Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Jak prawo w 2024 ukształtowało politykę cyberbezpieczeństwa?

02 grudzień 2024

Jak prawo w 2024 ukształtowało politykę cyberbezpieczeństwa?
Aneta Grala

Aneta Grala
Viktoria Polikowska

Viktoria Polikowska
Redakcja

Redakcja
Ireneusz Sas

Ireneusz Sas
Mariusz Stasiak vel Stasek

Mariusz Stasiak vel Stasek

Mijający rok przyniósł szereg regulacji prawnych, które znacząco wpłynęły na kształtowanie polityki cyberbezpieczeństwa. Zmiany dotknęły zarówno sektora publicznego, jak i prywatnego, wzmacniając ochronę danych i przeciwdziałanie cyberzagrożeniom. Które regulacje w Polsce, UE i na świecie zasługują na szczególną uwagę? Które są już zaimplementowane? Na które nadal czekamy?

Unia Europejska. Nowe regulacje wzmacniające cyberbezpieczeństwo 

Dyrektywa NIS2 weszła w życie 16 stycznia 2023 roku, z terminem implementacji do 17 października 2024 roku. Jednak nie wszystkie państwa były w stanie sprostać temu terminowi, wśród nich są Hiszpania, Portugalia i Polska. Ten akt prawny rozszerza zakres podmiotów objętych regulacją, w tym administrację publiczną, sektor żywności, ścieków, przemysłu, zarządzania odpadami i przestrzeni kosmicznej. Wprowadza w szczególności nowe wymagania dotyczące zarządzania ryzykiem, ujawniania luk w zabezpieczeniach oraz testowania poziomu cyberbezpieczeństwa. NIS2 będzie zaimplementowany do polskiego prawa w ramach Krajowego Systemu Cyberbezpieczeństwa (KSC).

Akt o cyberodporności (Cyber Resilience Act) przyjęty przez Radę UE 10 października 2024 roku, wprowadza między innymi obowiązkowe wymogi bezpieczeństwa dla produktów cyfrowych. Zobowiązuje producentów do zapewnienia bezpieczeństwa produktów z elementami cyfrowymi przez cały ich cykl życia oraz wymaga zgłaszania incydentów cyberbezpieczeństwa w ciągu 24 godzin od ich wykrycia. — Producenci będą musieli wprowadzić do obrotu w Unii produkty zgodne z wymogami do 2027 roku — czytamy na stronie www Komisji Europejskiej.

Rozporządzenie DORA (Digital Operational Resilience Act) weszło w życie w styczniu 2023 roku, z pełnym zastosowaniem od 17 stycznia 2025 roku. Skierowane do sektora finansowego, ustanawia jednolite wymagania dotyczące zarządzania ryzykiem ICT, raportowania incydentów oraz testowania odporności operacyjnej.

Akt o usługach cyfrowych (DSA) zaczął obowiązywać w Unii Europejskiej 17 lutego 2024 roku i reguluje działania platform internetowych, aby zwiększyć bezpieczeństwo użytkowników w sieci. Chociaż jego głównym celem jest walka z nielegalnymi treściami, ma również pośredni wpływ na cyberbezpieczeństwo. Platformy muszą wdrażać procedury ochrony danych, raportować zagrożenia oraz usuwać treści naruszające przepisy. DSA nakłada też wymóg przejrzystości algorytmów i zapobiegania nadużyciom. Eksperci wskazują, że te obowiązki podnoszą standardy bezpieczeństwa cyfrowego, szczególnie w kontekście ochrony użytkowników przed oszustwami i dezinformacją. 

Akt o Sztucznej Inteligencji (AI Act) przyjęty przez Unię Europejską 1 sierpnia 2024 roku, wprowadził kompleksowe regulacje dotyczące rozwoju i wdrażania systemów sztucznej inteligencji. Głównym celem jest zapewnienie zgodności AI z zasadami etycznymi oraz ochroną praw podstawowych, ale akt ten ma też wpływ na cyberbezpieczeństwo. AI Act klasyfikuje systemy AI według poziomu ryzyka i nakłada obowiązek wdrożenia odpowiednich zabezpieczeń technologicznych, zwłaszcza w przypadku systemów wysokiego ryzyka, takich jak te stosowane w infrastrukturze krytycznej. Wymaga również przeprowadzania audytów bezpieczeństwa, zapewnienia przejrzystości działania algorytmów oraz minimalizowania podatności na cyberataki. Regulacje przyczyniają się do zwiększenia odporności cyfrowej systemów AI, zapobiegając ich wykorzystaniu w celach niezgodnych z prawem.

