Unia Europejska kontynuuje wprowadzanie kluczowych zmian w obszarach cyberbezpieczeństwa, innowacji i zarządzania danymi. Nowe regulacje, wchodzące w życie w 2025 roku i kolejnych latach, wpłyną bezpośrednio na sposób działania firm oferujących zarówno usługi cyfrowe, jak i podmiotów z nich korzystających. Wśród tych aktów znajdują się m.in.: NIS2, DORA, CER, CRA, AI ACT, Data Act.

Wiele z tych regulacji ma za zadanie uporządkowanie i wypracowanie jednolitych standardów państw członkowskich UE w zakresie monitorowania, przeprowadzania ocen ryzyka oraz opracowywania planów jak reagować na incydenty. Problemem jest jednak pewna niespójność podejścia zaproponowanego przez UE. Niemal w jednym czasie wchodzą w życie bardzo podobne regulacje, które posługują się różnymi pojęciami. Czasem mamy do czynienia z wykluczającymi się i niezharmonizowanymi siatkami pojęciowymi, czego przykładem są regulacje DORA i NIS2, które niosą ze sobą istotne problemy:

  • DORA jest rozporządzeniem unijnym, a więc w każdym kraju musi być przestrzegana przez podmioty z sektora finansowego w taki sam sposób. Podczas gdy NIS2 jako dyrektywa wymaga transpozycji w każdym kraju członkowskim, co oznacza 27 różnych ustaw wdrażających. Już pierwsza weryfikacja czy to ustaw, czy ich projektów wskazuje na duże różnice w poszczególnych krajach (kolejne wersje projektów w danym kraju, np. w Polsce, również wskazują na brak jednolitego podejścia). Może być to szczególne wyzwanie dla międzynarodowych grup kapitałowych.
  • NIS2 obejmuje bardzo szerokie grono podmiotów, w tym np. podmioty świadczące usługi zarządzania ICT. Wiele z nich wykonuje usługi dla sektora finansowego, co powoduje, że podmioty z sektora finansowego są zobowiązane przełożyć określone wymagania DORA na swoich dostawców. W praktyce oznacza to, że wiele podmiotów z sektora ICT będzie objęte NIS2, jak i DORA (przynajmniej częściowo). Może to powodować pewne niespójności i brak terminowego dostosowania się do obowiązków wynikających z DORA. Już teraz można wskazać, że brak spójności występuje w kwestii zasad raportowania incydentów. Różnic jest jednak więcej.

Poniżej przedstawiamy kluczowe informacje na temat najważniejszych regulacji, które mogą wpłynąć na działalność wielu firm, nie tylko z sektora usług ICT. Warto jednak podkreślić, że planowana skala działań UE w zakresie szeroko pojętego sektora cyfrowego na najbliższe lata jest znacznie większa.

NIS2

Bezpieczeństwo sieciowe: surowsze wymogi w zakresie zgłaszania, monitorowania incydentów i ściślejsza współpraca międzynarodowa, czyli Dyrektywa NIS2 (Network and Information Systems Directive 2).

Dyrektywa NIS2 (Dyrektywa o bezpieczeństwie sieci i systemów informatycznych) to aktualizacja i bardzo istotne rozszerzenie wcześniejszej dyrektywy NIS, która została wprowadzona w celu poprawy cyberbezpieczeństwa na poziomie Unii Europejskiej. NIS2 ma na celu dalsze zwiększenie poziomu bezpieczeństwa sieciowego i informatycznego w państwach członkowskich oraz wzmocnienie odporności na cyberataki.

Obowiązywanie: weszła w życie w dniu 16 stycznia 2023 r., a jej transpozycja przez poszczególne kraje powinna nastąpić do dnia 17 października 2024 r. Obecnie w wielu krajach UE nie wdrożono jeszcze dyrektywy.

Kogo dotyczy: Podmioty uznawane za kluczowe i ważne w rozumieniu NIS2 – zarówno publiczne, jak i prywatne. Tak jak dotychczas, będą to operatorzy usług kluczowych i dostawcy usług cyfrowych, ale nie tylko. Ten status zostanie przyznany również nowym kategoriom podmiotów, które do tej pory nie podlegały przepisom ustawy o krajowym systemie cyberbezpieczeństwa.

