Śledzenie przepisów i dyrektyw UE dotyczących sfery cyfrowej nie jest łatwym zadaniem. Według danych CEPS z lipca 2025 roku, w obszarze cyfrowym funkcjonuje aż 101 różnych aktów prawnych UE, w tym unijny akt w sprawie sztucznej inteligencji (EU AI Act) i RODO. Autorzy zauważają, że nastąpiła „absolutna eksplozja” unijnych przepisów cyfrowych i że „nawet najlepsi eksperci mają trudności z nadążaniem za tym zalewem instrumentów prawnych i politycznych”. W odpowiedzi na tę złożoność Komisja Europejska przygotowała pakiet cyfrowy Omnibus, który ma uprościć i usprawnić unijne ramy regulacyjne w obszarze cyfrowym.
Czym jest pakiet Omnibus i jaki ma cel?
Pakiet cyfrowy Omnibus to długo oczekiwana propozycja Komisji Europejskiej mająca na celu reformę unijnych ram prawnych dotyczących sfery cyfrowej, która miała została ogłoszona i opublikowana w środę 19 listopada 2025. Publikacja ta nastąpiła po konsultacjach publicznych przeprowadzonych wcześniej w tym roku.
Propozycja zawiera istotne zmiany w niektórych przepisach UE dotyczących cyberbezpieczeństwa, a być może nawet uchylenie określonych instrumentów prawnych. Oczekuje się, że pakiet cyfrowy Omnibus skupi się na unijnym akcie w sprawie sztucznej inteligencji (EU AI Act), RODO, dyrektywie ePrivacy, akcie w sprawie danych (Data Act) oraz dyrektywie NIS2, obejmując horyzontalnie kluczowe obszary zarządzania cyfrowego: sztuczną inteligencję, ochronę danych i prywatność oraz cyberbezpieczeństwo.
Cele pakietu Omnibus
Celem pakietu cyfrowego Omnibus jest uproszczenie i usprawnienie unijnych ram prawnych dotyczących sfery cyfrowej, złagodzenie obciążeń związanych z zapewnieniem zgodności i obniżenie kosztów dla organizacji (szczególnie startupów i MŚP), promowanie wzrostu i konkurencyjności europejskich firm oraz pobudzenie innowacji.
Przedsiębiorstwa wymagają dużych zespołów ludzi, aby zrozumieć te regulacje i określić, jak zapewnić zgodność, nie tylko dlatego, że zdobycie głębokiej wiedzy specjalistycznej w zaledwie jednym obszarze legislacyjnym zajmuje lata. Raport Draghiego wskazuje, że 55% MŚP wymienia „przeszkody regulacyjne i obciążenia administracyjne” jako swoje największe wyzwanie, argumentując, że te „obciążenia regulacyjne” są szczególnie szkodliwe dla tych przedsiębiorstw, które działają w sektorze cyfrowym.
Kontekst powstania pakietu
Chociaż sytuacja ta ewoluowała przez kilka lat, publikacja we wrześniu 2024 roku „raportu Draghiego” na temat przyszłości europejskiej konkurencyjności była ważnym kamieniem milowym w tej historii. Raport przedstawia wyzwania gospodarcze UE, koncentrując się na zmniejszonej konkurencyjności, słabnącej produktywności i spowolnieniu wzrostu.
Raport Draghiego argumentuje, że złożone środowisko regulacyjne UE w obszarze cyfrowym hamuje innowacje i wzrost. Podnosi on „zmniejszenie obciążeń regulacyjnych” do rangi podstawowego priorytetu dla transformacji perspektyw gospodarczych UE.
W ostatnich miesiącach dyskusja dotycząca uproszczenia unijnego zbioru przepisów cyfrowych nasiliła się, zarówno w UE, jak i na zewnątrz. Powszechnie donosi się, że urzędnicy UE i państwa członkowskie spotkały się z intensywnym lobbingiem ze strony amerykańskiego przemysłu i administracji Trumpa.
Kiedy pakiet Omnibus wejdzie w życie?
Do momentu pisania artykułu źródłowego nic oficjalnego nie zostało opublikowane, a pakiet cyfrowy Omnibus, który miał zostać opublikowany, reprezentuje jedynie wstępną propozycję Komisji Europejskiej w tej kontrowersyjnej kwestii.