Polska w drodze do wdrożenia standardów cyberbezpieczeństwa

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) dostosowuje polskie prawo do wymogów dyrektywy NIS2, wprowadzając nowe obowiązki dla operatorów usług kluczowych i dostawców usług cyfrowych. Wzmacnia współpracę między sektorem publicznym a prywatnym w zakresie cyberbezpieczeństwa. Projekt ustawy o KSC na dzień 18 listopada jest nadal opiniowany (ostatnia opinia wpłynęła 6 listopada od UODO) i podlega konsultacjom publicznym. Według zapowiedzi Ministerstwa Cyfryzacji KSC wejdzie w życie najpóźniej w pierwszym kwartale 2025 roku.

Choć "Ustawa Kamilka" głównie koncentruje się na ochronie małoletnich przed przemocą, wprowadza również elementy związane z bezpieczeństwem cyfrowym dzieci. Ustawa Kamilkowa weszła w życie 15 lutego 2024 roku, a obowiązuje od 15 sierpnia. Dotyczy między innymi podmiotów świadczących zdalne usługi edukacyjne, rekreacyjne i rozwijające zainteresowania małoletnich. Art. 22c ust. 2 wskazuje, że polityki bezpieczeństwa muszą uwzględniać ochronę przed zagrożeniami cyfrowymi. Dotyczy to szkół online, kursów, wydarzeń e-sportowych i innych form aktywności cyfrowej dzieci. Organizatorzy muszą weryfikować pracowników pod kątem rejestrów sprawców oraz tworzyć regulacje chroniące dzieci przed przemocą i zaniedbaniem. Za brak wdrożenia takich standardów przewidziane są sankcje, jednak z doniesień medialnych wynika, że ustawa ta będzie poddawana dalszej analizie i ewentualnym modyfikacjom.

Ustawa o ochronie sygnalistów wdrożona w Polsce w styczniu 2024 roku wprowadza m.in. obowiązek tworzenia zabezpieczonych systemów zgłoszeń nieprawidłowości. Choć jej celem jest ochrona sygnalistów, ma pośredni wpływ na cyberbezpieczeństwo, wymagając szyfrowania danych i ochrony przed wyciekami. Dotyczy to firm i instytucji publicznych, które muszą wdrożyć zgodne z RODO platformy zgłoszeniowe. Takie systemy wzmacniają bezpieczeństwo cyfrowe w organizacjach.

Świat. Od USA po Holandię, czyli jak kraje chronią swoje dane i obywateli

Projekt Healthcare Cybersecurity Act został zaprezentowany w Stanach Zjednoczonych w lipcu 2024 roku. Obecnie ustawa jest na etapie legislacyjnym i nie została jeszcze podpisana przez prezydenta, co oznacza, że nie weszła w życie. Po podpisaniu przez prezydenta ustawa zacznie obowiązywać zgodnie z określonym w niej harmonogramem wdrożenia. Ma na celu wzmocnienie cyberbezpieczeństwa w sektorze opieki zdrowotnej i nakłada na Cybersecurity and Infrastructure Security Agency (CISA) obowiązek współpracy z Departamentem Zdrowia i Opieki Społecznej (HHS) w celu opracowania i wdrożenia strategii ochrony przed cyberzagrożeniami. Wprowadza również wymóg regularnych szkoleń dla personelu medycznego oraz ustanawia procedury raportowania cyberincydentów.