Jak się przygotować?: każdy kraj będzie ustalał własne regulacje, dlatego kluczowe znaczenie mogą mieć rozporządzenia wykonawcze. Wstępnie wydaje się, że niezbędne może być wdrożenie ISO 27001, bądź systemu bezpieczeństwa informacji o charakterze równoważnym oraz planu ciągłości działania (np. w oparciu o ISO 22301). Na pewno konieczne będzie przygotowanie właściwego mechanizmu zgłaszania incydentów. Ważnym elementem może być również program testów (np. kluczowe z punktu widzenia DORA, w szczególności w aspekcie TLPT). Ponadto, jeśli organizacja jeszcze tego nie zrobiła, zasadnym będzie wyznaczenie w organizacji roli CISO.

Co wnosi NIS2?

  • Rozszerzenie zakresu podmiotów objętych regulacją. Oprócz dotychczasowych operatorów usług kluczowych i dostawców usług cyfrowych, regulacją zostaną objęte także nowe kategorie podmiotów. Wśród nich znajdą się np. administracja publiczna, produkcja, usługi cyfrowe, a przede wszystkim firmy zarządzające usługami ICT.
  • Zaostrzenie wymagań dotyczących zarządzania ryzykiem. Podmioty objęte dyrektywą muszą wdrożyć odpowiednie i proporcjonalne środki zarządzania ryzykiem w cyberprzestrzeni, aby minimalizować ryzyko cyberataku oraz jego potencjalne skutki.
  • Obowiązek zgłaszania incydentów. Wprowadza się surowsze wymogi dotyczące zgłaszania incydentów bezpieczeństwa, co obejmuje zarówno incydenty poważne, jak i te o mniejszym stopniu powagi. Zgłoszenia muszą być dokonywane w odpowiednio krótkim czasie po wykryciu incydentu.
  • Wzmocnienie współpracy międzynarodowej. Dyrektywa zobowiązuje państwa członkowskie do współpracy i wymiany informacji na temat zagrożeń oraz incydentów w celu poprawy ogólnej odporności cybernetycznej w UE.
  • Nadzór i egzekwowanie przepisów. Ustanawia się system nadzoru, który pozwala na lepszą kontrolę i egzekwowanie przestrzegania przepisów dyrektywy. Wprowadza się również możliwość nakładania sankcji na podmioty, które nie spełniają wymagań.
  • Rozwój krajowych strategii cyberbezpieczeństwa. Państwa członkowskie są zobowiązane do rozwijania własnych krajowych strategii i polityk w zakresie cyberbezpieczeństwa, które powinny być regularnie aktualizowane i dostosowywane do zmieniającego się krajobrazu zagrożeń.
  • Budowanie kompetencji i wiedzy. Dyrektywa promuje inwestycje w budowanie kompetencji i świadomości w zakresie cyberbezpieczeństwa, w tym poprzez szkolenia i kampanie edukacyjne skierowane zarówno do podmiotów publicznych, jak i prywatnych.
  • Wsparcie techniczne i finansowe. Unia Europejska może oferować pomoc techniczną i finansową, aby ułatwić państwom członkowskim i podmiotom prywatnym w osiąganiu zgodności z dyrektywą oraz wzmocnieniu ogólnego bezpieczeństwa cyfrowego.

DORA

Podniesienie bezpieczeństwa cyfrowego w sektorze finansowym, czyli Rozporządzenie DORA (Digital Operational Resilience Act).

Rozporządzenie DORA jest kluczowym elementem strategii Unii Europejskiej w dziedzinie cyfrowej odporności operacyjnej sektora finansowego. Jego głównym celem jest wzmocnienie zdolności sektora finansowego do przeciwdziałania zakłóceniom związanym z technologiami informacyjnymi i komunikacyjnymi, które mogą wpływać na stabilność finansową rynków.

Obowiązywanie: Rozporządzenie weszło w życie 16 stycznia 2023 r., a jego adresaci mieli czas do 17 stycznia 2025 r., aby przygotować się do nowej regulacji. DORA nie wymaga transpozycji do prawa danego kraju i obowiązuje bezpośrednio. Oznacza to, że w wielu krajach zaczęła obowiązywać wcześniej niż NIS2, gdyż NIS2 wymaga działań ustawodawczych po stronie państwa członkowskiego.

Kogo dotyczy: szeroki katalog podmiotów finansowych oraz dostawców usług ICT.

