Wprowadzenie
Europa zbudowała dwa równoległe filary regulacji cyberodporności: rozporządzenie DORA dla sektora finansowego oraz dyrektywę NIS2 dla szerokiego spektrum podmiotów kluczowych. Na papierze miały wejść w życie niemal równocześnie. W praktyce ich losy się rozeszły.
DORA, czyli rozporządzenie (UE) 2022/2554, obowiązuje bezpośrednio we wszystkich 27 państwach członkowskich i jest w pełni stosowane od 17 stycznia 2025 roku. NIS2 jako dyrektywa wymagała transpozycji do prawa krajowego do 17 października 2024 roku - i tu pojawił się problem.
Ta asymetria ma realne konsekwencje dla firm, które muszą poruszać się między bezpośrednio obowiązującym rozporządzeniem a niejednolicie wdrażaną dyrektywą.
DORA: harmonogram, który działa
DORA ustanawia jednolite wymogi zarządzania ryzykiem ICT dla podmiotów finansowych. Egzekwowanie ruszyło zgodnie z planem. Do 30 kwietnia 2025 roku podmioty finansowe miały przesłać rejestr informacji obejmujący dostawców usług ICT i powiązane umowy. Europejskie Urzędy Nadzoru przeprowadziły oceny krytyczności, a 18 listopada 2025 roku wyznaczyły krytycznych zewnętrznych dostawców ICT.
Jako regulacja sektorowa DORA ma pierwszeństwo przed dyrektywą NIS2 w zakresie zarządzania ryzykiem cyberbezpieczeństwa i zgłaszania poważnych incydentów w sektorze finansowym. Dla instytucji finansowych oznacza to jasną, choć wymagającą, ścieżkę zgodności.
NIS2: transpozycja, która grzęźnie
Z NIS2 jest inaczej. 28 listopada 2024 roku Komisja Europejska wszczęła postępowania wobec 23 państw członkowskich za niedotrzymanie terminu transpozycji. 7 maja 2025 roku wystosowała uzasadnione opinie do 19 państw - w tym Polski, Niemiec i Francji - za brak notyfikacji pełnej transpozycji.
Według stanu z połowy 2025 roku tylko część państw w pełni wdrożyła NIS2, a Komisja kontynuowała postępowania wobec kilkunastu, w tym Polski, Niemiec, Francji i Hiszpanii. Podmiotom dano czas na osiągnięcie zgodności, w części interpretacji do około października 2026 roku.
Dlaczego to większa sprawa, niż się wydaje
Nierówne tempo egzekwowania tworzy realne ryzyko dla firm działających transgranicznie. Spółka prowadząca działalność w kilku państwach może podlegać różnym wersjom krajowych przepisów NIS2 - lub ich brakowi - przy jednoczesnym, jednolitym obowiązku DORA, jeśli należy do sektora finansowego.
Dla polskich przedsiębiorstw wniosek jest praktyczny: nie należy czekać na ostateczny kształt krajowej ustawy wdrażającej NIS2. Kierunek regulacji jest przesądzony, a opóźnienia transpozycji nie zawieszają oczekiwań rynku ani realnego zagrożenia, które te przepisy miały adresować.
Dyskusja