Hollandia és Franciaország még a papírokat bogozza, Spanyolország a határidő peremén egyensúlyoz, Németország éppen csak befutott a célba.

Az NIS2 nem egy egységes térkép. Inkább egy mozaik, amelyet minden tagállam picit másképp rak össze. Ahogy az uniós irányelv átlépte a nemzeti jogalkotás küszöbét, azonnal kiderült, hogy nincs két egyforma értelmezés. Egyes országok óvatosan húzták meg a határokat, mások kiterjesztették azokat, új szektorokat vontak be vagy régieket emeltek magasabb szintre. Az implementáció nem puszta jogtechnika lett, hanem döntés arról, mi számít igazán kritikusnak.

Az European Cyber Security Organisation (ECSO) NIS2 átültetési nyomonkövetője alapján Magyarország, Finnország és Belgium például tudatosan kihagyták a banki és pénzügyi szektort, mondván, ott már a DORA szabályai őrködnek, Bulgária és Portugália pedig a helyi közigazgatást hagyta a szabályozás peremén.

Máshol viszont szigorodott a mérce. Magyarország a közösségi közlekedést is a kritikus infrastruktúrák közé emelte. Szlovákia az energiatermelés szívéhez nyúlt és a hőerőműveket is bevonta, Spanyolországban a nukleáris ipar is belépett a szabályozás hatókörébe, Lengyelország pedig az ásványkitermelést az energia, az elektronikus hírközlést a digitális infrastruktúra alá sorolta, viszont egy határozott mozdulattal az „alapvető” kategóriába emelte a feldolgozóipart, a vegyipartól az élelmiszer-elosztásig.

Vannak finomabb átalakítások is. Egyes országok – köztük Magyarország és Szlovákia – összevonták az ivóvíz- és szennyvízszolgáltatást, egyetlen, oszthatatlan kritikus szektorként kezelve. Ezt a lépést ugyan Németország is tervezte, habár végül nem valósította meg.

A kép így nem egységes, de nem is véletlenszerű. A tagállamok döntései mögött nemzeti prioritások, meglévő jogszabályok és kockázatelemzések húzódnak. A NIS2 nem mindenkire ugyanúgy nehezedik rá, de mindenhol emlékeztet arra, hogy ami kritikus, azt védeni kell.