Zakres podmiotowy objętych regulacją DORA jest bardzo szeroki. To katalog 20 rodzajów regulowanych podmiotów sektora finansowego. W szczególności: banki, instytucje kredytowe, płatnicze, firmy ubezpieczeniowe i firmy inwestycyjne. Jedną z najważniejszych zmian, jaką niesie za sobą DORA, jest objęcie nadzorem finansowym także dostawców kluczowych usług ICT. W praktyce, oznacza to zatem, że podmioty z sektora finansowego będą przekładać wiele wymagań na dostawców usług ICT, mimo że DORA nie wiąże ich bezpośrednio, a przynajmniej nie wszystkich.

Co wnosi DORA?

  • Wzmocnienie odporności cyfrowej. DORA ma na celu zapewnienie, że wszystkie podmioty sektora finansowego, w tym banki, firmy ubezpieczeniowe i inne instytucje finansowe, jak również ich kluczowi dostawcy usług ICT, są odpowiednio przygotowane na cyberataki, awarie techniczne i inne zakłócenia cyfrowe.
  • Zarządzanie ryzykiem ICT. Rozporządzenie nakłada na podmioty finansowe obowiązek ustanowienia i utrzymania skutecznych i wszechstronnych ram zarządzania ryzykiem ICT, które obejmują ocenę, monitorowanie i łagodzenie ryzyka związanego z ich systemami informatycznymi i usługami cyfrowymi.
  • Testowanie odporności. Podmioty są zobowiązane do regularnego przeprowadzania testów odporności, w tym testów penetracyjnych, które mają na celu ocenę zdolności instytucji finansowych do odpierania ataków i radzenia sobie z poważnymi zakłóceniami.
  • Zgłaszanie incydentów. DORA wprowadza szczegółowe wymogi dotyczące zgłaszania incydentów cybernetycznych i innych znaczących zakłóceń, co ma na celu szybką reakcję i minimalizację szkód dla systemu finansowego.
  • Wymiana informacji. Rozporządzenie promuje większą współpracę i wymianę informacji między organami nadzorczymi, instytucjami finansowymi a kluczowymi dostawcami usług ICT, co jest szczególnie ważne dla poprawy ogólnego poziomu cyberbezpieczeństwa w całym sektorze.
  • Nadzór nad kluczowymi dostawcami usług ICT. DORA uprawnia organy nadzorcze do bezpośredniego nadzoru nad kluczowymi dostawcami usług ICT dla sektora finansowego, co obejmuje możliwość przeprowadzania audytów i nakładania sankcji.
  • Harmonizacja przepisów. Rozporządzenie harmonizuje przepisy dotyczące cyberbezpieczeństwa w całej UE, co ułatwia współpracę transgraniczną i zapewnia jednolite standardy bezpieczeństwa w sektorze finansowym.
  • Sankcje za brak dostosowania do przepisów. DORA przewiduje system sankcji dla instytucji finansowych i ich dostawców usług, które nie spełniają nowych wymogów regulacyjnych, co ma na celu zapewnienie skutecznego przestrzegania przepisów.
  • Najważniejsze zasady: odpowiedzialność osób zarządzających, zarządzanie ryzykiem związanym z ICT, zgłaszanie incydentów, określenie dostawców/kluczowych dostawców i ich weryfikacja oraz wprowadzenie wysokich kar pieniężnych.

CER

Lepsza ochrona infrastruktury energetycznej, finansowej, transportowej czy medycznej, czyli Dyrektywa CER (Directive on the Resilience of Critical Entities).

Dyrektywa w sprawie odporności podmiotów krytycznych jest istotnym krokiem Unii Europejskiej w kierunku zwiększenia odporności infrastruktury krytycznej państw członkowskich na zagrożenia zewnętrzne i wewnętrzne. Wraz z dyrektywą NIS2 tworzy ona komplementarne, zharmonizowane ramy prawne w zakresie zapewniania ciągłości usług kluczowych dla państwa oraz odporności (fizycznej i w cyberprzestrzeni) podmiotów je świadczących.

Obowiązywanie: Dyrektywa CER, podobnie jak dyrektywa NIS2, weszła w życie 16 stycznia 2023 roku i miała być transponowana do prawa krajowego również do dnia 17 października 2024 r. Wiele z krajów członkowskich nie dotrzymało tego terminu.

