Cyberbezpieczeństwo - europejskie dyrektywy, rozporządzenia, regulacje UE
Baza wiedzy
Bezpieczeństwo w cyberprzestrzeni: Europejskie dyrektywy i rozporządzenia
Bezpieczeństwo organizacji

Bezpieczeństwo w cyberprzestrzeni: Europejskie dyrektywy i rozporządzenia

Poznaj kluczowe europejskie regulacje w zakresie cyberbezpieczeństwa: NIS 2, CER, Cyber Resilience Act, ustawa o AI i DSA. Dowiedz się, jak zmienią się obowiązki Twojej organizacji.

www.sisoft.pl/baza-wiedzy/europejskie-regulacje-cyberbezpieczenstwo
Łukasz Kokoszka
30.4.2024
5
min czytania

Spis treści

    Jakie unijne regulacje zmieniają zasady cyberbezpieczeństwa w Europie?

    W 2024 r. zarówno Polskę, jak i Unię Europejską czekają dynamiczne zmiany legislacyjne w obszarze nowych technologii, mające na celu zapewnienie odpowiedniej regulacji wyzwań związanych z cyfryzacją i innowacjami. Nowe regulacje odnoszą się do takich kwestii jak cyberbezpieczeństwo, odpowiedzialność za sztuczną inteligencję czy transparentność w reklamie politycznej, podnosząc tym samym standardy ochrony danych i praw użytkowników.

    Wprowadzenie

    Cyberbezpieczeństwo jest niezwykle istotną kwestią w globalnym wymiarze, zarówno dla osób prywatnych, jak i przedsiębiorstw oraz rządów. Wraz ze wzrostem cyberzagrożeń i wrażliwości systemów cyfrowych, organy regulacyjne konsekwentnie dążą do zapewnienia wysokiego poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Przygotowaliśmy kompleksowy przegląd najnowszych dyrektyw i rozporządzeń kształtujących krajobraz cyberbezpieczeństwa:

    Jakie zmiany zachodzą w cyberbezpieczeństwie?

    1. Dyrektywa NIS 2

    Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555, powszechnie znana jako NIS 2, kładzie nacisk na środki mające na celu osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii. Opublikowany w Dzienniku Urzędowym Unii Europejskiej w dniu 27 grudnia 2022 r., NIS 2 wszedł w życie w dniu 16 stycznia 2023 r. Jego wdrożenie do prawa krajowego spodziewane jest do 17 października 2024 roku. NIS 2 znacząco rozszerza zakres sektorów objętych dyrektywą i wprowadza nowe obowiązki dla kluczowych podmiotów, zarówno publicznych, jak i prywatnych.

    Kluczowe postanowienia NIS 2:
    • Zastępuje poprzednią klasyfikację rozróżnieniem na podmioty "kluczowe" i "ważne".
    • Wprowadza obowiązki takie jak zarządzanie ryzykiem i zgłaszanie poważnych incydentów.
    • Ustanawia mechanizmy nadzoru i egzekwowania przepisów, w tym nakładanie znacznych kar przez organy regulacyjne.

    2. Dyrektywa CER

    Dyrektywa (UE) 2022/2557, znana również jako CER, koncentruje się na odporności podmiotów krytycznych. Podobnie jak NIS 2, weszła w życie 16 stycznia 2023 r., a jej transpozycja do prawa krajowego ma nastąpić do 17 października 2024 r. CER uzupełnia NIS 2 poprzez ustanowienie krajowych ram odporności podmiotów krytycznych.

    Kluczowe postanowienia CER:
    • Ustanawia krajowe ramy odporności, w tym mechanizmy oceny i identyfikacji ryzyka.
    • Wyznacza podmioty krytyczne i wprowadza specjalną kategorię podmiotów o znaczeniu europejskim.
    • Nakazuje wdrożenie środków technicznych, bezpieczeństwa i organizacyjnych na rzecz odporności.

    3. Ustawa o odporności cybernetycznej

    Cyber Resilience Act, proponowane rozporządzenie Komisji Europejskiej, ma na celu ustanowienie obowiązkowych wymogów cyberbezpieczeństwa dla produktów z elementami cyfrowymi. Chociaż ustawa jest obecnie w trakcie procesu legislacyjnego, jej uchwalenie spodziewane jest w pierwszej połowie 2024 roku. Będzie ona miała zastosowanie do producentów i dystrybutorów produktów z elementami cyfrowymi, zapewniając podstawowy poziom bezpieczeństwa w celu ochrony przedsiębiorstw i konsumentów przed cyberzagrożeniami.