Negocjacje trójstronne oraz proces zmiany i uchylania pakietu przepisów UE w ten sposób będą z pewnością długie, złożone i pełne dramaturgii. Aby zmienić istniejące przepisy UE za pomocą nowego rozporządzenia, należy zastosować „zwykłą procedurę prawodawczą” UE, która wymaga podwójnej zgody zarówno Parlamentu Europejskiego, jak i Rady, po negocjacjach trójstronnych, podczas których obie instytucje mają kilka możliwości zmiany i aktualizacji propozycji legislacyjnej. Średnio UE potrzebuje 19 miesięcy na uzgodnienie nowych przepisów, od wstępnej propozycji Komisji do formalnego przyjęcia.
Niemożliwe jest przewidzenie, z czego będzie składał się ostateczny tekst legislacyjny i ile czasu zajmie proces negocjacji i zatwierdzenia. Biorąc pod uwagę średni czas trwania procedury legislacyjnej (19 miesięcy od propozycji), można szacować, że ostateczne wejście w życie pakietu Omnibus może nastąpić najwcześniej w 2027 roku, choć termin ten może ulec wydłużeniu ze względu na złożoność i kontrowersyjność proponowanych zmian.
Czy NIS2 i RODO będą regulowane przez pakiet Omnibus i co się zmieni?
Tak, zarówno dyrektywa NIS2, jak i RODO są objęte zakresem pakietu cyfrowego Omnibus.
Zakres regulacji
Pakiet cyfrowy Omnibus ma skupić się na unijnym akcie w sprawie sztucznej inteligencji (EU AI Act), RODO, dyrektywie ePrivacy, akcie w sprawie danych (Data Act) oraz dyrektywie NIS2 – horyzontalnie obejmując kluczowe obszary zarządzania cyfrowego: sztuczną inteligencję, ochronę danych i prywatność oraz cyberbezpieczeństwo.
Jest to szczególnie istotne, ponieważ dla specjalistów ds. zarządzania cyberbezpieczeństwem ta złożoność regulacyjna jest szczególnie dotkliwa, ponieważ systemy AI często jednocześnie uruchamiają wiele wymogów regulacyjnych – od zasad RODO dotyczących zautomatyzowanego podejmowania decyzji i wykorzystywania wrażliwych danych osobowych, przez wymogi aktu w sprawie AI dotyczące systemów AI wysokiego ryzyka i wymagających przejrzystości, po mandaty cyberbezpieczeństwa, prawa autorskie i własność intelektualną oraz istniejące przepisy sektorowe.
Charakter zmian
Propozycja zawiera istotne zmiany w niektórych flagowych przepisach UE, a być może nawet uchylenie określonych instrumentów prawnych. Chociaż szczegółowe informacje o konkretnych zmianach w NIS2 i RODO nie zostały jeszcze oficjalnie opublikowane, celem pakietu jest uproszczenie i usprawnienie unijnych ram prawnych dotyczących sfery cyfrowej, złagodzenie obciążeń związanych z zapewnieniem zgodności i obniżenie kosztów dla organizacji.
Należy pamiętać, że nie mamy jeszcze oficjalnej propozycji od Komisji Europejskiej, a jedynie przecieki i spekulacje medialne, a gdy już ją otrzymamy, będzie ona przedmiotem długich i trudnych negocjacji, których wynik jest niemożliwy do przewidzenia. Można jednak przewidzieć, że będzie istniała znaczna różnica między wstępną propozycją legislacyjną Komisji Europejskiej a ostatecznym tekstem, który będzie głosowany.
W jakim zakresie nastąpi uproszczenie NIS2 i RODO?
Chociaż konkretne szczegóły dotyczące uproszczeń w NIS2 i RODO nie zostały jeszcze oficjalnie ujawnione, możemy wnioskować o prawdopodobnym kierunku zmian na podstawie ogólnych celów pakietu Omnibus oraz zmian planowanych dla innych przepisów cyfrowych.
Ogólne kierunki uproszczeń
Pakiet cyfrowy Omnibus ma na celu uproszczenie i usprawnienie unijnych ram prawnych dotyczących sfery cyfrowej, złagodzenie obciążeń związanych z zapewnieniem zgodności i obniżenie kosztów dla organizacji (szczególnie startupów i MŚP), promowanie wzrostu i konkurencyjności europejskich firm oraz pobudzenie innowacji.