Kogo dotyczy: Podmioty publiczne i prywatne o znaczeniu krytycznym.

Co wnosi CER?

  • Rozszerzenie zakresu podmiotów o znaczeniu krytycznym. Dyrektywa CER rozszerza listę sektorów uznanych za kluczowe, włączając nowe obszary takie jak energetyka, transport, bankowość, infrastruktura zdrowotna i cyfrowa. Zapewnia to lepszą ochronę szerokiego spektrum infrastruktur, które są kluczowe dla społeczności i gospodarek krajów UE.
  • Wskazanie podmiotów. W załączniku do dyrektywy wymieniono sektory, w ramach których będą wyznaczane podmioty krytyczne. Do dnia 17 lipca 2026 r. każde państwo członkowskie ma zidentyfikować podmioty krytyczne dla sektorów i podsektorów określonych w załączniku. Uznanie za podmiot krytyczny następuje w drodze decyzji administracyjnej. Dyrektywa CER wprowadza również szczególną kategorię podmiotów krytycznych – podmioty krytyczne o szczególnym znaczeniu europejskim.
  • Wymogi w zakresie odporności. Dyrektywa nakłada na państwa członkowskie obowiązek ustalenia ram odpowiedzialności i środków, które podmioty o znaczeniu krytycznym muszą wdrożyć w celu zapewnienia ich odporności na różnego rodzaju zagrożenia, zarówno fizyczne, jak i cybernetyczne.
  • Krajowe strategie bezpieczeństwa. Każde państwo członkowskie musi opracować lub zaktualizować krajową strategię w zakresie bezpieczeństwa swojej infrastruktury krytycznej, uwzględniając zarówno zagrożenia transgraniczne, jak i te specyficzne dla danego kraju.
  • Ocena ryzyka i planowanie. Podmioty o znaczeniu krytycznym są zobowiązane do regularnego przeprowadzania rygorystycznych ocen ryzyka oraz opracowywania planów zarządzania ryzykiem i reagowania na incydenty, co ma na celu minimalizację wpływu potencjalnych zakłóceń. Podmioty krytyczne będą musiały wprowadzić odpowiednie i proporcjonalne środki techniczne, bezpieczeństwa i organizacyjne, które mają zapewnić im odporność na wszelkiego rodzaju incydenty.
  • Współpraca transgraniczna. Dyrektywa promuje współpracę między państwami członkowskimi w zakresie wymiany informacji o zagrożeniach, najlepszych praktykach w zakresie zabezpieczeń oraz koordynacji działań w przypadku kryzysów dotykających podmioty o znaczeniu krytycznym w więcej niż jednym kraju.
  • Inspekcje i egzekwowanie przepisów. W ramach dyrektywy państwa członkowskie mają uprawnienia do przeprowadzania inspekcji podmiotów o znaczeniu krytycznym, w celu sprawdzenia, czy przestrzegają one wymogów dyrektywy. Przewidziano również mechanizmy egzekwowania przepisów, w tym sankcje za niezgodności.
  • Zwiększenie odporności na poziomie UE. Dyrektywa CER ma na celu nie tylko zwiększenie odporności na poziomie krajowym, ale także wzmocnienie całej Unii Europejskiej jako wspólnoty, zdolnej lepiej radzić sobie z nowoczesnymi zagrożeniami i wyzwaniami.

CRA

Podniesienie bezpieczeństwa dla produktów i usług cyfrowych, czyli Rozporządzenie o cyberodporności (Cyber Resilience Act).

Cyber Resilience Act ma na celu stworzenie jednolitych, rygorystycznych ram prawnych dla cyberbezpieczeństwa produktów cyfrowych, co zwiększy zaufanie konsumentów i przedsiębiorstw do usług internetowych oraz wzmocni ogólną odporność cyfrową w Unii Europejskiej.

Data wejścia w życie: Rozporządzenie weszło w życie 10 grudnia 2024 r. Co do zasady, przepisy rozporządzenia będą obowiązywać  po upływie 36 miesięcy od jego ogłoszenia, jednak w przypadku części przepisów te terminy to kolejno 18 i 21 miesięcy.

Kogo dotyczy: Producenci i dystrybutorzy produktów z elementami cyfrowymi.

Co wnosi CRA?

