NIS2 jest przepisywana: co propozycja zmian z 2026 roku oznacza dla ciebie i twoich klientów

Dwadzieścia dwa z 27 państw członkowskich UE transponowały już NIS2 do prawa krajowego. Podczas gdy większość organizacji wciąż zmaga się z pierwotnymi wymaganiami, Komisja Europejska opublikowała już propozycję zmiany zasad. 20 stycznia 2026 r. Komisja opublikowała pakiet poprawek dotyczących zakresu, zgłaszania ransomware, certyfikacji i nadzoru transgranicznego.

Dlaczego Komisja już wprowadza zmiany do dyrektywy, która nie jest jeszcze w pełni wdrożona

NIS2 stała się wykonalna w październiku 2024 r. Pakiet Omnibus Cyfrowy Komisji, uruchomiony w listopadzie 2025 r., usprawnia unijne ustawodawstwo cyfrowe, aby zmniejszyć fragmentację. Praktyczne wdrożenie ujawniło luki — rozbieżność w przepisach krajowych i brak zharmonizowanej ścieżki certyfikacji.

Propozycja ze stycznia 2026 r. jest "ukierunkowana" — Komisja nie rewiduje fundamentalnej architektury NIS2. Dziesięć środków bezpieczeństwa z Artykułu 21 pozostaje bez zmian. Terminy zgłaszania incydentów (24 godziny, 72 godziny, miesiąc) pozostają bez zmian.

Status Wdrożenia NIS2 według Kraju (2025–2026)
✅
W pełni obowiązuje
🇧🇪Belgia
🇭🇷Chorwacja
🇭🇺Węgry
🇱🇹Litwa
🇱🇻Łotwa
🇮🇹Włochy
6 krajów
📋
Przyjęta — koniec 2025
🇩🇪Niemcy
🇨🇿Czechy
🇫🇮Finlandia
3 krajów
⏳
W trakcie — oczekiwane 2026
🇳🇱Holandia
🇫🇷Francja
🇪🇸Hiszpania
🇵🇱Polska
🇦🇹Austria
🇸🇪Szwecja
🇮🇪Irlandia
7 krajów

Zgłaszanie ransomware: nowe obowiązki na horyzoncie

Jeśli krajowy organ to zażąda, organizacje będą zobowiązane ujawnić czy złożono żądanie okupu i przez kogo, czy okup został zapłacony, kwotę i metodę płatności, oraz tożsamość odbiorcy (w tym wszelkich zaangażowanych dostawców usług kryptoaktywów).

Ujawnienie nie jest automatyczne — jest wyzwalane przez żądanie organu. Propozycja celuje w asymetrię informacji, z którą borykają się organy regulacyjne. Klienci zarządzający incydentami ransomware muszą teraz budować wewnętrzne praktyki dokumentacji.

Harmonogram Zgłaszania Incydentów NIS2
24h
⚡
Wczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
Krok 1
72h
📋
Zgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
Krok 2
1mo
📊
Raport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.
Krok 3
24h
⚡
Wczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
72h
📋
Zgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
1mo
📊
Raport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.

Zmiany zakresu: kto jest objęty, kto nie

Operatorzy podwodnych kabli wchodzą w zakres po raz pierwszy. Dystrybucja chemikaliów wychodzi — zmiana usuwa "dystrybucję" z Załącznika II. Nowa kategoria "małych firm średniej wielkości" (poniżej 750 pracowników, obrót poniżej 150 mln euro) byłaby traktowana jako "podmioty ważne" zamiast kluczowych — nadzór reaktywny zamiast proaktywnego.

