Tracker wdrożenia NIS 2 w UE
Na jakim etapie wdrożenia NIS 2 jest każde państwo członkowskie UE. Ustawa krajowa, organ właściwy, krajowy CSIRT, status. Zweryfikowano w czerwcu 2026.
Czego to dotyczy
Termin transpozycji wyznaczony na 17 października 2024 r. w artykule 41 NIS 2 upłynął. Kilka państw członkowskich zadziałało szybko (Włochy, Belgia, Węgry, Chorwacja, Rumunia). Większość jest wciąż w procesie legislacyjnym, w tym cztery największe gospodarki (Niemcy, Francja, Hiszpania, Holandia). Komisja Europejska wszczęła w maju 2025 r. postępowania w sprawie uchybienia zobowiązaniom wobec spóźnionych państw.
Poniższa tabela podsumowuje dla każdego państwa członkowskiego kluczową ustawę krajową, wiodący organ właściwy oraz krajowy CSIRT. Tam, gdzie istnieje pogłębiona analiza danego kraju, nazwa kraju jest do niej odnośnikiem. Status na dzień weryfikacji; najbardziej aktualny, wiarygodny obraz zapewnia tracker transpozycji NIS 2 prowadzony przez ENISA.
| Państwo członkowskie | Ustawa krajowa | Organ właściwy | Krajowy CSIRT | Status |
|---|---|---|---|---|
ATAustria | NISG 2026 Pierwotny NISG (BGBl. I Nr. 111/2018) transponował NIS 1; zastąpiony przez NISG 2026 (BGBl. I Nr. 94/2025), obowiązujący od 1 października 2026 r. | Bundesamt für Cybersicherheit | GovCERT.AT (interim national CSIRT), CERT.at (incident reporting platform nis2.cert.at) | Projekt ustawy w toku |
BEBelgia | NIS2 Law (Loi NIS2) Jedno z pierwszych państw członkowskich, które dokonało transpozycji. Wejście w życie 18 października 2024 r. | CCB (Centre for Cybersecurity Belgium) | CERT.be (under CCB) | Obowiązuje |
BGBułgaria | Cybersecurity Act (amended) | State e-Governance Agency / Ministry of e-Government | CERT Bulgaria | Obowiązuje |
Zakon o kibernetičkoj sigurnosti Przyjęte w 2024 r. Sektorowy model nadzoru. | NHCSC-HR (National Cybersecurity Center) | CERT.hr (CARNet) | Obowiązuje | |
CYCypr | Law on Security of Networks and Information Systems (Amendment) 2025 | DSA (Digital Security Authority) | CSIRT-CY | Obowiązuje |
CZCzechy | Zákon č. 264/2025 Sb. o kybernetické bezpečnosti Obowiązująca ustawa o cyberbezpieczeństwie (Zákon č. 181/2014 Sb.) transponowała NIS 1. Nowelizacja NIS 2 jest w toku procesu legislacyjnego. | NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) | GovCERT.CZ (NÃKIB), CSIRT.CZ | Obowiązuje |
DKDania | LOV nr 434 af 06/05/2025 (NIS 2-loven) Dania stosuje sektorowy model nadzoru. CFCS należy do wywiadu wojskowego. | SAMSIK (Styrelsen for Samfundssikkerhed) | CFCS (Centre for Cyber Security) | Obowiązuje |
EEEstonia | Küberturvalisuse seadus Estonia dokonała szybkiej transpozycji poprzez nowelizację swojej ustawy o cyberbezpieczeństwie z 2018 r. | RIA (Riigi Infosüsteemi Amet) | CERT-EE (within RIA) | Obowiązuje |
Kyberturvallisuuslaki (124/2025) Finlandia przyjęła akt transponujący w 2024 r. Wejście w życie w kwietniu 2025 r. | Traficom + sector authorities (NCSC-FI as national CSIRT) | NCSC-FI (Kyberturvallisuuskeskus, within Traficom) | Obowiązuje | |
FRFrancja | Loi Résilience (bundles NIS2 + DORA + CER) Nałożony na istniejący reżim OIV / OSE przewidziany w Code de la défense. Rejestracja przez MonEspaceNIS2. | ANSSI (Agence nationale de la sécurité des systèmes d'information) | CERT-FR (ANSSI) | Projekt ustawy w toku |
GRGrecja | Law No. 5160/2024 | NCSA (National Cyber Security Authority) | GR-CERT (within NCA) | Obowiązuje |
— Hiszpania stosuje model dwóch CSIRT. Nadzór sektorowy na podstawie obowiązującego Real Decreto 43/2021 (NIS 1). | CCN-CERT / INCIBE | CCN-CERT (public sector), INCIBE-CERT (private sector) | W przygotowaniu | |
NLHolandia | Cyberbeveiligingswet (Cbw, wetsvoorstel 36.764) Projekt ustawy Cbw przed Tweede Kamer. Zastępuje Wbni (transpozycja NIS 1). | NCSC-NL (since 1 Jan 2026 merged with DTC and CSIRT-DSP into "versterkt NCSC", SPOC + national CSIRT) + RDI (Rijksinspectie Digitale Infrastructuur, horizontal supervisor) | NCSC-NL | Projekt ustawy w toku |
IEIrlandia | National Cyber Security Bill (draft) Projekt ustawy w toku procesu legislacyjnego w Houses of the Oireachtas. | NCSC (National Cyber Security Centre) | NCSC-IE | W przygotowaniu |
LTLitwa | Kibernetinio saugumo įstatymas Litwa przyjęła akt transponujący pod koniec 2024 r. | NKSC (National Cybersecurity Center) | CERT-LT (within NKSC) | Obowiązuje |