  • Zasięg regulacji. Rozporządzenie ma zastosowanie do wszelkich produktów z elementami cyfrowymi, które mogą być podłączone do internetu lub innych sieci. Obejmuje to zarówno sprzęt, jak i oprogramowanie, w tym Internet Rzeczy, inteligentne urządzenia, aplikacje i systemy operacyjne.
  • Wymogi dotyczące cyberbezpieczeństwa. Cyber Resilience Act ustanawia obowiązkowe wymogi cyberbezpieczeństwa dla producentów, dystrybutorów i dostawców produktów cyfrowych. Obejmuje to projektowanie, rozwój i produkcję produktów w taki sposób, aby minimalizować ryzyko cybernetyczne, a także zobowiązuje do regularnego aktualizowania oprogramowania w celu zapewnienia ciągłej ochrony przed zagrożeniami.
  • Zarządzanie podatnościami. Podmioty gospodarcze będą zobowiązane do monitorowania potencjalnych podatności w swoich produktach i szybkiego reagowania na nie, w tym poprzez opracowywanie i dystrybucję aktualizacji bezpieczeństwa.
  • Etykietowanie i certyfikacja CE. Produkty cyfrowe muszą być wyposażone w oznakowanie CE, które potwierdza, że produkt spełnia wymagane standardy bezpieczeństwa UE. To ułatwi konsumentom identyfikację produktów, które zostały odpowiednio zabezpieczone.
  • Zgłaszanie incydentów. Wprowadza się wymóg zgłaszania poważnych incydentów cybernetycznych przez producentów do odpowiednich organów nadzorczych, co ma na celu lepszą koordynację reakcji na incydenty na poziomie krajowym i unijnym.
  • Obowiązki informacyjne. Producentów obciąża się obowiązkiem informowania użytkowników o funkcjach bezpieczeństwa produktów, znanych podatnościach oraz o tym, jak długo produkt będzie otrzymywał aktualizacje bezpieczeństwa.
  • Nadzór i egzekwowanie przepisów. Rozporządzenie uprawnia organy nadzorcze do monitorowania rynku, przeprowadzania kontroli i – w razie potrzeby – nakładania sankcji na podmioty, które nie przestrzegają przepisów. Przewidziane są również wysokie kary finansowe za naruszenia.

AI ACT

Bezpieczniejsze wykorzystanie technologii AI, czyli Akt w sprawie sztucznej inteligencji (AI Act).

AI Act ma za zadanie stworzyć ramy prawne, które z jednej strony będą wspierać rozwój i wdrażanie innowacji w dziedzinie AI, a z drugiej strony zabezpieczać podstawowe prawa i wolności obywatelskie. Ma to kluczowe znaczenie dla utrzymania zaufania społecznego do technologii AI i jej bezpiecznego stosowania. To jedna z pierwszych na świecie prób regulacji tej szybko rozwijającej się technologii.

Obowiązywanie: rozporządzenie weszło w życie 1 sierpnia 2024 r. Co do zasady, przepisy rozporządzenia będą obowiązywać po upływie 24 miesięcy od jego ogłoszenia, jednak w przypadku części przepisów te terminy to kolejno 6, 12 i 36 miesięcy.

Kogo dotyczy: Akt w sprawie sztucznej inteligencji stosuje się do:

a) dostawców wprowadzających do obrotu lub oddających do użytku systemy sztucznej inteligencji w UE, niezależnie od tego, czy mają siedzibę w Unii czy w państwie trzecim,

b) użytkowników systemów sztucznej inteligencji, którzy znajdują się w Unii. Zgodnie z rozwiązaniem przyjętym w Rozporządzeniu, ma się ono również zastosowanie do dostawców i użytkowników systemów sztucznej inteligencji, którzy znajdują się w państwie trzecim (tj. poza Unią Europejską), jeżeli tylko wyniki działania systemu są wykorzystywane w Unii.

Co wnosi AI ACT?

  • Zharmonizowane przepisy dotyczące wprowadzania do obrotu, oddawania do użytku oraz wykorzystywania systemów sztucznej inteligencji w Unii.
  • Podział na kategorie ryzyka. Podstawowym celem przepisów Aktu jest ograniczenie ryzyk związanych ze stosowaniem systemów sztucznej inteligencji. AI Act wprowadza system klasyfikacji systemów AI na podstawie poziomu ryzyka związanego z ich stosowaniem. Wyróżnia cztery poziomy ryzyka: nieakceptowalne, wysokie, ograniczone i minimalne. Dla systemów o wyższym ryzyku przewidziano surowsze wymogi regulacyjne. W rozporządzeniu przyjęte zostało podejście do SI oparte na zasadzie ryzyka. Założono bowiem, że systemy niosące za sobą wyższy poziom ryzyka powinny podlegać szerszym i bardziej restrykcyjnym wymogom niż systemy, których to wykorzystywanie wiąże się jedynie z ograniczonym lub niskim ryzykiem.
  • Zakazane praktyki. Akt w sprawie sztucznej inteligencji definiuje i zakazuje niektórych praktyk, które są uznawane za stwarzające nieakceptowalne ryzyko. Należą do nich m.in. wykorzystywanie technologii do manipulowania zachowaniami ludzi w sposób zagrażający ich zdrowiu fizycznemu lub psychicznemu, wykorzystywanie AI do „oceny społecznej” przez rządy oraz wykorzystywanie rozpoznawania twarzy w przestrzeniach publicznych w sposób masowy i arbitralny przez władze publiczne. Tym samym wprowadzono listę zakazanych systemów SI (np. systemy tworzące lub rozszerzające bazy danych rozpoznawania twarzy poprzez nieukierunkowane pobieranie obrazów twarzy z Internetu, lub nagrań z kamer przemysłowych).
  • Środki bezpieczeństwa i odpowiedzialność. W przypadku systemów AI klasyfikowanych jako wysokie ryzyko, AI Act wymaga od producentów wdrożenia szczegółowych i rygorystycznych środków zarządzania ryzykiem, w tym dokładnego dokumentowania danych i procesów wykorzystywanych w procesie tworzenia AI. Ma to na celu zwiększenie przejrzystości i możliwość śledzenia działań systemu.
  • Przejrzystość i informowanie użytkowników. Użytkownicy mają być informowani, że mają do czynienia z systemem AI, oraz otrzymać informacje o jego działaniu, ograniczeniach i w przypadku systemów o wysokim ryzyku – także o logice, która nim kieruje.
  • Nadzór rynkowy i sankcje. AI Act przewiduje mechanizmy nadzoru rynkowego, które mają zapewnić przestrzeganie przepisów przez podmioty korzystające z AI. Przewiduje również sankcje za naruszenia, które mogą sięgać nawet do 6% rocznego światowego obrotu przedsiębiorstwa.
  • Specjalne wymogi dla poszczególnych sektorów. Akt ustanawia dodatkowe wymogi dla systemów AI stosowanych w konkretnych, wrażliwych sektorach, takich jak zdrowie, edukacja czy transport, gdzie ryzyko związane z niewłaściwym działaniem lub błędami może mieć poważne konsekwencje.

AI ACTDATA ACT

Rozporządzenie UE w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (Akt w sprawie danych).

Data Act to rozporządzenie Unii Europejskiej, które ma na celu regulację kwestii związanych z dostępem do danych, ich wykorzystaniem oraz podziałem korzyści wynikających z ich przetwarzania. Głównym celem Data Act jest zapewnienie sprawiedliwego dostępu do danych oraz ich użycia, stymulowanie innowacji i konkurencji, a także poprawa warunków działania na jednolitym rynku cyfrowym.

Jego uzupełnieniem jest Akt w sprawie zarządzania danymi. Oba akty wzajemnie się uzupełniają, przy czym Akt o zarządzaniu danymi koncentruje się na ramach prawnych, procesach i strukturach wspierających wymianę danych, a projekt Aktu o danych kładzie większy nacisk na wyjaśnienie, kto i na jakich warunkach ma prawo korzystać z danych.

Obowiązywanie: Akt w sprawie danych wszedł w życie 11 stycznia 2024 r., a jego przepisy zaczną obowiązywać po upływie 20 miesięcy.

Kogo dotyczy: Producenci, posiadacze, odbiorcy danych i dostawcy usług przetwarzania danych.

Co wnosi AI ACTDATA ACT?

  • Dostęp do danych i ich ponowne wykorzystanie. Data Act promuje szeroki dostęp do danych generowanych przez urządzenia połączone z siecią Internetu Rzeczy, umożliwiając użytkownikom i przedsiębiorstwom łatwiejsze korzystanie z tych danych. W szczególności dotyczy to danych, które mogą być wykorzystane do usprawnienia procesów produkcyjnych, usług utrzymaniowych i innych funkcji operacyjnych.
  • Zasady dla producentów urządzeń i usług. Producentom urządzeń i dostawcom usług nakładane są obowiązki związane z zapewnieniem możliwości łatwego i bezpiecznego dostępu do danych dla użytkowników. Dotyczy to zarówno danych osobowych, jak i nieosobowych.
  • Prawa użytkowników. Użytkownicy mają gwarantowane prawa do uzyskania danych wygenerowanych przez produkty lub usługi, z których korzystają. Dzięki temu mogą lepiej kontrolować sposób, w jaki ich dane są wykorzystywane, oraz łatwiej przenosić dane między różnymi platformami i dostawcami usług.
  • Ochrona i bezpieczeństwo danych. Data Act nakłada na przedsiębiorstwa obowiązek wdrażania odpowiednich środków bezpieczeństwa, w celu zapewnienia ochrony danych, które są przetwarzane, przechowywane lub przesyłane.
  • Przykłady. W Akcie w sprawie danych wskazano katalog postanowień umownych dotyczących dostępu do danych i korzystania z nich, które są kwalifikowane jako postanowienia nieuczciwe
  • Rozstrzyganie sporów i sankcje. Rozporządzenie określa procedury rozstrzygania sporów dotyczących dostępu do danych oraz stosowania niesprawiedliwych warunków w umowach dotyczących danych. Przewiduje również sankcje dla przedsiębiorstw, które nie przestrzegają nowych przepisów.
  • Transgraniczne i międzysektorowe przepływy danych. Data Act ma na celu ułatwienie przepływu danych w UE, eliminując bariery prawne i techniczne, co sprzyja integracji rynkowej i wspiera cyfrową transformację gospodarki.
  • Kontekst globalny. Rozporządzenie uwzględnia również wymiar międzynarodowy, zabezpieczając przepływ danych poza granice UE w sposób, który jest zgodny z europejskimi standardami ochrony danych i prywatności.

Na szczególną uwagę zasługuje fakt, że akt w sprawie danych zawiera również przepisy dotyczące zapewnienia łatwości przenoszenia danych w celu m.in. ułatwienia zmiany dostawców usług przetwarzania danych w chmurze.

Autor: Przemysław Nowak,
Head of Legal Department, Axians

Zobacz pozostałe aktualności
21 stycznia 2025 Aktualności

Nowe unijne regulacje z zakresu cyberbezpieczeństwa i nowych technologii. O czym warto wiedzieć?
Dowiedz się więcej
08 stycznia 2025 Aktualności

JPK CIT pokazuje wagę eksperckiego wsparcia w zakresie systemów IT
Dowiedz się więcej
03 stycznia 2025 Aktualności

W 2024 roku Axians wzmocniło swoją wiodącą pozycję na polskim rynku IT
Dowiedz się więcej
20 grudnia 2024 Aktualności

Zintegrowane Zarządzanie Majątkiem Technicznym – Możliwości i zalety rozwiązania SAP EAM
Dowiedz się więcej
06 grudnia 2024 Aktualności

Pol’and’Rock Festival – Axians Networks Poland zapewnia łączność uczestnikom festiwalu
Dowiedz się więcej
06 grudnia 2024 Aktualności

Powódź 2024 – Axians Networks Poland przywraca łączność na obszarach dotkniętych kataklizmem
Dowiedz się więcej
04 grudnia 2024 Aktualności

Skuteczne szkolenia użytkowników SAP S/4HANA: klucz do sukcesu biznesowego
Dowiedz się więcej
14 listopada 2024 Aktualności

SAP SuccessFactors. Jak sztuczna inteligencja wspiera zarządzanie kadrami i rozwój osobisty
Dowiedz się więcej
06 listopada 2024 Aktualności

Firma Axians doceniona na jubileuszu 50-lecia Wydziału Zarządzania AGH
Dowiedz się więcej
15 października 2024 Aktualności Warto wiedzieć

Szybcy i odporni: jak chmura wspiera biznes w rzeczywistości VUCA?
Dowiedz się więcej
Zobacz wszystkie artykuły