Przykłady uproszczeń z EU AI Act jako wskazówka
Chociaż dotyczą one EU AI Act, mogą wskazywać na podobne podejście do NIS2 i RODO.
Rozważane zmiany obejmują opóźnienie daty stosowania obowiązków dla dostawców i wdrażających systemy AI wymagające przejrzystości oraz systemów AI wysokiego ryzyka. Te obowiązki mają zastosowanie od 2 sierpnia 2026 roku, ale egzekwowanie to może zostać opóźnione o jeden rok, częściowo ze względu na opóźnienia w finalizacji standardów technicznych, które organizacje mogą wykorzystać do zapewnienia zgodności z tymi przepisami.
Wprowadzenie mniejszych i bardziej proporcjonalnych kar za niezgodność dla „małych średnich przedsiębiorstw” (definiowanych jako firmy zatrudniające do 750 osób i mające roczny obrót poniżej 150 milionów euro). Uzupełniłoby to i rozszerzyło zakres istniejącej proporcjonalności kar za niezgodność dla MŚP.
Centralizacja uprawnień egzekucyjnych w Biurze AI Komisji Europejskiej. Można to osiągnąć poprzez wyznaczenie Biura AI jako organu regulacyjnego odpowiedzialnego za nadzór nad systemami AI opartymi na modelach GPAI, co jest częściowo spowodowane obawami dotyczącymi gotowości i zdolności organów regulacyjnych państw członkowskich UE (z których niektóre nie zostały jeszcze wyznaczone), a także złożonością, z jaką firmy mogą się spotkać, angażując się z wieloma różnymi organami regulacyjnymi.
Potencjalne obszary uproszczeń dla NIS2 i RODO
Biorąc pod uwagę ogólne cele pakietu Omnibus, można spodziewać się uproszczeń w następujących obszarach.
Dla NIS2:
- Uproszczenie wymogów sprawozdawczych dotyczących incydentów cyberbezpieczeństwa
- Harmonizacja egzekwowania przepisów między państwami członkowskimi
- Zmniejszenie obciążeń administracyjnych dla MŚP
- Możliwe opóźnienia w terminach wdrożenia niektórych wymogów
- Centralizacja nadzoru lub koordynacji na poziomie UE.
Dla RODO:
- Uproszczenie wymogów dokumentacyjnych
- Zmniejszenie obciążeń związanych z oceną skutków dla ochrony danych (DPIA)
- Proporcjonalne kary dla mniejszych przedsiębiorstw
- Usprawnienie procedur współpracy między organami nadzorczymi.
Wyzwania i niepewności
Raport Draghiego krytykuje „podejście ostrożnościowe” przyjęte przez unijne przepisy cyfrowe, w tym unijny akt w sprawie AI. Podkreśla również rosnące trudności, z jakimi borykają się firmy w poruszaniu się po różnych nakładających się przepisach dotyczących AI oraz setkach organów regulacyjnych w całej UE odpowiedzialnych za zarządzanie cyfrowe.
Nie ma gwarancji, że jakiekolwiek zmiany legislacyjne zostaną zatwierdzone – chociaż wydaje się to mało prawdopodobne, biorąc pod uwagę różne punkty wymienione powyżej.
Co się nie zmieni w NIS2 czy DORA w związku z pakietem Omnibus?
Należy podkreślić, że główne filary NIS2 i DORA: zarządzanie ryzykiem, zgłaszanie poważnych incydentów, dostawcy, wymiana informacji, nie mogą być zmienione poprzez pakiet Omnibus są kluczowe dla cyberbezpieczeństwa UE i odpowiadają jej celom strategicznym. Wynika to z kilku kluczowych argumentów.
Strategiczne znaczenie cyberbezpieczeństwa
W obliczu rosnących zagrożeń cybernetycznych, w tym ataków sponsorowanych przez państwa i rosnącej liczby incydentów ransomware, główne filary NIS2 i DORA, takie jak wymogi dotyczące zarządzania ryzykiem cyberbezpieczeństwa, obowiązki sprawozdawcze dotyczące incydentów oraz wymogi dotyczące łańcucha dostaw, stanowią fundamentalne elementy europejskiej strategii cyberbezpieczeństwa. Ich osłabienie mogłoby narazić infrastrukturę krytyczną UE na poważne zagrożenia.
