Baza wiedzy
Bezpieczeństwo w cyberprzestrzeni: Europejskie dyrektywy i rozporządzenia
regulacje-ue
Bezpieczeństwo organizacji

Bezpieczeństwo w cyberprzestrzeni: Europejskie dyrektywy i rozporządzenia

W 2024 r. zarówno Polskę, jak i Unię Europejską czekają dynamiczne zmiany legislacyjne w obszarze nowych technologii, mające na celu zapewnienie odpowiedniej regulacji wyzwań związanych z cyfryzacją i innowacjami. Nowe regulacje odnoszą się do takich kwestii jak cyberbezpieczeństwo, odpowiedzialność za sztuczną inteligencję czy transparentność w reklamie politycznej, podnosząc tym samym standardy ochrony danych i praw użytkowników.

www.sisoft.pl/baza-wiedzy/bezpieczenstwo-w-cyberprzestrzeni-europejskie-dyrektywy-i-rozporzadzenia
Łukasz Kokoszka
4/30/2024
5
min czytania

Wprowadzenie

Cyberbezpieczeństwo jest niezwykle istotną kwestią w globalnym wymiarze, zarówno dla osób prywatnych, jak i przedsiębiorstw oraz rządów. Wraz ze wzrostem cyberzagrożeń i wrażliwości systemów cyfrowych, organy regulacyjne konsekwentnie dążą do zapewnienia wysokiego poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Przygotowaliśmy kompleksowy przegląd najnowszych dyrektyw i rozporządzeń kształtujących krajobraz cyberbezpieczeństwa:

Jakie zmiany zachodzą w cyberbezpieczeństwie?

1. Dyrektywa NIS 2

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555, powszechnie znana jako NIS 2, kładzie nacisk na środki mające na celu osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii. Opublikowany w Dzienniku Urzędowym Unii Europejskiej w dniu 27 grudnia 2022 r., NIS 2 wszedł w życie w dniu 16 stycznia 2023 r. Jego wdrożenie do prawa krajowego spodziewane jest do 17 października 2024 roku. NIS 2 znacząco rozszerza zakres sektorów objętych dyrektywą i wprowadza nowe obowiązki dla kluczowych podmiotów, zarówno publicznych, jak i prywatnych.

Kluczowe postanowienia NIS 2:
  • Zastępuje poprzednią klasyfikację rozróżnieniem na podmioty "kluczowe" i "ważne".
  • Wprowadza obowiązki takie jak zarządzanie ryzykiem i zgłaszanie poważnych incydentów.
  • Ustanawia mechanizmy nadzoru i egzekwowania przepisów, w tym nakładanie znacznych kar przez organy regulacyjne.

2. Dyrektywa CER

Dyrektywa (UE) 2022/2557, znana również jako CER, koncentruje się na odporności podmiotów krytycznych. Podobnie jak NIS 2, weszła w życie 16 stycznia 2023 r., a jej transpozycja do prawa krajowego ma nastąpić do 17 października 2024 r. CER uzupełnia NIS 2 poprzez ustanowienie krajowych ram odporności podmiotów krytycznych.

Kluczowe postanowienia CER:
  • Ustanawia krajowe ramy odporności, w tym mechanizmy oceny i identyfikacji ryzyka.
  • Wyznacza podmioty krytyczne i wprowadza specjalną kategorię podmiotów o znaczeniu europejskim.
  • Nakazuje wdrożenie środków technicznych, bezpieczeństwa i organizacyjnych na rzecz odporności.
3. Ustawa o odporności cybernetycznej

Cyber Resilience Act, proponowane rozporządzenie Komisji Europejskiej, ma na celu ustanowienie obowiązkowych wymogów cyberbezpieczeństwa dla produktów z elementami cyfrowymi. Chociaż ustawa jest obecnie w trakcie procesu legislacyjnego, jej uchwalenie spodziewane jest w pierwszej połowie 2024 roku. Będzie ona miała zastosowanie do producentów i dystrybutorów produktów z elementami cyfrowymi, zapewniając podstawowy poziom bezpieczeństwa w celu ochrony przedsiębiorstw i konsumentów przed cyberzagrożeniami.

