Автор: Сергій Зіменков, DPO at NOVA group
У 2026 році Польща завершила імплементацію директиви NIS2 через зміни до Закону про національну систему кібербезпеки. Нові правила формують системний підхід до управління кіберризиками для компаній, що працюють на польському ринку або надають послуги польським організаціям.
Польща була однією з останніх країн Європейського Союзу, яка завершила імплементацію NIS2. Крайній строк для транспозиції директиви був встановлений на 17 жовтня 2024 року, однак Польща пропустила цей дедлайн і отримала офіційне попередження від Європейської Комісії.
Станом на 2025–2026 роки імплементація NIS2 у ЄС відбувається нерівномірно: приблизно половина держав прийняла відповідні закони раніше, тоді як інші країни завершують процес лише зараз.
Після набуття чинності законом почнуть діяти строки імплементації, зокрема реєстрація суб’єктів як essential або important entities та впровадження заходів управління кіберризиками. Закон передбачає також регулярні аудити кібербезпеки та розширені повноваження органів нагляду.
Однією з ключових змін є те, що кібербезпека стає питанням корпоративного управління. Керівництво компаній повинно затверджувати заходи безпеки, контролювати їх виконання та нести відповідальність за порушення вимог.
На практиці відповідність NIS2 означає створення повноцінної системи управління кіберризиками, яка включає управління інцидентами, забезпечення безперервності бізнесу, оцінку ризиків та контроль безпеки постачальників.
Особливо важливо це для українських ІТ-компаній, які працюють із європейськими клієнтами. Навіть якщо українська компанія формально не підпадає під дію польського законодавства, вимоги NIS2 фактично будуть передаватися через контракти та вимоги замовників. Це прямо передбачено підходом NIS2, який включає контроль ризиків у ланцюгах постачання та вимоги до постачальників послуг.
Фактично це означає, що українські ІТ-компанії, які надають послуги європейському бізнесу, вже найближчим часом будуть регулярно отримувати вимоги щодо політик інформаційної безпеки, управління інцидентами, оцінки ризиків, контролю доступів, безпеки розробок, безперервності бізнесу та аудиту безпеки.
Для багатьох компаній це стане наступним регуляторним етапом після GDPR. Якщо GDPR визначив правила роботи з персональними даними, то NIS2 визначає базові вимоги до кіберстійкості бізнесу на європейському ринку.
🙄 На практиці питання вже не в тому, чи пошириться NIS2 на українські сервісні компанії. Питання в тому, коли саме вимоги NIS2 з’являться в договорах із європейськими клієнтами.