    Kluczowe postanowienia ustawy o cyberodporności:
    • Nakłada obowiązkowe wymogi cyberbezpieczeństwa na produkty z elementami cyfrowymi.
    • Zapewnia bezpieczeństwo produktów w całym ich cyklu życia, w tym procedury obsługi luk w zabezpieczeniach.
    • Wprowadza sankcje za nieprzestrzeganie przepisów, w tym wysokie grzywny.

    Dowiedz się wiecej o bezpieczeństwie w Twojej organizacji

    Umów się na bezpłatną konsultacje. Nasi konsultanci skontaktują się z Tobą, aby uzgodnić odpowiedni czas na spotkanie.

    Bezpłatna konsultacja

    Sztuczna Inteligencja, a cyberbezpieczeństwo

    1. Ustawa o sztucznej inteligencji

    Proponowane rozporządzenie ma na celu harmonizację przepisów dotyczących sztucznej inteligencji (AI) w Unii Europejskiej. Chociaż ustawa jest w trakcie przeglądu, jej przyjęcie planowane jest na pierwszy kwartał 2024 roku. Będzie ona miała zastosowanie do dostawców i użytkowników sztucznej inteligencji w UE, ustanawiając zasady ograniczania ryzyka związanego z systemami sztucznej inteligencji.

    Kluczowe postanowienia ustawy o sztucznej inteligencji:
    • Ustanawia zharmonizowane zasady wprowadzania i korzystania z systemów sztucznej inteligencji.
    • Koncentruje się na podejściach opartych na ryzyku, z bardziej rygorystycznymi wymogami dla systemów wysokiego ryzyka.
    • Zakazuje niektórych praktyk AI uznanych za szkodliwe lub nielegalne.

    2. Dyrektywa w sprawie odpowiedzialności za AI

    Dyrektywa dotyczy roszczeń z tytułu odpowiedzialności cywilnej wynikających z systemów AI. Chociaż obecnie przechodzi ona procedury legislacyjne, jej przyjęcie w obecnej kadencji parlamentu jest niepewne.

    Kluczowe postanowienia dyrektywy w sprawie odpowiedzialności za sztuczną inteligencję:

    • Dotyczy pozaumownych roszczeń cywilnych za szkody spowodowane przez systemy AI.
    • Ustanawia zasady ujawniania dowodów i ciężaru dowodu w takich roszczeniach.

    Bezpieczeństwo w Internecie

    1. Ustawa o usługach cyfrowych (DSA)

    Ustawa DSA reguluje działalność pośredników cyfrowych, mając na celu stworzenie bezpieczniejszego środowiska internetowego i wyjaśnienie obowiązków związanych z nielegalnymi treściami. Chociaż ustawa weszła w życie w odniesieniu do większości pośredników 17 lutego 2024 r., duże platformy internetowe podlegają jej przepisom od 25 sierpnia 2023 r.

    Kluczowe postanowienia DSA:
    • Ustanawia nowe zasady odpowiedzialności pośredników i moderowania treści.
    • Zwiększa ochronę konsumentów w transakcjach handlu elektronicznego.
    • Zwiększa przejrzystość reklam internetowych.

    2. Rozporządzenie w sprawie przejrzystości i ukierunkowania reklam politycznych

    Rozporządzenie to ma na celu zwiększenie przejrzystości i odpowiedzialności w reklamie politycznej. Choć nadal znajduje się w procesie legislacyjnym, oczekuje się, że wejdzie w życie w ciągu 18 miesięcy od jego uchwalenia.

    Kluczowe postanowienia rozporządzenia w sprawie reklamy politycznej:

    • Wymaga przejrzystości reklam politycznych i zgłaszania nielegalnych reklam.
    • Zakaz kierowania reklam politycznych w oparciu o wrażliwe dane osobowe bez zgody.

    Bezpieczna komunikacja elektroniczna

    1. Kodeks Łączności Elektronicznej (ECC)

    Polska jest w trakcie wdrażania Europejskiego Kodeksu Łączności Elektronicznej (EKŁE) do prawa krajowego. Pomimo przekroczenia pierwotnego terminu, w pierwszym kwartale 2024 r. spodziewany jest nowy projekt, który zastąpi obowiązujące Prawo telekomunikacyjne.

    Kluczowe postanowienia ECC:
    • Rozszerza zakres podmiotów regulowanych o firmy nietelekomunikacyjne.
    • Dotyczy dostawców usług Over-the-Top (OTT), takich jak poczta elektroniczna i platformy do przesyłania wiadomości.

