NIS2: czy Polska zostaje w tyle?

Dyrektywa NIS2 (Dyrektywa Parlamentu Europejskiego i Rady [UE] 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie [UE] nr 910/2014 i dyrektywę [UE] 2018/1972 oraz uchylająca dyrektywę [UE] 2016/1148, Dz.U. L 333 z 27.12.2022, str. 80–152.) weszła w życie 16 stycznia 2023 r., a więc już ponad rok temu. Stanowi ona rewizję poprzednio obowiązującej dyrektywy NIS, która w Polsce została transponowana za pomocą ustawy o krajowym systemie cyberbezpieczeństwa (ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, Dz.U. 2018 poz. 1560.). Pierwszy projekt NIS2 pojawił się w 2020 r.

Wnioski zarówno z analizy obecnego stanu transpozycji NIS2 w Polsce, jak i z analizy projektów w innych państwach członkowskich wskazują, że sytuacja Polski, jeśli chodzi o implementację, nie odbiega od europejskiego tempa. Do wprowadzania NIS2 w Polsce należy podejść z uwzględnieniem różnic między obowiązującym stanem prawnym a zmianami przewidzianymi w NIS2. Transpozycja niepoprzedzona odpowiednim procesem konsultacji może mieć negatywne skutki, szczególnie dla MŚP i tych sektorów, które nie były objęte dyrektywą NIS.