Ta strona używa cookies do celów analitycznych.

24/07/2024

NIS2, DORA, CER…

Wzrastające zagrożenia cyberataków wymagają wypracowania i stosowania odpowiednich procedur, których celem jest zwiększenie ochrony danych, sieci oraz systemów komputerowych przed nieuprawnionym dostępem do nich. Ze względu na uchwalenie szeregu regulacji z zakresu cyberbezpieczeństwa i nowych technologii na poziomie unijnym, przedstawiamy najważniejsze z nich.

 

NIS2

  • NIS2 to dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148.
  • NIS2 ma na celu aktualizację regulacji wynikających z dyrektywy NIS uchwalonej w 2016 r. Dyrektywa NIS została wdrożona w Polsce za pomocą ustawy z dnia 5 lipca 20218 r. o Krajowym Systemie Cyberbezpieczeństwa.
  • termin na wdrożenie regulacji NIS2 w porządku krajowym upływa 17 października 2024 r.
  • w chwili obecnej trwają prace nad projektem nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, który ma wdrożyć regulacje dyrektywy NIS2  (https://mc.bip.gov.pl/projekty-aktow-prawnych-mc/902927_projekt-ustawy-o-zmianie-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-oraz-niektorych-innych-ustaw.html).

 

 CER

  • dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE.
  •  dyrektywa stanowi uzupełnienie przepisów NIS2, a jej celem jest stworzenie krajowych ram odporności oraz wdrożenie środków technicznych na rzecz odporności podmiotów krytycznych.
  • CER powinno zostać wdrożone do prawa krajowego do dnia 17 października 2024 r.
  • obecnie w Polsce trwają pracę nad projektem ustawy o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw, który ma wdrożyć dyrektywę CER (https://legislacja.gov.pl/projekt/12386961/katalog/13068998#13068998).

 

DORA

  • Digital Operational Resilience Act czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. U. UE. L. z 2022 r. Nr 333, str. 1 z późn. zm.).
  • rozporządzenie zostało uchwalone 16 stycznia 2023 r. i jest skierowane przede wszystkim do podmiotów działających na rynku finansowym (np. banki, dostawcy usług ICT).
  • DORA jest stosowana bezpośrednio we wszystkich państwach członkowskich,
  • do  17 stycznia 2025 r. trzeba dostosować się do wymogów rozporządzenia.

 

Akt o cyberbezpieczeństwie - Cybersecurity  Act

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (Dz. U. UE. L. z 2019 r. Nr 151, str. 15).
  • rozporządzenie dotyczy certyfikacji cyberbezpieczeństwa produktów i usług ICT w UE.
  • Akt o cyberbezpieczeństwie jest stosowany bezpośrednio we wszystkich państwach członkowskich.
  • obecnie trwają prace nad projektem ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa (https://pracodawcy.pl/wp-content/uploads/2024/05/PROJEKT-krajowy-system-certyfikacji-cyberbezpieczenstwa.pdf).

 

Europejski Kodeks Łączności Elektronicznej

  • dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej (Dz. U. UE. L. z 2018 r. Nr 321, str. 36 z późn. zm.) weszła w życie 20 grudnia 2018 r.
  • celem dyrektywy jest kompleksowe uregulowanie oraz aktualizacja działalności sektora komunikacyjnego, w tym usług OTT (komunikacja interpersonalna przy użyciu komunikatorów takich jak przykładowo Messenger).
  • termin na wdrożenie przepisów Europejskiego Kodeksu Łączności Elektronicznej do systemu prawa krajowego upłynął 21 grudnia 2020 r.
  • 12 lipca 2024 r. Sejm uchwalił ustawę Prawo komunikacji elektronicznej, która ma wdrożyć dyrektywę unijną, a także zastąpić obowiązującą ustawę z dnia 16 lipca 2004 r. Prawo telekomunikacyjne. Obecnie ustawa oczekuje na jej przyjęcie przez Senat (https://www.sejm.gov.pl/sejm10.nsf/agent.xsp?symbol=RPL&Id=RM-0610-13-24)

 

DSA

  • tzw. akt o usługach cyfrowych - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE
  • DSA skierowane jest do dostawców usług pośrednich (przykładowo: dostawy usług hostingu, sklepy e-commerce),
  • DSA jest stosowana bezpośrednio we wszystkich państwach członkowskich,
  • w celu dostosowania obowiązujących przepisów krajowych do DSA, obecnie trwają prace nad nowelizacją ustawy o świadczeniu usług drogą elektroniczną (https://legislacja.rcl.gov.pl/projekt/12383101/katalog/13045595#13045595).

 

AI ACT – akt w sprawie sztucznej inteligencji

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828.
  • AI ACT ma na celu ograniczenie ryzyka związanego ze stosowaniem sztucznej inteligencji oraz wprowadzenie zasad wykorzystywania sztucznej inteligencji w UE.
  • AI ACT wejdzie w życie już początkiem sierpnia 2024 r., natomiast stosowanie jego regulacji będzie odbywało się stopniowo – w pierwszej kolejności od 2 lutego 2025 r. zaczną obowiązywać przepisy ogólne oraz regulacje dotyczące zakazanych praktyk.
  • AI ACT jest stosowane bezpośrednio we wszystkich państwach członkowskich, jednakże Ministerstwo Cyfryzacji rozpoczęło konsultacje dotyczące projektu ustawy w zakresie sztucznej inteligencji.

 

Ważne przepisy unijne w fazie prac:

W Parlamencie Europejskim trwają również prace nad projektem tzw. Cyber Resilience Act (rozporządzenie o cyberodporności), które będzie wprowadzało wymogi w zakresie cyberbezpieczeństwa dla produktów posiadających elementy cyfrowe.

Ponadto spekuluje się, że w najbliższej przyszłości ma zostać uchwalone rozporządzenie ePrivacy.  Jest ono oczekiwane od lat, gdyż prace nad pierwszym projektem rozpoczęły się jeszcze w 2017 r. Rozporządzenie ma na celu zwiększenie ochrony danych osobowych w środowisku cyfrowym, a jego regulacja będzie obejmować kwestie plików cookie, marketingu bezpośredniego czy kontroli połączeń w celu eliminacji tzw. oszustw telefonicznych.

 

Kto jest obowiązany stosować przepisy unijnych regulacji z zakresu cyberbezpieczeństwa oraz które procedury należy wdrożyć ? - o tym w kolejnych naszych artykułach.

 

Jeżeli mają Państwo pytania dotyczące tematyki cyberbezpieczeństwa zapraszamy Państwa do kontaktu z naszą Kancelarią.