Nowe przepisy w USA chroniące dane. 21 października 2024 roku Departament Sprawiedliwości Stanów Zjednoczonych ogłosił propozycję nowych przepisów mających chronić dane rządowe oraz dane osobowe Amerykanów przed dostępem krajów takich jak Chiny, Iran, Rosja, Wenezuela, Kuba i Korea Północna. Nowe regulacje wprowadzają ograniczenia w niektórych transakcjach biznesowych, aby zapobiec wykorzystaniu danych w cyberatakach, szpiegostwie i szantażu. Propozycja tych przepisów, zaprezentowana po raz pierwszy w marcu, wdraża rozporządzenie wykonawcze prezydenta Joe Bidena wydane na początku roku. Przepisy te chronią wrażliwe dane finansowe, genomiczne i zdrowotne przed wykorzystaniem ich przez obce rządy.

Cyber Security and Resilience Bill to projekt ustawy ogłoszony przez rząd Wielkiej Brytanii 17 lipca 2024 roku. Jego celem jest aktualizacja istniejących przepisów dotyczących bezpieczeństwa sieci i informacji, znanych jako UK NIS Regulations z 2018 roku. Nowa ustawa ma wzmocnić ochronę infrastruktury krytycznej oraz usług cyfrowych przed rosnącymi cyberzagrożeniami. Planowane jest rozszerzenie zakresu regulacji na nowe sektory oraz wprowadzenie surowszych wymogów dotyczących raportowania incydentów i zarządzania ryzykiem. 

Temporary Cyber Operations Act to tymczasowe holenderskie przepisy, które złagodzą ograniczenia dotyczące przechwytywania danych i nadzoru zawarte w Ustawie o Wywiadzie i Bezpieczeństwie. Przepisy mają być wykorzystywane do obrony przed cyberatakami ze strony innych państw., w tym Rosji. Ustawa została przyjęta przez holenderską Izbę Reprezentantów w październiku 2023 roku. Holenderski Senat zatwierdził ustawę w marcu 2024 roku.

Litewski parlament przyjął właśnie nowelizację Prawa Energetycznego, która ma chronić infrastrukturę energetyczną przed zdalnym wpływem zagranicznych producentów sprzętu, szczególnie chińskich inwerterów. Nowe przepisy, obowiązujące od maja 2025 roku dla nowych instalacji, nakładają obowiązek zabezpieczenia systemów zarządzania przed cyberzagrożeniami. Operatorzy elektrowni słonecznych muszą wdrożyć dodatkowe środki bezpieczeństwa, aby zapobiec potencjalnemu wyłączaniu urządzeń na odległość. Przepisy te wpisują się w krajową Strategię Bezpieczeństwa Narodowego Litwy.

Komentarze naszych ekspertów

Mariusz Stasiak vel Stasek, Inspektor Ochrony Danych, koordynator ds. cyberbezpieczeństwa

Rok 2024 obfitował przede wszystkim w zmiany prawne dotyczące sztucznej inteligencji. Tak zwany AI Act zdominował szczególnie pierwszą połowę roku i zaangażował wielu specjalistów z zakresu prawa nowej technologii jak i inżynierów w wielu firmach IT.Sztuczna inteligencja jest wykorzystywana z praktycznie każdym obszarze życia codziennego jak i w wielu specjalistycznych rozwiązań czy to z zakresu medycyny, IOT czy sektorze security.Oczywiście to, że AI Act zdominowało 2024 rok to nie oznacza, że nic więcej istotnego się nie działo, w Polsce po wielu latach i perypetiach udało się wdrożyć przepisy chroniące sygnalistów, choć po tylu latach wielu oczekiwało, aby ustawa to była przemyślana i dopracowana, niekoniecznie tak wyszło.Końcówka roku to zdecydowanie emocje oparte na dyrektywie NIS2, która naszych czytelników interesowała zapewne najbardziej. Sama dyrektywa oczywiście nie obowiązuje wprost, stąd wymagana jest jej implementacja i to właśnie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa była najważniejszą tematyką drugiej połowy roku na rynku IT. NIS2 jak i AI Act dotykają podmiotów funkcjonujących na całym świecie, które świadczą usługi na terenie Unii Europejskiej. Na regulacje krajowe w zakresie cyberbezpieczeństwa musimy jeszcze poczekać, natomiast rozporządzenie dotyczące sztucznej inteligencji obowiązuje bezpośrednio. AI Act posiada zróżnicowane vacatio legis, więc nie wszystkie jego wymagania obowiązują na ten moment.

