Az NIS2 nem egy egységes térkép. Inkább egy mozaik, amelyet minden tagállam másképp rak össze.

Ahogy az uniós irányelv átlépte a nemzeti jogalkotás küszöbét, azonnal kiderült: nincs két egyforma értelmezés. Egyes országok óvatosan húzták meg a határokat, mások kiterjesztették azokat, új szektorokat vonva be, vagy régieket emelve magasabb szintre. Az implementáció nem puszta jogtechnika lett, hanem döntés arról, mi számít igazán kritikusnak.

Magyarország, Finnország és Belgium például tudatosan kihagyták a banki és pénzügyi szektort, mondván: ott már a DORA szabályai őrködnek. Ezzel szemben Bulgária és Portugália a helyi közigazgatást hagyta a szabályozás peremén, mintha az állam alsóbb szintjei kevésbé lennének sebezhetők.

Máshol viszont szigorodott a mérce. Magyarország a közösségi közlekedést is a kritikus infrastruktúrák közé emelte. Szlovákia az energiatermelés szívéhez nyúlt, és a hőerőműveket is bevonta. Lengyelország pedig újrarajzolta a térképet: az ásványkitermelést az energia, az elektronikus hírközlést a digitális infrastruktúra alá sorolta.

Spanyolország még tovább ment: a nukleáris ipar is belépett a szabályozás hatókörébe. Lengyelország pedig egy határozott mozdulattal az „alapvető” kategóriába emelte a feldolgozóipart, a vegyipartól az élelmiszer-elosztásig. Ami tegnap még „fontos” volt, ma már létfontosságú.

Vannak finomabb átalakítások is. Egyes országok – köztük Magyarország és Szlovákia – összevonták az ivóvíz- és szennyvízszolgáltatást, egyetlen, oszthatatlan kritikus szektorként kezelve. Németország csak tervezte ezt a lépést. Mások már meg is tették.

A kép így nem egységes, de nem is véletlenszerű. A tagállamok döntései mögött nemzeti prioritások, meglévő jogszabályok és kockázatelemzések húzódnak meg. Az NIS2 nem mindenkire ugyanúgy nehezedik rá, de mindenhol emlékeztet arra, hogy ami kritikus, azt védeni kell. Aki ezt alábecsüli, annak a szabályozás előbb-utóbb kopogtatni fog az ajtaján.