Kluczowe postanowienia ustawy o cyberodporności:
  • Nakłada obowiązkowe wymogi cyberbezpieczeństwa na produkty z elementami cyfrowymi.
  • Zapewnia bezpieczeństwo produktów w całym ich cyklu życia, w tym procedury obsługi luk w zabezpieczeniach.
  • Wprowadza sankcje za nieprzestrzeganie przepisów, w tym wysokie grzywny.

Dowiedz się wiecej o bezpieczeństwie w Twojej organizacji

Umów się na bezpłatną konsultacje. Nasi konsultanci skontaktują się z Tobą, aby uzgodnić odpowiedni czas na spotkanie.

Bezpłatna konsultacja

Sztuczna Inteligencja, a cyberbezpieczeństwo

1. Ustawa o sztucznej inteligencji

Proponowane rozporządzenie ma na celu harmonizację przepisów dotyczących sztucznej inteligencji (AI) w Unii Europejskiej. Chociaż ustawa jest w trakcie przeglądu, jej przyjęcie planowane jest na pierwszy kwartał 2024 roku. Będzie ona miała zastosowanie do dostawców i użytkowników sztucznej inteligencji w UE, ustanawiając zasady ograniczania ryzyka związanego z systemami sztucznej inteligencji.

Kluczowe postanowienia ustawy o sztucznej inteligencji:
  • Ustanawia zharmonizowane zasady wprowadzania i korzystania z systemów sztucznej inteligencji.
  • Koncentruje się na podejściach opartych na ryzyku, z bardziej rygorystycznymi wymogami dla systemów wysokiego ryzyka.
  • Zakazuje niektórych praktyk AI uznanych za szkodliwe lub nielegalne.
2. Dyrektywa w sprawie odpowiedzialności za AI

Dyrektywa dotyczy roszczeń z tytułu odpowiedzialności cywilnej wynikających z systemów AI. Chociaż obecnie przechodzi ona procedury legislacyjne, jej przyjęcie w obecnej kadencji parlamentu jest niepewne.

Kluczowe postanowienia dyrektywy w sprawie odpowiedzialności za sztuczną inteligencję:

  • Dotyczy pozaumownych roszczeń cywilnych za szkody spowodowane przez systemy AI.
  • Ustanawia zasady ujawniania dowodów i ciężaru dowodu w takich roszczeniach.

Bezpieczeństwo w Internecie

1. Ustawa o usługach cyfrowych (DSA)

Ustawa DSA reguluje działalność pośredników cyfrowych, mając na celu stworzenie bezpieczniejszego środowiska internetowego i wyjaśnienie obowiązków związanych z nielegalnymi treściami. Chociaż ustawa weszła w życie w odniesieniu do większości pośredników 17 lutego 2024 r., duże platformy internetowe podlegają jej przepisom od 25 sierpnia 2023 r.

Kluczowe postanowienia DSA:
  • Ustanawia nowe zasady odpowiedzialności pośredników i moderowania treści.
  • Zwiększa ochronę konsumentów w transakcjach handlu elektronicznego.
  • Zwiększa przejrzystość reklam internetowych.
2. Rozporządzenie w sprawie przejrzystości i ukierunkowania reklam politycznych

Rozporządzenie to ma na celu zwiększenie przejrzystości i odpowiedzialności w reklamie politycznej. Choć nadal znajduje się w procesie legislacyjnym, oczekuje się, że wejdzie w życie w ciągu 18 miesięcy od jego uchwalenia.

Kluczowe postanowienia rozporządzenia w sprawie reklamy politycznej:

  • Wymaga przejrzystości reklam politycznych i zgłaszania nielegalnych reklam.
  • Zakaz kierowania reklam politycznych w oparciu o wrażliwe dane osobowe bez zgody.

