Przewodnik NIS2 · 6 min
Status transpozycji NIS2: w których krajach UE obowiązuje
NIS2 to dyrektywa UE, co oznacza, że każde państwo członkowskie musi wpisać ją do własnego prawa krajowego, zanim zacznie obowiązywać. Termin transpozycji upłynął 17 października 2024. Minął, gdy większość krajów wciąż przygotowywała projekty, i od tego czasu nadrabiają zaległości w bardzo różnym tempie. Ta strona śledzi sytuację każdego z 27 państw członkowskich oraz to, dlaczego różnice dotyczą Ciebie, nawet jeśli Twój kraj się spóźnia.
Najważniejsze wnioski
- • NIS2 miała być w prawie krajowym do 17 października 2024 r.; wiele państw członkowskich tego nie dotrzymało.
- • Obowiązek dociera do Ciebie przez Twoich klientów, nie tylko przez prawo Twojego kraju.
- • Status zmienia się stale: zawsze potwierdzaj w oficjalnych źródłach unijnych i krajowych.
Gdzie są 27 państw członkowskich
20 z 27
ustawa krajowa obowiązuje
7 z 27
transpozycja w toku
Dlaczego mozaika i tak Cię dosięga
Kuszące jest rozluźnienie, jeśli Twój kraj nie skończył ustawy. To błędne odczytanie. Obowiązek NIS2 dotyczący łańcucha dostaw (art. 21 ust. 2 lit. d) przenosi się umownie: jeśli choćby jeden z Twoich klientów ma siedzibę w państwie członkowskim, gdzie prawo już obowiązuje, ten klient musi oceniać i stale oceniać Twoje bezpieczeństwo, niezależnie od tego, gdzie się znajdujesz. W praktyce kraje transponujące najwcześniej narzucają tempo wszystkim, którzy do nich sprzedają.
Status według kraju
Każdy kraj odsyła do własnej strony: organ właściwy, krajowy CSIRT, ustawa krajowa i kluczowe daty.
Obowiązuje (20)
W toku (7)
Jak utrzymujemy to na bieżąco
Krajowa transpozycja to ruchomy cel. Sprawdzamy każdy kraj wobec oficjalnego organu krajowego i trackera transpozycji Komisji Europejskiej oraz datujemy każdy wpis, abyś widział jego aktualność. Po bieżące szczegóły dla danego kraju skorzystaj z powyższych stron krajów lub bezpośrednio z trackera Komisji.
Tracker transpozycji Komisji EuropejskiejZobacz monitoring dostawców na poziomie NIS2
Przykładowy raport o dostawcy (ustalenia, mapowanie NIS2 i dowody) w dwie minuty.
7 dni bezpłatnie · bez karty kredytowej · anuluj w każdej chwili
Powiązane przewodniki
Jak spełnić NIS2: mapa drogowa krok po kroku
Kroki do zgodności z NIS2 po kolei: potwierdzenie zakresu, rejestracja, odpowiedzialność kierownictwa (art. 20), środki z art. 21 ust. 2, bezpieczeństwo łańcucha dostaw, zgłaszanie incydentów (art. 23) oraz ciągłe, udokumentowane zapewnienie.
Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości
Ustal, czy NIS2 dotyczy Ciebie: dwie kategorie, sektory z załączników I/II, progi wielkości, wyjątki niezależne od wielkości i jak łańcuch dostaw wciąga Cię nawet bez wyznaczenia.
NIS2 dla dostawców: nie jesteś wyznaczony, ale Twoi klienci tak
Większość firm nigdy nie zostaje wyznaczona w ramach NIS2, a mimo to wiele musi go spełniać. Jak obowiązek bezpieczeństwa łańcucha dostaw objętego klienta (artykuł 21 ust. 2 lit. d) przenosi się na Ciebie, czego zażąda i jak odpowiedzieć wiarygodnie.
NIS2 i wymóg łańcucha dostaw: co oznacza w praktyce
NIS2 zobowiązuje podmioty kluczowe i ważne do oceny cyberryzyk w łańcuchu dostaw. Poziomy dostawców, ryzyko czwartej strony, obowiązek zgłoszenia z Art. 23 i na co zwracają uwagę audytorzy.
Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2
Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.
NIS2 Art. 21(2): lista kontrolna bezpieczeństwa dla dostawców
Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.
Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon
O co pytać dostawców zgodnie z art. 21 ust. 2 lit. d), jak punktować odpowiedzi i reagować na luki, dlaczego samoocena wymaga weryfikacji, oraz darmowy szablon.
Zgłaszanie incydentów NIS2: terminy 24 i 72 godzin wyjaśnione
Czym jest istotny incydent, harmonogram z artykułu 23 (wczesne ostrzeżenie 24 h, zgłoszenie 72 h, raport końcowy w miesiąc) i kiedy incydent dostawcy staje się Twoim obowiązkiem.
NIS2 a odpowiedzialność kierownictwa: co muszą wiedzieć zarząd i kadra zarządzająca
Czego NIS2 oczekuje od organu zarządzającego: obowiązki zatwierdzania i nadzoru, osobista odpowiedzialność (art. 20), szkolenia, wskaźniki raportowania do zarządu i kary z art. 34.
ISO 27001 a NIS2: co Twój SZBI już obejmuje, i luki, których nie
Jeśli masz ISO 27001: co przenosi się na NIS2, a co nie (ustawowe zgłaszanie incydentów, odpowiedzialność kierownictwa, rejestracja i ciągłe zapewnienie łańcucha dostaw) oraz jak zamknąć lukę.
Kary i sankcje NIS2: ile, kto odpowiada i jak ich uniknąć
Czym są kary NIS2: limity z artykułu 34 (10 mln € / 2 % dla podmiotów kluczowych, 7 mln € / 1,4 % dla ważnych), osobista odpowiedzialność kierownictwa (art. 20, art. 32), środki niepieniężne i jak ich uniknąć.
NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie
Czym różnią się i pokrywają dwa reżimy UE, dlaczego DORA to lex specialis dla podmiotów finansowych, który dotyczy Ciebie, i co oba oznaczają dla ryzyka stron trzecich.
RODO a NIS2: pokrywanie się, różnice i kiedy jeden incydent uruchamia oba
Czym różnią się i pokrywają RODO i NIS2, kiedy jeden incydent uruchamia oba (RODO art. 33 72 h do organu nadzorczego vs NIS2 art. 23 24 h/72 h/miesiąc do CSIRT), współpraca z art. 35 i zakaz podwójnej kary oraz co oba oznaczają dla należytej staranności wobec dostawców.
Unijny akt o cyberodporności (CRA): zakres, harmonogram i co oznacza dla Twojego łańcucha dostaw
Czego wymaga CRA, jego etapowe terminy (obowiązuje od 2024, zgłaszanie wrz 2026, pełna zgodność gru 2027), kogo dotyczy i dlaczego czysty SaaS często nie, jak uzupełnia NIS2 oraz co oznacza dla zakupów i należytej staranności wobec dostawców.
Unijny akt o sztucznej inteligencji: poziomy ryzyka, harmonogram i obowiązki podmiotów stosujących (artykuł 26)
Czego wymaga unijny akt o AI: poziomy ryzyka, etapowe daty (obowiązuje 2024, zakazane luty 2025, GPAI sie 2025, wysokie ryzyko sie 2026), obowiązki podmiotu stosującego z art. 26, jak nakłada się na NIS2 i RODO oraz co oznacza dla zakupów AI.
Klauzule umowne dla dostawców NIS2: czego wymagać od dostawców
Klauzule, które czynią obowiązek NIS2 dotyczący łańcucha dostaw egzekwowalnym: poziom bezpieczeństwa, okno powiadomień, prawa do dowodów i audytu, przeniesienie na podwykonawców i ciągła weryfikacja.
Ostatnio sprawdzono: 19 czerwca 2026
Ten przewodnik zawiera ogólne informacje o prawie UE, a nie poradę prawną. NIS2 wchodzi w życie poprzez krajową ustawę wdrażającą każdego państwa członkowskiego UE, która może różnić się w szczegółach. Zweryfikuj obowiązki, które Cię dotyczą, u właściwego organu lub doradcy prawnego.