Międzynarodowe zobowiązania i harmonizacja
NIS2 jest częścią szerszej strategii UE w zakresie cyberbezpieczeństwa i harmonizuje podejście do tego zagadnienia w całej Unii. Zmiana głównych filarów mogłaby zakłócić współpracę międzynarodową w zakresie cyberbezpieczeństwa oraz osłabić pozycję UE jako globalnego lidera w ustanawianiu standardów w tym obszarze.
Cel pakietu Omnibus
Pakiet Omnibus ma na celu uproszczenie i zmniejszenie obciążeń administracyjnych, a nie fundamentalną zmianę celów politycznych i strategicznych kluczowych regulacji. Ewentualne zmiany w NIS2 i DORA będą prawdopodobnie dotyczyć aspektów proceduralnych, wymogów sprawozdawczych czy harmonizacji egzekwowania przepisów, a nie podstawowych obowiązków w zakresie cyberbezpieczeństwa.
Systemowe zarządzanie ryzykiem w kontekście pakietu Omnibus
W obliczu rosnącej złożoności regulacyjnej i nakładających się wymogów NIS2, RODO oraz innych przepisów cyfrowych UE, organizacje muszą przyjąć holistyczne podejście do zarządzania ryzykiem. Pakiet Omnibus, choć ma na celu uproszczenie ram prawnych, jednocześnie podkreśla potrzebę zintegrowanego podejścia do compliance i zarządzania ryzykiem w obszarze cyfrowym.
Konwergencja wymogów regulacyjnych
Współczesne organizacje stają przed wyzwaniem zarządzania wieloma nakładającymi się wymogami regulacyjnymi. Systemy AI jednocześnie uruchamiają wymogi RODO dotyczące zautomatyzowanego podejmowania decyzji, wymogi EU AI Act dotyczące systemów wysokiego ryzyka, mandaty cyberbezpieczeństwa wynikające z NIS2, a także przepisy sektorowe. Ta konwergencja wymaga systemowego zarządzania ryzykiem w organizacjach, które pozwoli na:
Identyfikację wspólnych obszarów ryzyka – zamiast traktować każdą regulację osobno, organizacje powinny mapować wspólne wymogi i obszary nakładania się przepisów, co pozwoli na efektywniejsze zarządzanie zgodnością.
Integrację procesów zarządzania ryzykiem – wdrożenie zunifikowanego systemu zarządzania ryzykiem, który obejmuje cyberbezpieczeństwo (NIS2), ochronę danych (RODO), zarządzanie AI (EU AI Act) oraz inne obszary regulacyjne w ramach jednego spójnego frameworka.
Optymalizację zasobów – poprzez systemowe podejście organizacje mogą uniknąć duplikacji wysiłków i efektywniej wykorzystać zespoły compliance, prawne i IT.
Wnioski końcowe
Jeśli pakiet osiągnie swoje cele – uproszczenie ram prawnych, złagodzenie obciążeń związanych z zapewnieniem zgodności, obniżenie kosztów dla organizacji i pobudzenie innowacji, może to znacząco wpłynąć na sposób, w jaki europejskie przedsiębiorstwa podchodzą do cyberbezpieczeństwa i ochrony danych w nadchodzących latach. Należy jednak pamiętać, że uproszczenia te będą miały charakter techniczny i proceduralny, a nie merytoryczny. Główne cele i wymogi NIS2 oraz RODO pozostaną nienaruszone.
Organizacje powinny uważnie śledzić rozwój sytuacji i przygotować się na potencjalne zmiany, pamiętając jednocześnie, że proces legislacyjny może potrwać nawet do 2027 roku lub dłużej, a podstawowe obowiązki wynikające z NIS2 i RODO pozostaną w mocy niezależnie od ostatecznego kształtu pakietu Omnibus.
Będziemy uważnie śledzić rozwój sytuacji i informować potencjalne zmiany. Nowe artykuły m.in. na ten temat będą trafiały prosto do Twojej skrzynki, więc skorzystaj z zapisu do newslettera.