Czy NIS2 Dotyczy Twojej Organizacji?
1
Czy Twoja organizacja działa w sektorze kluczowym lub ważnym (energia, transport, ochrona zdrowia, infrastruktura cyfrowa itp.)?
Tak▼
Nie▼
2
Czy Twoja organizacja zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót przekraczający 10 milionów euro?
✗
NIS2 nie dotyczy bezpośrednio Twojej organizacji.
Tak▼
Nie▼
✓
NIS2 dotyczy Twojej organizacji jako podmiotu kluczowego lub ważnego.
3
Czy Twoja organizacja jest dostawcą infrastruktury krytycznej lub kwalifikowanym dostawcą usług zaufania?
Tak▼
!
NIS2 może dotyczyć Twojej organizacji — skonsultuj się z prawnikiem w celu potwierdzenia statusu.
1
Czy Twoja organizacja działa w sektorze kluczowym lub ważnym (energia, transport, ochrona zdrowia, infrastruktura cyfrowa itp.)?
Tak ↓Nie →
2
Czy Twoja organizacja zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót przekraczający 10 milionów euro?
Tak ↓Nie →
3
Czy Twoja organizacja jest dostawcą infrastruktury krytycznej lub kwalifikowanym dostawcą usług zaufania?
Tak ↓Nie →
✗
NIS2 nie dotyczy bezpośrednio Twojej organizacji.
✓
NIS2 dotyczy Twojej organizacji jako podmiotu kluczowego lub ważnego.
!
NIS2 może dotyczyć Twojej organizacji — skonsultuj się z prawnikiem w celu potwierdzenia statusu.
Dotyczy
Możliwe zastosowanie
Nie dotyczy

Certyfikacja jako ścieżka zgodności: certyfikat cyber-posture

Podmioty będą ostatecznie mogły uzyskać unijny "certyfikat cyber-posture" w ramach przyszłego europejskiego schematu certyfikacji cyberbezpieczeństwa zgodnego z CSA2. Jeśli podmiot posiada ważny certyfikat obejmujący wymagania Artykułu 21, właściwe organy nie mogą poddawać go dodatkowym audytom bezpieczeństwa dla tych wymagań. Udowodnij zgodność raz, uniknij powielających się krajowych audytów.

CSA2 jest samo w sobie wciąż propozycją. Ale kierunek jest jasny: inwestujcie w certyfikowalne ramy. Wytyczne ENISA mapujące NIS2 na ISO 27001 staną się prawdopodobnie podstawą przyszłych certyfikatów cyber-posture.

Więcej informacji o dziesięciu środkach Artykułu 21 można znaleźć w dogłębnej analizie Artykułu 21 NIS2.

Silniejsza rola ENISA: nadzór transgraniczny

ENISA będzie ułatwiać współpracę między krajowymi organami, pomagać w ustalaniu wiodącego organu, przeprowadzić analizę ryzyka w ciągu 15 miesięcy od wejścia w życie i uczestniczyć we wspólnych działaniach nadzorczych na żądanie. To nie jest system jednego okienka na wzór RODO.

Co się zmienia i kiedy: praktyczna oś czasu

Konserwatywne oszacowanie: te zmiany nie znajdą się w prawie krajowym przed końcem 2027 r. lub początkiem 2028 r. Doradzajcie klientom teraz — selektywnie. Dokumentacja ransomware jest tania do wdrożenia teraz. Zmiany zakresu mają najwyższy priorytet dla dotkniętych sektorów.

Szerszy obraz: egzekwowanie NIS2 już się rozpoczęło

Siedem państw członkowskich zostało już skierowanych do Trybunału Sprawiedliwości za niedotrzymanie terminu transpozycji. Krajowe organy zaczynają przeprowadzać kontrole. Pierwsze kary spodziewane są przed końcem roku.

Eskalacja sankcji NIS2 — Poza karą finansową
!
Zdarzenie wyzwalające
Wykryto niezgodność lub wystąpił incydent
Organ nadzorczy identyfikuje lukę w zgodności lub organizacja nie spełnia wymagań NIS2
Organy mogą nałożyć
▼
Sankcje niefinansowe
1
Nakazy zgodności z wiążącymi terminami
2
Obowiązkowe audyty bezpieczeństwa na Twój koszt
3
Publiczne ujawnienie naruszeń
4
Wiążące instrukcje dotyczące konkretnych środków bezpieczeństwa
Eskaluje do
▼
Konsekwencje operacyjne i osobiste
1
Zawieszenie certyfikatów lub licencji operacyjnych
2
Tymczasowy zakaz pełnienia funkcji zarządczych dla osób
3
Publiczne wskazanie odpowiedzialnych osób fizycznych
Zdarzenie wyzwalające
Niefinansowe
Operacyjne / osobiste

Proponowane zmiany nie dają organizacjom więcej czasu. Dodają nowe obowiązki na szczycie istniejącej podstawy. Najbardziej uzasadniona pozycja to udokumentowana analiza luk.

Jeśli wasi klienci nie przeprowadzili jeszcze tej analizy luk, zróbcie to teraz. Quick-scan NIS2 na NIS2Certify zapewnia ustrukturyzowany punkt wyjścia w mniej niż 20 minut.