Dyrektywa NIS 2
Zacznijmy od Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, Chodzi o tzw. dyrektywę NIS 2. W prawie unijnym obowiązuje ona od ponad roku (weszła w życie 16 stycznia 2023 roku). W Polsce transpozycja ma nastąpić do 17 października br.
Zmiany, które niesie za sobą dyrektywa NIS 2 dotyczą organizacji publicznych i państwowych, które są infrastrukturą krytyczną, znajdują się w grupie tzw. kluczowych i ważnych sektorów (jest ich 18: energia, zdrowie, transport, bankowość i finanse, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT w B2B, kosmos, administracja publiczna, usługi pocztowe i kurierskie, gospodarka odpadami, produkty chemiczne, żywność, przemysł przetwórczy/produkcyjny, usługi cyfrowe, badania).
NIS 2 kładzie nacisk na zarządzanie cyberryzykiem w ramach zarządzania ryzykiem korporacyjnym. Nie bez powodu, ponieważ cyberataki są obecnie największym ryzykiem, na jakie narażone są przedsiębiorstwa. Zapewnienie ciągłości działania jest szczególnie ważne w infrastrukturze krytycznej. Dlatego NIS2 nakłada na CEO obowiązki: muszą oni wspierać środki zarządzania cyberryzykiem i monitorować ich wdrażanie. CEO, którzy nie wypełniają tych obowiązków w zakresie zarządzania cyberryzykiem, ponoszą osobistą odpowiedzialność za wynikające z tego ryzyko i/lub szkody.
Menedżerowie ds. bezpieczeństwa IT stoją przed zadaniem wdrożenia wymagań dyrektywy NIS 2. Artykuł 21 dyrektywy określa minimalne wymogi dotyczące cyberbezpieczeństwa. Oprócz zarządzania cyberryzykiem lista ta obejmuje również zarządzanie kopiami zapasowymi, zarządzanie incydentami, zasady i procedury dotyczące korzystania z kryptografii, a także na przykład kontrolę dostępu i zarządzanie tożsamością. W zakresie zarządzania cyberryzykiem CISO / menedżerowie ds. bezpieczeństwa IT muszą być w stanie w każdej chwili jasno poinformować kierownictwo o aktualnym stanie ryzyka, najważniejszych zagrożeniach oraz środkach, jakie powinna podjąć organizacja.
Dyrektywa CER
Kolejne prawo unijne, które ma znaleźć odzwierciedlenie w prawie polskim do 17 października 2024 dotyczy Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych, która uchyla dyrektywę Rady 2008/114/WE (dyrektywa CER), tzw. dyrektywa o odporności podmiotów krytycznych.
Wraz z dyrektywą NIS 2 tworzą one komplementarne, zharmonizowane ramy prawne w zakresie zapewniania ciągłości usług kluczowych dla państwa oraz odporności (fizycznej i w cyberprzestrzeni) podmiotów je świadczących. Dyrektywa CER zastępuje dyrektywę w sprawie europejskiej infrastruktury krytycznej z 2008 r.
Nowe przepisy wzmocnią odporność infrastruktury krytycznej na szereg zagrożeń, w tym na zagrożenia naturalne, ataki terrorystyczne, zagrożenia wewnętrzne lub sabotaż. Obejmie ona 11 sektorów: energia, transport, bankowość, infrastruktura rynku finansowego, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna i żywność. Państwa członkowskie UE, w tym Polska, muszą w związku z nową dyrektywą opracować i przyjąć krajową strategię i przeprowadzać regularne oceny ryzyka w celu zidentyfikowania podmiotów uznawanych za kluczowe lub niezbędne dla społeczeństwa i gospodarki.
Rozporządzenie o cyberodporności
W 2024 roku, a konkretnie w pierwszej połowie br., Polska będzie musiała się także zmierzyć z transpozycją rozporządzenia Parlamentu Europejskiego w sprawie horyzontalnych wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi, które zmienia rozporządzenie (UE) 2019/1020 (Cyber Resilience Act), tzw. Rozporządzenie o cyberodporności.
Rolą rozporządzenia jest zagwarantowanie zharmonizowanych przepisów przy wprowadzaniu na rynek produktów lub oprogramowania z komponentem cyfrowym. Ponadto prawo ma za zadanie wyznaczyć ramy wymogów w zakresie cyberbezpieczeństwa regulujących planowanie, projektowanie, rozwój i konserwację takich produktów, przy czym obowiązki te muszą być spełnione na każdym etapie łańcucha wartości. Cyber Resilience Act nakłada także obowiązek zapewnienia opieki nad całym cyklem życia takich produktów.
Po wejściu w życie rozporządzenia oprogramowanie i produkty podłączone do internetu będą opatrzone oznakowaniem CE wskazującym, że spełniają nowe normy. Wymaganie od producentów i detalistów priorytetowego traktowania cyberbezpieczeństwa, klienci i przedsiębiorstwa byłyby uprawnione do dokonywania bardziej świadomych wyborów, mając pewność co do poświadczeń cyberbezpieczeństwa produktów oznaczonych znakiem CE.
Akt o Usługach Cyfrowych (AUC)
Gdy mowa o prawie nowych technologii, należy wspomnieć także o akcie Usług Cyfrowych (AUC), który obowiązuje od 17 lutego 2024 roku (od 25 sierpnia 2023 r. AUC ma zastosowanie w stosunku do tzw. dostawców bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych, a więc podmiotów, które których średnia liczba aktywnych użytkowników miesięcznie wynosi co najmniej 45 milionów i których statut został zatwierdzony decyzją Komisji Europejskiej).
