Interpelacja nr 12594

do ministra cyfryzacji

w sprawie implementacji dyrektywy NIS2 w Polsce

Zgłaszający: Urszula Nowogórska

Data wpływu: 30-09-2025

W nowej strategii bezpieczeństwa wewnętrznego UE, ogłoszonej w komunikacie z dnia 1 kwietnia 2025 r. Komisji do Parlamentu Europejskiego, Rady UE, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów w sprawie ProtectEU: europejska strategia bezpieczeństwa wewnętrznego [COM(2025) 148 final], na stronie 13. możemy przeczytać:

„Zmniejszenie podatności na zagrożenia i wzmocnienie odporności podmiotów krytycznych jest niezbędne, aby zapewnić nieprzerwane świadczenie usług kluczowych o podstawowym znaczeniu dla gospodarki i społeczeństwa. W związku z tym kluczowe znaczenie w tym względzie ma terminowa transpozycja i prawidłowe wdrożenie przez wszystkie państwa członkowskie dyrektywy w sprawie odporności podmiotów krytycznych (dyrektywa CER) oraz dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2)”.

Podobne w treści sformułowania znajdziemy także w przyjętej 26 marca 2025 r. strategii na rzecz unii gotowości, czyli wspólnym komunikacie do Parlamentu Europejskiego, Rady Europejskiej, Rady UE, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów w sprawie strategii na rzecz unii gotowości [JOIN(20250 130 final], gdzie na stronie 8. czytamy:

„Priorytetem wymagającym bezpośredniej realizacji jest pilna i pełna transpozycja oraz wdrożenie unijnych ram prawnych, w szczególności dyrektyw CER i NIS 2”.

Ponadto art. 41 dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2), stanowi:

1. Do dnia 17 października 2024 r. państwa członkowskie przyjmują i publikują przepisy niezbędne do wykonania niniejszej dyrektywy. Niezwłocznie powiadamiają one o tym Komisję. Państwa członkowskie stosują te przepisy od dnia 18 października 2024 r.

2. Przepisy, o których mowa w ust. 1, przyjęte przez państwa członkowskie zawierają odniesienie do niniejszej dyrektywy lub odniesienie takie towarzyszy ich urzędowej publikacji. Sposób dokonywania takiego odniesienia określany jest przez państwa członkowskie.

Natomiast na stronie informacji prawnych UE, w zakładce transpozycja prawa krajowego widnieje cyfra „2” jako liczba środków implementacji w przypadku Polski (https://eur-lex.europa.eu/legal-content/EN/NIM/?uri=CELEX:32022L2555) z informacją, że dokonano tego poprzez:

- obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 10 lipca 2024 r. w sprawie ogłoszenia jednolitego tekstu ustawy o krajowym systemie cyberbezpieczeństwa oraz
- ustawę z dnia 12 lipca 2024 r. Przepisy wprowadzające ustawę Prawo komunikacji elektronicznej.

Wobec powyższego zwracam się z uprzejmą prośbą o odpowiedź na następujące pytania:

1. Czy powyższe ustawy w takim ich brzmieniu, zdaniem Pana Wicepremiera, stanowią wystarczającą implementację dyrektywy NIS 2 w Polsce?

2. Jeżeli nie, kiedy planowane jest pełne wykonanie zobowiązania wynikającego z art. 41 wspominanej dyrektywy?