Rola nowych aktów prawnych
- XXI wiek to przede wszystkim przetwarzanie informacji na masową skalę, a z wyzwaniami i szansami z tym związanymi mierzy się każda organizacja na świecie każdego dnia. W dobie pędzącego rozwoju technologii każda nawet najprostsza czynności doczekała się wsparcia ze strony producentów systemów IT czy to działy HR, księgowość, marketing, sprzedaż czy nawet branża budowlana i spożywcza wszędzie mamy do czynienia z informatyzacją — skomentował Mariusz Stasiak vel Stasek, Inspektor Ochrony Danych, koordynator ds. cyberbezpieczeństwa, właściciel firmy doradczej MSvS.
Jak zauważył nasz ekspert, regulacje prawne mają przede wszystkim na celu „zmotywować” podmioty prywatne, jak i publiczne do zwiększania poziomu bezpieczeństwa przetwarzanych informacji oraz uregulować sposób ich przetwarzania.
- Jak wiemy najlepszym motywatorem jest groźba kar finansowych. Unijne przepisy mają to do siebie, że pisane są w sposób dość otwarty, co pozwala podmiotom zobowiązanym do wdrażania rozwiązań technicznych dostosowanych do ich organizacji według koncepcji zarządzania opartego na ryzyku — zaznaczył Mariusz Stasiak vel Stasek.
Zauważył, że jak każde prawne regulacje, budzą one szanse jak i zagrożenia. - Największą szansą jest niewątpliwie zwiększenie poziomu bezpieczeństwa informacji przetwarzanych w systemach informatycznych, natomiast największym zagrożeniem w mojej ocenie jest przeregulowane podejście wobec mikro i małych podmiotów, gdzie cyberbezpieczeństwo może okazać się tylko stertą niepotrzebnych dokumentów całkowicie oderwanych od rzeczywistości dane organizacji — skomentował, dodając, że niewątpliwie rok 2025 będzie rokiem pełnym ciekawych wyzwań dla rynku cyberbezpieczeństwa.
Sprawdźmy więc, co czeka cyberbezpieczeństwo pod kątem prawnym w 2025 roku.
Co UE zmieni w cyberbezpieczeństwie w biznesie i w administracji?
Unia Europejska nie zwalnia tempa w dostosowywaniu przepisów do rosnących zagrożeń cyfrowych. W 2025 roku wejdą w życie kolejne regulacje, które mają zrewolucjonizować podejście do cyberbezpieczeństwa. To odważny krok, który wymusza na firmach większą odpowiedzialność za zarządzanie ryzykiem i ochronę danych.
Niektóre przepisy, jak NIS2 czy DORA, były oczekiwane, ale skala zmian zaskakuje. Regulacje obejmują niemal wszystkie sektory, od finansowego po technologie AI.
Dyrektywa NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555)
Ma na celu podniesienie poziomu cyberbezpieczeństwa w całej UE, zastępując wcześniejszą dyrektywę NIS. Państwa członkowskie miały czas do 17 października 2024 roku na jej transpozycję do prawa krajowego, a pełne wdrożenie przewiduje się na 2025 rok.
Rozporządzenie DORA (Digital Operational Resilience Act)
Skierowane do sektora finansowego, ustanawia jednolite wymagania dotyczące zarządzania ryzykiem ICT, raportowania incydentów oraz testowania odporności operacyjnej. Weszło w życie w styczniu 2023 roku, a pełne zastosowanie znajdzie od 17 stycznia 2025 roku.
Akt o cyberodporności (Cyber Resilience Act)
Wprowadza obowiązkowe wymogi bezpieczeństwa dla produktów cyfrowych. Przyjęty przez Radę UE 10 października 2024 roku, zobowiązuje producentów do zapewnienia bezpieczeństwa produktów z elementami cyfrowymi przez cały ich cykl życia oraz wymaga zgłaszania incydentów cyberbezpieczeństwa w ciągu 24 godzin od ich wykrycia. Producenci będą musieli wprowadzić do obrotu w Unii produkty zgodne z wymogami do 2027 roku.
Akt o sztucznej inteligencji (AI Act)
Wprowadza kompleksowe regulacje dotyczące rozwoju i wdrażania systemów AI. Klasyfikuje systemy AI według poziomu ryzyka i nakłada obowiązek wdrożenia odpowiednich zabezpieczeń technologicznych, zwłaszcza w przypadku systemów wysokiego ryzyka, takich jak te stosowane w infrastrukturze krytycznej.
Co prawda AI Act wchodzi w życie w 2026, to 2025 rok będzie ważny z kilku powodów, ponieważ w tym czasie wchodzą w życie pierwsze przepisy, m.in. dotyczące zakazów niedopuszczalnych zastosowań AI (od lutego 2025 r.) oraz struktury zarządzania i obowiązków dostawców modeli AI ogólnego przeznaczenia (od sierpnia 2025 r.). Państwa członkowskie muszą również ustanowić punkty kontaktowe, przedstawić sprawozdania dotyczące zasobów organów nadzoru oraz przygotować kodeksy praktyk do maja 2025 r.
Rozporządzenie w sprawie cyberbezpieczeństwa instytucji, organów i agencji UE
Wprowadza wspólne ramy cyberbezpieczeństwa dla wszystkich instytucji, organów, urzędów i agencji UE, zwiększając ich odporność i zdolność reagowania na incydenty.
Rozporządzenie wymaga ustanowienia ram zarządzania ryzykiem cybernetycznym, zgłaszania incydentów, wymiany informacji, powołania Rady ds. Cyberbezpieczeństwa oraz wzmocnienia uprawnień CERT-UE, a także monitorowania realizacji przepisów. Przyjęte przez Radę UE 18 listopada 2022 roku. Wchodzi w życie 8 kwietnia 2025.
Unijny akt o cyberbezpieczeństwie (Rozporządzenie (UE) 2019/881)
Ustanawia ramy certyfikacji cyberbezpieczeństwa dla produktów, usług i procesów ICT oraz wzmacnia rolę Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Rozporządzenie wykonawcze EUCC będzie miało zastosowanie od dnia 27 lutego 2025 roku.
Dyrektywa w sprawie odporności podmiotów krytycznych (CER Directive)
Ma na celu zwiększenie odporności podmiotów krytycznych na zagrożenia, w tym cyberzagrożenia, w sektorach takich jak energetyka, transport, zdrowie czy finanse. Zobowiązuje je do przeprowadzania ocen ryzyka i wdrażania środków ochronnych, zapewniających ciągłość działania w obliczu zagrożeń. Wprowadzona razem z NIS2. Nadal czeka na implementację do prawa krajowego — ta zapowiadana jest na pierwszą połowę 2025 roku.
Rosnące znaczenie regulacji prawnych
Aspekty prawne będą odgrywać istotną rolę w cyberbezpieczeństwie w nadchodzącym roku. Regulacje te będą szczególnie istotne dla sektora finansowego, który do połowy stycznia 2025 roku musi dostosować się do wymagań określonych w rozporządzeniu DORA.
Wyzwań jest wiele, a czasu na dostosowanie procedur coraz mniej, co wymaga intensywnych działań i skutecznych rozwiązań wspierających zgodność z przepisami.