Bezpieczna komunikacja elektroniczna

1. Kodeks Łączności Elektronicznej (ECC)

Polska jest w trakcie wdrażania Europejskiego Kodeksu Łączności Elektronicznej (EKŁE) do prawa krajowego. Pomimo przekroczenia pierwotnego terminu, w pierwszym kwartale 2024 r. spodziewany jest nowy projekt, który zastąpi obowiązujące Prawo telekomunikacyjne.

Kluczowe postanowienia ECC:
  • Rozszerza zakres podmiotów regulowanych o firmy nietelekomunikacyjne.
  • Dotyczy dostawców usług Over-the-Top (OTT), takich jak poczta elektroniczna i platformy do przesyłania wiadomości.
2. Rozporządzenie w sprawie transgranicznego dostępu do dowodów elektronicznych

Rozporządzenie to ułatwia transgraniczny dostęp do dowodów elektronicznych na potrzeby organów ścigania. Choć negocjacje w tej sprawie są w toku, jego przyjęcie przewiduje się do końca 2024 roku.

Kluczowe przepisy rozporządzenia w sprawie transgranicznego dostępu:
  • Usprawnia procedury wnioskowania i uzyskiwania dowodów elektronicznych w państwach członkowskich UE.
  • Ustanawia zabezpieczenia praw podstawowych i ochrony danych.

Podsumowanie

Europejskie ramy cyberbezpieczeństwa szybko się zmieniają, napędzane przez nowe dyrektywy i regulacje mające na celu zwiększenie odporności, odpowiedzialności i przejrzystości w sferze cyfrowej. Wdrażając solidne środki cyberbezpieczeństwa i wspierając innowacje, Unia Europejska dąży do stworzenia bezpieczniejszego środowiska online dla swoich obywateli i przedsiębiorstw. Nie wiesz jakie regulacje dotyczą Twojej organizacji? Umów się na bezpłatną konsultację!

Bądźmy w kontakcie

Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.

+48 12 44 66 844
kontakt@sisoft.pl
Odpowiemy szybciej niż sięspodziewasz.
Formularz został wysłany, wkrótce się odezwiemy :)
Upss! Coś poszło nie tak, sprawdź wszystkie pola i spróbuj ponownie.

Co jeszcze warto wiedzieć na temat cyberbezpieczeństwa?

Bezpieczeństwo organizacji

Zwiększanie odporności na cyberataki: Istotna rola testów penetracyjnych w organizacji.

Utrzymanie bezpieczeństwa środowiska IT przy jednoczesnym zapewnieniu ciągłości operacyjnej jest wyzwaniem dla większości organizacji. Jednym ze sposobów oceny skuteczności istniejących rozwiązań jest przeprowadzanie testów penetracyjnych.
Grzegorz Surdyka
4/11/2024
5
min czytania
Bezpieczeństwo organizacji

Nadrzędne wyzwania związane z audytem cyberbezpieczeństwa

Wzrost cyberzagrożeń zmusza firmy do uznania cyberbezpieczeństwa za kwestię obejmującą całe przedsiębiorstwo i wymagającą strategicznej uwagi. Wraz z rozprzestrzenianiem się zaawansowanych metod ataków, inwestowanie w solidne mechanizmy kontroli stało się niezbędne do ochrony zasobów organizacyjnych.
Katarzyna Dąbrowska
3/22/2024
5
min czytania
Bezpieczeństwo organizacji

Wdrożenie Systemu Zarządzania Sztuczną Inteligencją (AIMS) – ISO 42001

W związku z dynamicznym rozwojem sztucznej inteligencji i związanymi z nią wyzwaniami, ISO i IEC opracowały normę ISO 42001. Jej celem jest integracja różnych działań w obszarze AI oraz spełnianie wymagań prawnych. Standard ten dostarcza ram AIMS, które umożliwiają organizacjom i społeczeństwu pełne wykorzystywanie potencjału sztucznej inteligencji, przy jednoczesnym zapewnieniu odpowiedzialnego rozwoju i użytkowania systemów AI.
Kamil Grocholewski
3/5/2024
5
min czytania
Zobacz więcej