Akt o Usługach Cyfrowych koncentruje się na tworzeniu bezpieczniejszego środowiska internetowego dla użytkowników i firm cyfrowych oraz na ochronie praw podstawowych w przestrzeni cyfrowej. Wprowadza również nowe przepisy dotyczące: zwalczania nielegalnych treści w internecie, w tym nielegalnych towarów, usług i informacji, z pełnym poszanowaniem Karty praw podstawowych, przeciwdziałania zagrożeniom społecznym w internecie oraz identyfikowalności przedsiębiorców na internetowych platformach handlowych.
Rozporządzenia UE w sprawie przejrzystości i targetowania reklamy politycznej
W pierwszym półroczu 2024 roku możemy spodziewać się także uchwalenia rozporządzenia w sprawie reklamy politycznej. Dokument ten powstał m.in. z obawy przed zagrożeniami, którymi są manipulacja informacjami i zagraniczna ingerencja w wybory. Dzięki niemu obywatelom ma być łatwiej rozpoznać reklamę polityczną, jej autorów oraz reklamę ukierunkowaną, a tym samym dokonywać świadomych wyborów.
Według wstępnego porozumienia reklama polityczna to przygotowywanie, zamieszczanie, promowanie, publikacja, dostarczanie lub rozpowszechnianie komunikatów: przez podmioty polityczne, w ich imieniu lub na ich rzecz, chyba że komunikaty te mają charakter czysto prywatny lub czysto handlowy lub które mogą i w założeniu mają mieć wpływ na zachowania wyborcze lub też wynik wyborów, referendum, procesu ustawodawczego czy procesu regulacyjnego na szczeblu unijnym, krajowym, regionalnym lub lokalnym.
Nowe rozporządzenie będzie dotyczyć reklamy politycznej, która zwykle jest świadczona za wynagrodzeniem, ale także reklamy politycznej w formie działań wewnętrznych, takich jak przygotowywanie reklam politycznych wewnątrz partii politycznych i w ramach politycznych kampanii reklamowych. Równocześnie przepisy nie będą dotyczyć opinii politycznych i innych treści podlegających odpowiedzialności redakcyjnej ani opinii wyrażanych we własnym imieniu.
Akt w sprawie sztucznej inteligencji
W pierwszym kwartale 2024 roku ma wejść w życie także tzw. akt w sprawie sztucznej inteligencji czyli Rozporządzenie Parlamentu Europejskiego i Rady ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji. Nowe przepisy mają zakazywać używania AI w określonych sytuacjach.
Chodzi tu m.in. o kwestie, które zagrażają prawom obywateli, w tym systemów kategoryzacji biometrycznej w oparciu o wrażliwe cechy, pobierania wizerunków twarzy z internetu lub nagrań z telewizji przemysłowej do baz danych. Zakazuje się także systemów rozpoznawania emocji w miejscu pracy i szkołach, systemów punktacji społecznej. Także policja i inne organy ścigania nie będą mogły korzystać z wymienionych systemów do profilowania potencjalnych przestępców.
Zakazane będzie także zastosowanie AI wysokiego ryzyka w infrastrukturze krytycznej, kształceniu i szkoleniu zawodowym, zatrudnieniu, usługach podstawowych (np. opiece zdrowotnej, bankowości), niektórych systemach egzekwowania prawa, zarządzaniu migracjami i granicami, wymiaru sprawiedliwości i procesach demokratycznych (np. wpływanie na wybory). Akt w sprawie sztucznej inteligencji narzucać ma także wymóg oznaczania treści kreatywnych (tekst, audio, obraz, wideo) jako treści stworzone przez AI. Brak takiego oznaczenia ma skutkować karami, których wysokość będzie ustalana każdorazowo.
Dyrektywa w sprawie odpowiedzialności za sztuczną inteligencję
W kontekście przepisów regulujących AI należy wspomnieć jeszcze o jednym akcie prawnym, a mianowicie o dyrektywie w sprawie odpowiedzialności za sztuczną inteligencję. Z uwagi na liczne rozbieżności, eksperci przewidują, że nie zostanie ona uchwalona w trakcie obecnej kadencji unijnego parlamentu, niemniej jednak warto o niej wspomnieć.
Celem dyrektywy ws. odpowiedzialności AI jest ustanowienie jednolitych przepisów dotyczących dostępu do informacji i zmniejszenia ciężaru dowodu w odniesieniu do szkód spowodowanych przez systemy AI. Ponadto UE chce szerszej ochrony poszkodowanych (zarówno osób fizycznych, jak i przedsiębiorstw) przez działalność AI oraz wsparcia właściwego funkcjonowania rynku wewnętrznego poprzez harmonizację niektórych przepisów krajowych dotyczących pozaumownej odpowiedzialności na zasadzie winy.
Przepisy wspólne ustanawiane przez dyrektywę ws. odpowiedzialności AI mają dotyczyć ujawniania dowodów dotyczących systemów AI wysokiego ryzyka, aby umożliwić powodowi uzasadnienie pozaumownego cywilnoprawnego roszczenia odszkodowawczego opartego na zasadzie winy. Drugą sferą jest kwestia ciężaru dowodu w przypadku pozaumownych cywilnoprawnych roszczeń odszkodowawczych opartych na zasadzie winy wnoszonych do sądów krajowych z tytułu szkód spowodowanych przez system AI.