Viktoria Polikowska, młodszy specjalista ds. Bezpieczeństwa informacji, Perceptus

W Polsce najważniejsze akty prawne to odmieniane przez wszystkie przypadki NIS2 oraz wynikająca z niej nowelizacja ustawy o KSC (Krajowym Systemie Cyberbezpieczeństwa). Myślę, że ważnym dokumentem, który co prawda jest obecnie jedynie projektem, jest zbiór wytycznych dotyczących wdrażania środków bezpieczeństwa NIS 2 – projekt opublikowany przez ENISA (European Union Agency for Cybersecurity) do konsultacji. Zawiera on między innymi już mapowanie na poszczególne punkty standardów dot. bezpieczeństwa informacji. Ponadto na pewno warto zwrócić również uwagę na Rozporządzenie wykonawcze komisji (UE) 2024/2690 z dnia 17 października 2024 r., które ustanawia zasady stosowania dyrektywy 2022/2555. Śmiało można uznać, że gdyby działały tu mechanizmy rynku wydawniczego, byłyby to bestsellery końcówki roku.

Ireneusz Sas, Head of Cyber Defence G2A.COM

Mijający 2024 rok był czasem ważnych zmian prawnych w obszarze cyberbezpieczeństwa. Najważniejszą jest dyrektywa Parlamentu Europejskiego NIS2, której celem jest m.in. wzmocnienie ochrony kluczowych sektorów czy poprawa zdolności wykrywania i reagowania na incydenty.Kierując się wytycznymi dyrektywy NIS2, Ministerstwo Cyfryzacji we współpracy z ekspertami i z uwzględnieniem zgłoszonych uwag w ramach konsultacji społecznych zakończyło prace nad aktualizacją Ustawy o Krajowym Systemie Cyberbezpieczeństwa.2024 rok to również akt o cyberodporności (Cyber Resilience Act) oraz dyrektywa CER (Critical Entities Resilience).Wszystkim powyższym zmianom przyświeca jeden główny cel — zwiększenie poziomu cyberbezpieczeństwa w całej Unii Europejskiej.
Aneta Grala, prawniczka i specjalistka ds. ochrony danych osobowych, Rzetelna Grupa
Warto zwrócić uwagę na zmiany ustawy o krajowym systemie cyberbezpieczeństwa (KSC), które zostaną wprowadzone w celu implementacji dyrektywy NIS, gdyż dzięki nim ustawa ta zyska bardziej zintegrowane i skuteczne mechanizmy ochrony przed cyberzagrożeniami. Najważniejszymi kwestiami w aspekcie cyberzagrożeń są: zwiększenie bezpieczeństwa infrastruktury krytycznej, a także poprawa zdolności monitorowania i reagowania na incydenty w sieci. Cyberbezpieczeństwo nieodłącznie wiąże się z ochroną danych osobowych, a realizacja jego założeń przyczynia się do bezpieczeństwa przetwarzanych danych osobowych. Dlatego też w pełni uzasadnione wydaje się planowane włączenie UODO do współpracy z podmiotami krajowymi, które ma przyczynić się do wspólnego przeciwdziałania cyberzagrożeniom oraz wzmacniania ochrony sieci i systemów informatycznych, a także przetwarzanych za ich pośrednictwem danych osobowych. Z perspektywy ochrony danych osobowych, konieczne jest jednak, aby wprowadzane rozwiązania były zgodne z zasadami RODO, szczególnie w zakresie ograniczania zakresu przetwarzanych danych i informowania użytkowników o potencjalnym wpływie działań monitorujących na ich prywatność.

Powyższy opis regulacji stanowi jedynie częściowy przegląd zagadnień, koncentrując się wyłącznie na aspektach związanych z bezpieczeństwem IT, bez omówienia pełnego zakresu zaprezentowanych aktów prawnych.

Oceń artykuł

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności