Nowe unijne regulacje z zakresu cyberbezpieczeństwa i nowych technologii. O czym warto wiedzieć?

Co wnosi NIS2?

• Rozszerzenie zakresu podmiotów objętych regulacją. Oprócz dotychczasowych operatorów usług kluczowych i dostawców usług cyfrowych, regulacją zostaną objęte także nowe kategorie podmiotów. Wśród nich znajdą się np. administracja publiczna, produkcja, usługi cyfrowe, a przede wszystkim firmy zarządzające usługami ICT.
• Zaostrzenie wymagań dotyczących zarządzania ryzykiem. Podmioty objęte dyrektywą muszą wdrożyć odpowiednie i proporcjonalne środki zarządzania ryzykiem w cyberprzestrzeni, aby minimalizować ryzyko cyberataku oraz jego potencjalne skutki.
• Obowiązek zgłaszania incydentów. Wprowadza się surowsze wymogi dotyczące zgłaszania incydentów bezpieczeństwa, co obejmuje zarówno incydenty poważne, jak i te o mniejszym stopniu powagi. Zgłoszenia muszą być dokonywane w odpowiednio krótkim czasie po wykryciu incydentu.
• Wzmocnienie współpracy międzynarodowej. Dyrektywa zobowiązuje państwa członkowskie do współpracy i wymiany informacji na temat zagrożeń oraz incydentów w celu poprawy ogólnej odporności cybernetycznej w UE.
• Nadzór i egzekwowanie przepisów. Ustanawia się system nadzoru, który pozwala na lepszą kontrolę i egzekwowanie przestrzegania przepisów dyrektywy. Wprowadza się również możliwość nakładania sankcji na podmioty, które nie spełniają wymagań.
• Rozwój krajowych strategii cyberbezpieczeństwa. Państwa członkowskie są zobowiązane do rozwijania własnych krajowych strategii i polityk w zakresie cyberbezpieczeństwa, które powinny być regularnie aktualizowane i dostosowywane do zmieniającego się krajobrazu zagrożeń.
• Budowanie kompetencji i wiedzy. Dyrektywa promuje inwestycje w budowanie kompetencji i świadomości w zakresie cyberbezpieczeństwa, w tym poprzez szkolenia i kampanie edukacyjne skierowane zarówno do podmiotów publicznych, jak i prywatnych.
• Wsparcie techniczne i finansowe. Unia Europejska może oferować pomoc techniczną i finansową, aby ułatwić państwom członkowskim i podmiotom prywatnym w osiąganiu zgodności z dyrektywą oraz wzmocnieniu ogólnego bezpieczeństwa cyfrowego.

Co wnosi DORA?

• Wzmocnienie odporności cyfrowej. DORA ma na celu zapewnienie, że wszystkie podmioty sektora finansowego, w tym banki, firmy ubezpieczeniowe i inne instytucje finansowe, jak również ich kluczowi dostawcy usług ICT, są odpowiednio przygotowane na cyberataki, awarie techniczne i inne zakłócenia cyfrowe.
• Zarządzanie ryzykiem ICT. Rozporządzenie nakłada na podmioty finansowe obowiązek ustanowienia i utrzymania skutecznych i wszechstronnych ram zarządzania ryzykiem ICT, które obejmują ocenę, monitorowanie i łagodzenie ryzyka związanego z ich systemami informatycznymi i usługami cyfrowymi.
• Testowanie odporności. Podmioty są zobowiązane do regularnego przeprowadzania testów odporności, w tym testów penetracyjnych, które mają na celu ocenę zdolności instytucji finansowych do odpierania ataków i radzenia sobie z poważnymi zakłóceniami.
• Zgłaszanie incydentów. DORA wprowadza szczegółowe wymogi dotyczące zgłaszania incydentów cybernetycznych i innych znaczących zakłóceń, co ma na celu szybką reakcję i minimalizację szkód dla systemu finansowego.
• Wymiana informacji. Rozporządzenie promuje większą współpracę i wymianę informacji między organami nadzorczymi, instytucjami finansowymi a kluczowymi dostawcami usług ICT, co jest szczególnie ważne dla poprawy ogólnego poziomu cyberbezpieczeństwa w całym sektorze.
• Nadzór nad kluczowymi dostawcami usług ICT. DORA uprawnia organy nadzorcze do bezpośredniego nadzoru nad kluczowymi dostawcami usług ICT dla sektora finansowego, co obejmuje możliwość przeprowadzania audytów i nakładania sankcji.
• Harmonizacja przepisów. Rozporządzenie harmonizuje przepisy dotyczące cyberbezpieczeństwa w całej UE, co ułatwia współpracę transgraniczną i zapewnia jednolite standardy bezpieczeństwa w sektorze finansowym.
• Sankcje za brak dostosowania do przepisów. DORA przewiduje system sankcji dla instytucji finansowych i ich dostawców usług, które nie spełniają nowych wymogów regulacyjnych, co ma na celu zapewnienie skutecznego przestrzegania przepisów.
• Najważniejsze zasady: odpowiedzialność osób zarządzających, zarządzanie ryzykiem związanym z ICT, zgłaszanie incydentów, określenie dostawców/kluczowych dostawców i ich weryfikacja oraz wprowadzenie wysokich kar pieniężnych.

Co wnosi CER?

• Rozszerzenie zakresu podmiotów o znaczeniu krytycznym. Dyrektywa CER rozszerza listę sektorów uznanych za kluczowe, włączając nowe obszary takie jak energetyka, transport, bankowość, infrastruktura zdrowotna i cyfrowa. Zapewnia to lepszą ochronę szerokiego spektrum infrastruktur, które są kluczowe dla społeczności i gospodarek krajów UE.
• Wskazanie podmiotów. W załączniku do dyrektywy wymieniono sektory, w ramach których będą wyznaczane podmioty krytyczne. Do dnia 17 lipca 2026 r. każde państwo członkowskie ma zidentyfikować podmioty krytyczne dla sektorów i podsektorów określonych w załączniku. Uznanie za podmiot krytyczny następuje w drodze decyzji administracyjnej. Dyrektywa CER wprowadza również szczególną kategorię podmiotów krytycznych – podmioty krytyczne o szczególnym znaczeniu europejskim.
• Wymogi w zakresie odporności. Dyrektywa nakłada na państwa członkowskie obowiązek ustalenia ram odpowiedzialności i środków, które podmioty o znaczeniu krytycznym muszą wdrożyć w celu zapewnienia ich odporności na różnego rodzaju zagrożenia, zarówno fizyczne, jak i cybernetyczne.
• Krajowe strategie bezpieczeństwa. Każde państwo członkowskie musi opracować lub zaktualizować krajową strategię w zakresie bezpieczeństwa swojej infrastruktury krytycznej, uwzględniając zarówno zagrożenia transgraniczne, jak i te specyficzne dla danego kraju.
• Ocena ryzyka i planowanie. Podmioty o znaczeniu krytycznym są zobowiązane do regularnego przeprowadzania rygorystycznych ocen ryzyka oraz opracowywania planów zarządzania ryzykiem i reagowania na incydenty, co ma na celu minimalizację wpływu potencjalnych zakłóceń. Podmioty krytyczne będą musiały wprowadzić odpowiednie i proporcjonalne środki techniczne, bezpieczeństwa i organizacyjne, które mają zapewnić im odporność na wszelkiego rodzaju incydenty.
• Współpraca transgraniczna. Dyrektywa promuje współpracę między państwami członkowskimi w zakresie wymiany informacji o zagrożeniach, najlepszych praktykach w zakresie zabezpieczeń oraz koordynacji działań w przypadku kryzysów dotykających podmioty o znaczeniu krytycznym w więcej niż jednym kraju.
• Inspekcje i egzekwowanie przepisów. W ramach dyrektywy państwa członkowskie mają uprawnienia do przeprowadzania inspekcji podmiotów o znaczeniu krytycznym, w celu sprawdzenia, czy przestrzegają one wymogów dyrektywy. Przewidziano również mechanizmy egzekwowania przepisów, w tym sankcje za niezgodności.
• Zwiększenie odporności na poziomie UE. Dyrektywa CER ma na celu nie tylko zwiększenie odporności na poziomie krajowym, ale także wzmocnienie całej Unii Europejskiej jako wspólnoty, zdolnej lepiej radzić sobie z nowoczesnymi zagrożeniami i wyzwaniami.

Co wnosi CRA?

• Zasięg regulacji. Rozporządzenie ma zastosowanie do wszelkich produktów z elementami cyfrowymi, które mogą być podłączone do internetu lub innych sieci. Obejmuje to zarówno sprzęt, jak i oprogramowanie, w tym Internet Rzeczy, inteligentne urządzenia, aplikacje i systemy operacyjne.
• Wymogi dotyczące cyberbezpieczeństwa. Cyber Resilience Act ustanawia obowiązkowe wymogi cyberbezpieczeństwa dla producentów, dystrybutorów i dostawców produktów cyfrowych. Obejmuje to projektowanie, rozwój i produkcję produktów w taki sposób, aby minimalizować ryzyko cybernetyczne, a także zobowiązuje do regularnego aktualizowania oprogramowania w celu zapewnienia ciągłej ochrony przed zagrożeniami.
• Zarządzanie podatnościami. Podmioty gospodarcze będą zobowiązane do monitorowania potencjalnych podatności w swoich produktach i szybkiego reagowania na nie, w tym poprzez opracowywanie i dystrybucję aktualizacji bezpieczeństwa.
• Etykietowanie i certyfikacja CE. Produkty cyfrowe muszą być wyposażone w oznakowanie CE, które potwierdza, że produkt spełnia wymagane standardy bezpieczeństwa UE. To ułatwi konsumentom identyfikację produktów, które zostały odpowiednio zabezpieczone.
• Zgłaszanie incydentów. Wprowadza się wymóg zgłaszania poważnych incydentów cybernetycznych przez producentów do odpowiednich organów nadzorczych, co ma na celu lepszą koordynację reakcji na incydenty na poziomie krajowym i unijnym.
• Obowiązki informacyjne. Producentów obciąża się obowiązkiem informowania użytkowników o funkcjach bezpieczeństwa produktów, znanych podatnościach oraz o tym, jak długo produkt będzie otrzymywał aktualizacje bezpieczeństwa.
• Nadzór i egzekwowanie przepisów. Rozporządzenie uprawnia organy nadzorcze do monitorowania rynku, przeprowadzania kontroli i – w razie potrzeby – nakładania sankcji na podmioty, które nie przestrzegają przepisów. Przewidziane są również wysokie kary finansowe za naruszenia.

Co wnosi AI ACT?

• Zharmonizowane przepisy dotyczące wprowadzania do obrotu, oddawania do użytku oraz wykorzystywania systemów sztucznej inteligencji w Unii.
• Podział na kategorie ryzyka. Podstawowym celem przepisów Aktu jest ograniczenie ryzyk związanych ze stosowaniem systemów sztucznej inteligencji. AI Act wprowadza system klasyfikacji systemów AI na podstawie poziomu ryzyka związanego z ich stosowaniem. Wyróżnia cztery poziomy ryzyka: nieakceptowalne, wysokie, ograniczone i minimalne. Dla systemów o wyższym ryzyku przewidziano surowsze wymogi regulacyjne. W rozporządzeniu przyjęte zostało podejście do SI oparte na zasadzie ryzyka. Założono bowiem, że systemy niosące za sobą wyższy poziom ryzyka powinny podlegać szerszym i bardziej restrykcyjnym wymogom niż systemy, których to wykorzystywanie wiąże się jedynie z ograniczonym lub niskim ryzykiem.
• Zakazane praktyki. Akt w sprawie sztucznej inteligencji definiuje i zakazuje niektórych praktyk, które są uznawane za stwarzające nieakceptowalne ryzyko. Należą do nich m.in. wykorzystywanie technologii do manipulowania zachowaniami ludzi w sposób zagrażający ich zdrowiu fizycznemu lub psychicznemu, wykorzystywanie AI do „oceny społecznej” przez rządy oraz wykorzystywanie rozpoznawania twarzy w przestrzeniach publicznych w sposób masowy i arbitralny przez władze publiczne. Tym samym wprowadzono listę zakazanych systemów SI (np. systemy tworzące lub rozszerzające bazy danych rozpoznawania twarzy poprzez nieukierunkowane pobieranie obrazów twarzy z Internetu, lub nagrań z kamer przemysłowych).
• Środki bezpieczeństwa i odpowiedzialność. W przypadku systemów AI klasyfikowanych jako wysokie ryzyko, AI Act wymaga od producentów wdrożenia szczegółowych i rygorystycznych środków zarządzania ryzykiem, w tym dokładnego dokumentowania danych i procesów wykorzystywanych w procesie tworzenia AI. Ma to na celu zwiększenie przejrzystości i możliwość śledzenia działań systemu.
• Przejrzystość i informowanie użytkowników. Użytkownicy mają być informowani, że mają do czynienia z systemem AI, oraz otrzymać informacje o jego działaniu, ograniczeniach i w przypadku systemów o wysokim ryzyku – także o logice, która nim kieruje.
• Nadzór rynkowy i sankcje. AI Act przewiduje mechanizmy nadzoru rynkowego, które mają zapewnić przestrzeganie przepisów przez podmioty korzystające z AI. Przewiduje również sankcje za naruszenia, które mogą sięgać nawet do 6% rocznego światowego obrotu przedsiębiorstwa.
• Specjalne wymogi dla poszczególnych sektorów. Akt ustanawia dodatkowe wymogi dla systemów AI stosowanych w konkretnych, wrażliwych sektorach, takich jak zdrowie, edukacja czy transport, gdzie ryzyko związane z niewłaściwym działaniem lub błędami może mieć poważne konsekwencje.

Co wnosi AI ACTDATA ACT?

• Dostęp do danych i ich ponowne wykorzystanie. Data Act promuje szeroki dostęp do danych generowanych przez urządzenia połączone z siecią Internetu Rzeczy, umożliwiając użytkownikom i przedsiębiorstwom łatwiejsze korzystanie z tych danych. W szczególności dotyczy to danych, które mogą być wykorzystane do usprawnienia procesów produkcyjnych, usług utrzymaniowych i innych funkcji operacyjnych.
• Zasady dla producentów urządzeń i usług. Producentom urządzeń i dostawcom usług nakładane są obowiązki związane z zapewnieniem możliwości łatwego i bezpiecznego dostępu do danych dla użytkowników. Dotyczy to zarówno danych osobowych, jak i nieosobowych.
• Prawa użytkowników. Użytkownicy mają gwarantowane prawa do uzyskania danych wygenerowanych przez produkty lub usługi, z których korzystają. Dzięki temu mogą lepiej kontrolować sposób, w jaki ich dane są wykorzystywane, oraz łatwiej przenosić dane między różnymi platformami i dostawcami usług.
• Ochrona i bezpieczeństwo danych. Data Act nakłada na przedsiębiorstwa obowiązek wdrażania odpowiednich środków bezpieczeństwa, w celu zapewnienia ochrony danych, które są przetwarzane, przechowywane lub przesyłane.
• Przykłady. W Akcie w sprawie danych wskazano katalog postanowień umownych dotyczących dostępu do danych i korzystania z nich, które są kwalifikowane jako postanowienia nieuczciwe
• Rozstrzyganie sporów i sankcje. Rozporządzenie określa procedury rozstrzygania sporów dotyczących dostępu do danych oraz stosowania niesprawiedliwych warunków w umowach dotyczących danych. Przewiduje również sankcje dla przedsiębiorstw, które nie przestrzegają nowych przepisów.
• Transgraniczne i międzysektorowe przepływy danych. Data Act ma na celu ułatwienie przepływu danych w UE, eliminując bariery prawne i techniczne, co sprzyja integracji rynkowej i wspiera cyfrową transformację gospodarki.
• Kontekst globalny. Rozporządzenie uwzględnia również wymiar międzynarodowy, zabezpieczając przepływ danych poza granice UE w sposób, który jest zgodny z europejskimi standardami ochrony danych i prywatności.

Na szczególną uwagę zasługuje fakt, że akt w sprawie danych zawiera również przepisy dotyczące zapewnienia łatwości przenoszenia danych w celu m.in. ułatwienia zmiany dostawców usług przetwarzania danych w chmurze.