wyraźnie objęty dyrektywą będzie objęty prawem francuskim lub hiszpańskim. Zbuduj ocenę gotowości na bazie dyrektywy już teraz, a przyszły tekst krajowy traktuj jako udoskonalenie, a nie punkt wyjścia.

Czy NIS2 Dotyczy Twojej Organizacji?
1
Czy Twoja organizacja działa w sektorze kluczowym lub ważnym (energia, transport, ochrona zdrowia, infrastruktura cyfrowa itp.)?
Tak▼
Nie▼
2
Czy Twoja organizacja zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót przekraczający 10 milionów euro?
✗
NIS2 nie dotyczy bezpośrednio Twojej organizacji.
Tak▼
Nie▼
✓
NIS2 dotyczy Twojej organizacji jako podmiotu kluczowego lub ważnego.
3
Czy Twoja organizacja jest dostawcą infrastruktury krytycznej lub kwalifikowanym dostawcą usług zaufania?
Tak▼
!
NIS2 może dotyczyć Twojej organizacji — skonsultuj się z prawnikiem w celu potwierdzenia statusu.
1
Czy Twoja organizacja działa w sektorze kluczowym lub ważnym (energia, transport, ochrona zdrowia, infrastruktura cyfrowa itp.)?
Tak ↓Nie →
2
Czy Twoja organizacja zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót przekraczający 10 milionów euro?
Tak ↓Nie →
3
Czy Twoja organizacja jest dostawcą infrastruktury krytycznej lub kwalifikowanym dostawcą usług zaufania?
Tak ↓Nie →
✗
NIS2 nie dotyczy bezpośrednio Twojej organizacji.
✓
NIS2 dotyczy Twojej organizacji jako podmiotu kluczowego lub ważnego.
!
NIS2 może dotyczyć Twojej organizacji — skonsultuj się z prawnikiem w celu potwierdzenia statusu.
Dotyczy
Możliwe zastosowanie
Nie dotyczy

Tutaj chronisz też własną wiarygodność. Powiedz klientom, które wnioski są pewne (wynikające z dyrektywy i mało prawdopodobne do zmiany), a które są tymczasowe (zależne od krajowych szczegółów, które dopiero zostaną opublikowane). Analiza luk zbudowana na dyrektywie będzie trwała w 90 %; oznacz te 10 %, które mogą się zmienić.

Co zrobić w tym tygodniu z francuskimi i hiszpańskimi klientami

Skierowanie to bodziec, a nie ćwiczenia przeciwpożarowe. Konkretne kroki:

Najpierw zmapuj ekspozycję klienta. Dla każdego klienta wymień państwa członkowskie, których dotykają jego klienci i działalność. Każda zgodna jurysdykcja na tej liście oznacza aktywne obowiązki już dziś, z prawem krajowym lub bez. To zwykle najszybszy sposób, by pokazać sceptycznemu klientowi, dlaczego „poczekajmy na ustawę" to błędna postawa.

Przeprowadź analizę luk względem bazy dyrektywy. Nie czekaj na tekst krajowy. Środki z Artykułu 21 — zarządzanie ryzykiem, obsługa incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, obsługa podatności, podstawowa higiena cybernetyczna, MFA — są na poziomie UE i stabilne. Oceniaj względem nich.

Uporządkuj umowny język dotyczący dostawców. Kaskada łańcucha dostaw przychodzi przez umowy. Klienci otrzymujący nowe klauzule bezpieczeństwa od swoich niemieckich lub włoskich nabywców muszą umieć na nie odpowiedzieć. Klienci będący sami podmiotami kluczowymi lub ważnymi muszą zacząć przekazywać wymogi własnym dostawcom.

Udokumentuj postawę gotowości już teraz, aby gdy francuska lub hiszpańska ustawa zostanie opublikowana — prawdopodobnie z krótkim czasem do egzekwowania — twój klient przeszedł od „rozpoczynania" do „wykazywania", zamiast się spieszyć. Organizacje, które potraktowały opóźnienie jako oddech, uznają okno egzekwowania za niewygodnie wąskie.

Skierowanie do TSUE mówi ci, że opóźnienie się kończy. Państwa członkowskie, które zwlekały, to właśnie te, których egzekwowanie będzie najostrzejsze, gdy ustawa wejdzie w życie — właśnie dlatego, że Komisja już straciła cierpliwość. Ustaw klientów tak, by byli gotowi, zanim tekst stanie się ostateczny, a nie po.

Jeśli chcesz szybkiej, ustrukturyzowanej oceny, czy klient jest objęty zakresem i gdzie są największe luki, przeprowadź go przez szybki skan gotowości NIS2 — działa on na bazie dyrektywy, dokładnie tego, czego potrzebujesz, podczas gdy Francja i Hiszpania finalizują swoje przepisy krajowe.

Aby poznać szerszy obraz tego, jak obowiązki dyrektywy dotyczące łańcucha dostaw przemieszczają się między jurysdykcjami, zobacz nasz przewodnik o bezpieczeństwie łańcucha dostaw NIS2 oraz umowach z dostawcami w świetle Artykułu 21.