    2. Rozporządzenie w sprawie transgranicznego dostępu do dowodów elektronicznych

    Rozporządzenie to ułatwia transgraniczny dostęp do dowodów elektronicznych na potrzeby organów ścigania. Choć negocjacje w tej sprawie są w toku, jego przyjęcie przewiduje się do końca 2024 roku.

    Kluczowe przepisy rozporządzenia w sprawie transgranicznego dostępu:
    • Usprawnia procedury wnioskowania i uzyskiwania dowodów elektronicznych w państwach członkowskich UE.
    • Ustanawia zabezpieczenia praw podstawowych i ochrony danych.

    Podsumowanie

    Europejskie ramy cyberbezpieczeństwa szybko się zmieniają, napędzane przez nowe dyrektywy i regulacje mające na celu zwiększenie odporności, odpowiedzialności i przejrzystości w sferze cyfrowej. Wdrażając solidne środki cyberbezpieczeństwa i wspierając innowacje, Unia Europejska dąży do stworzenia bezpieczniejszego środowiska online dla swoich obywateli i przedsiębiorstw. Nie wiesz jakie regulacje dotyczą Twojej organizacji? Umów się na bezpłatną konsultację!

    Najczęściej zadawane pytania

    Czym jest dyrektywa NIS 2?

    NIS 2 to europejska dyrektywa mająca na celu podniesienie poziomu cyberbezpieczeństwa w krajach UE. Nakłada obowiązki na kluczowe i ważne podmioty dotyczące zarządzania ryzykiem i zgłaszania incydentów.

    Co reguluje dyrektywa CER?

    CER skupia się na odporności podmiotów krytycznych w państwach członkowskich UE, wymagając m.in. oceny ryzyka i wdrażania środków bezpieczeństwa.

    Na czym polega Cyber Resilience Act?

    Cyber Resilience Act wprowadza obowiązkowe wymogi cyberbezpieczeństwa dla produktów z elementami cyfrowymi, mające chronić przed lukami w zabezpieczeniach.

    Jakie są założenia ustawy o sztucznej inteligencji?

    Ustawa o AI reguluje stosowanie systemów sztucznej inteligencji, wprowadzając zasady oparte na ryzyku i zakazując niektórych zastosowań uznanych za nieetyczne.

    Czym jest ustawa o usługach cyfrowych (DSA)?

    DSA ustanawia nowe zasady odpowiedzialności pośredników cyfrowych, zwiększając ochronę użytkowników i przejrzystość treści w Internecie.

    Jakie zmiany wprowadza Europejski Kodeks Łączności Elektronicznej?

    Kodeks rozszerza zakres regulacji na usługi OTT, takie jak komunikatory czy e-mail, i ma zastąpić dotychczasowe przepisy telekomunikacyjne w Polsce.

    Bądźmy w kontakcie

    Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.

    +48 12 44 66 844
    kontakt@sisoft.pl
    Odpowiemy szybciej niż się spodziewasz.
    Formularz został wysłany, wkrótce się odezwiemy :)
    Upss! Coś poszło nie tak, sprawdź wszystkie pola i spróbuj ponownie.

    Co jeszcze warto wiedzieć na temat cyberbezpieczeństwa?

    Normy cyberbezpieczeństwa

    NIS2 w motoryzacji - TISAX vs NIS2: podobieństwa, różnice i przygotowanie dostawców

    Wyjaśniamy, co oznacza NIS2 dla producentów i dostawców automotive w Polsce. TISAX vs NIS2 – obowiązki, kary, zarządzanie łańcuchem dostaw i praktyczna checklista wdrożenia.
    Grzegorz Surdyka
    8/14/2025
    5
    min czytania
    Normy cyberbezpieczeństwa

    Cyber Resilience Act: jak wdrożyć secure-by-design przed 2026

    Cyber Resilience Act – nowe unijne zasady secure‑by‑design dla produktów cyfrowych. Co muszą wiedzieć zarządy przed 2026 rokiem, jak przygotować firmę i uniknąć kar.
    Grzegorz Surdyka
    7/28/2025
    5
    min czytania
    Bezpieczeństwo organizacji

    Cyberodporność - kluczowa waluta biznesu w 2025 roku

    Cyberbezpieczeństwo w 2025 to wyzwanie dla całej organizacji. Sprawdź, jak wdrożyć ISO 27001 i przygotować się na atak zgodnie z NIS2 i DORA.
    Grzegorz Surdyka
    7/21/2025
    5
    min czytania
    Zobacz więcej