Loi du 5 mai 2026 relative à des mesures visant à assurer un niveau élevé de cybersécurité | ILR (Institut Luxembourgeois de Régulation) | CIRCL (Computer Incident Response Center Luxembourg) | Obowiązuje | |
LVŁotwa | Kiberdrošības likums Łotwa przyjęła w 2024 r. krajową ustawę o cyberbezpieczeństwie, transponując NIS 2. | CERT.LV / NCSC | CERT.LV | Obowiązuje |
MTMalta | Legal Notice 71/2025, amended by Legal Notice 89/2026 (S.L. 460.41) | CIPD (Critical Infrastructure Protection Department) | CSIRTMalta | Obowiązuje |
DENiemcy | NIS2UmsuCG / BSIG Niemcy nie dotrzymały unijnego terminu 17 października 2024 r. Komisja wszczęła postępowanie w sprawie uchybienia zobowiązaniom w maju 2025 r. | BSI (Bundesamt für Sicherheit in der Informationstechnik) | CERT-Bund (BSI) | Obowiązuje |
PLPolska | Amended KSC Act (ustawa o KSC) Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (Ustawa o KSC) w toku procesu legislacyjnego. | Ministry of Digital Affairs / CSIRTs | CSIRT NASK, CSIRT GOV, CSIRT MON | Obowiązuje |
Decreto-Lei n.º 125/2025 | CNCS (Centro Nacional de Cibersegurança) + CERT.PT | CERT.PT (within CNCS) | Obowiązuje | |
RORumunia | Emergency Ordinance No. 155/2024; Laws No. 52/2025 & No. 124/2025 Rumunia dokonała transpozycji w drodze OUG 155/2024 w grudniu 2024 r. | DNSC (Directoratul Național de Securitate Cibernetică) | DNSC CSIRT | Obowiązuje |
SKSłowacja | Zákon o kybernetickej bezpečnosti | NBÚ (Národný bezpečnostný úrad) | SK-CERT (within NBÃ) | Obowiązuje |
SISłowenia | ZInfV-1 (Information Security Act) | URSIV (Information Security Agency) | SI-CERT | Obowiązuje |
SESzwecja | Cybersaekerhetslagen (SFS 2025:1506) | MCF (Myndigheten foer civilt foersvar, vormals MSB) + CERT-SE | CERT-SE (within MCF) | Obowiązuje |
HUWęgry | Act XXIII of 2024 Węgry dokonały transpozycji wcześnie w drodze ustawy XXIII z 2023 r. Nałożone z SZTFH jako organem nadzoru nad cyberbezpieczeństwem. | SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) | National Cyber Defence Institute (NBSZ) | Obowiązuje |
ITWłochy | D.Lgs. 138/2024 Wejście w życie 16 października 2024 r. Jedno z nielicznych państw członkowskich, które dotrzymało unijnego terminu. | ACN (Agenzia per la Cybersicurezza Nazionale) | CSIRT Italia (within ACN) | Obowiązuje |
Bundesamt für Cybersicherheit
CCB (Centre for Cybersecurity Belgium)
State e-Governance Agency / Ministry of e-Government
NHCSC-HR (National Cybersecurity Center)
DSA (Digital Security Authority)
NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost)
SAMSIK (Styrelsen for Samfundssikkerhed)
RIA (Riigi Infosüsteemi Amet)
Traficom + sector authorities (NCSC-FI as national CSIRT)
ANSSI (Agence nationale de la sécurité des systèmes d'information)
NCSA (National Cyber Security Authority)
CCN-CERT / INCIBE
NCSC-NL (since 1 Jan 2026 merged with DTC and CSIRT-DSP into "versterkt NCSC", SPOC + national CSIRT) + RDI (Rijksinspectie Digitale Infrastructuur, horizontal supervisor)
NCSC (National Cyber Security Centre)
NKSC (National Cybersecurity Center)
ILR (Institut Luxembourgeois de Régulation)
CERT.LV / NCSC
CIPD (Critical Infrastructure Protection Department)
Ministry of Digital Affairs / CSIRTs
CNCS (Centro Nacional de Cibersegurança) + CERT.PT
DNSC (Directoratul Național de Securitate Cibernetică)
NBÚ (Národný bezpečnostný úrad)
URSIV (Information Security Agency)
MCF (Myndigheten foer civilt foersvar, vormals MSB) + CERT-SE
SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága)
ACN (Agenzia per la Cybersicurezza Nazionale)
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 41 — termin transpozycji. EUR-Lex: eur-lex.europa.eu/eli/dir/2022/2555/oj
- ENISA NIS 2 transposition tracker — enisa.europa.eu/topics/nis-directive
- Komisja Europejska, postępowania w sprawie uchybienia zobowiązaniom wszczęte wobec państw członkowskich, które nie zgłosiły pełnej transpozycji NIS 2 (listopad 2024, uzasadnione opinie maj 2025).
- Krajowe dzienniki urzędowe: BGBl (DE), Moniteur belge / Belgisch Staatsblad (BE), Gazzetta Ufficiale (IT), BOE (ES), JORF (FR), Sbírka zákonů (CZ) itd.
Test stosowalności opiera się na dyrektywie UE. Wynik obowiązuje niezależnie od tego, która transpozycja krajowa już obowiązuje w Twoim kraju.