Wraz z upowszechnieniem komputerów i przekazaniem Internetu do cywilnego użytku, w części krajów zaczęto zwracać uwagę na kwestie bezpieczeństwa użytkowników oraz zagrożenia wynikające z wykorzystania możliwości jakie daje dostęp do informacji na niespotykaną dotychczas skalę oraz powszechna komunikacja każdego z każdym. Jak poważne były to zagrożenia pokazały m.in. zdarzenia z 11 września 2001 roku oraz łatwość z jaką Snowden (a potem jego naśladowcy) wszedł w posiadanie ściśle tajnych informacji. Pokazało to również jak bardzo niepewne jest nasze prawo do prywatności i poufności komunikacji.
Zdarzenia te wywarły duży wpływ na zwiększenie powszechnej świadomości jak ważne jest cyberbezpieczeństwo. Liczne frameworks opracowywane przez organizacji prywatne i publiczne, takie jak m.in. NIST, COBIT, ISO serii 27xxx, PCI-DSS, SOC2, CIS Controls pomagają w codziennej pracy specjalistów od cybersecurity. Problemem wiele lat temu zajęły się również unijne instytucje. W 2016 roku na podstawie art. 114 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) uchwalona została dyrektywa PE i Rady 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii zwana w skrócie NIS. Jej celem było zbudowanie zdolności w zakresie cyberbezpieczeństwa w całej Unii, łagodzenie zagrożeń dla sieci i systemów informatycznych wykorzystywanych do celów świadczenia usług kluczowych w kluczowych sektorach oraz zapewnienie ciągłości takich usług w przypadku wystąpienia incydentów, a tym samym przyczynienie się do bezpieczeństwa Unii oraz do sprawnego funkcjonowania jej gospodarki i społeczeństwa. Powołana została ENISA - Agencja Unii Europejskiej ds. Cyberbezpieczeństwa.
Jednak postęp technologiczny powoduje – co jest naturalne - iż wiele zagrożeń pojawia się znacznie szybciej niż pojawiają się regulacje mające pomagać w zapobieganiu i walce z tymi zagrożeniami. By lepiej reagować na cyberzagrożenia a tym samym zwiększyć szanse na właściwe zapobieganie zagrożeniom, zabezpieczanie sieci i systemów informatycznych oraz szybsze i lepsze reagowanie na incydenty cyberbezpieczeństwa, w dniu 10 listopada 2022 roku została przyjęta przez Parlament Europejski a w dniu 16 stycznia 2023 roku weszła w życie dyrektywa NIS2. Państwa UE mają czas na implementację przepisów dyrektywy do 18 października 2024 roku. Obowiązki i zadania określone w tych przepisach odnoszą się zarówno do państw członkowskich UE jak i do przedsiębiorców prywatnych i publicznych oraz podmiotów administracji publicznej.
Postanowienia dyrektywy NIS2 poza uszczegółowieniem i rozszerzeniem zadań i obowiązków sprecyzowanych w dyrektywie NIS, wprowadzają szereg zmian z których dwie mają zasadnicze znaczenie:
- regulacje NIS2 rozszerzają w istotny sposób zakres podmiotowy o nowe sektory, wcześniej nie objęte przez przepisy dyrektywy NIS, jednocześnie zmieniając sposób i tryb kwalifikacji podmiotów zaliczanych do najistotniejszych z punktu widzenia cyberbezpieczeństwa;
- przepisy dyrektywy określają wprost warunki nakładania administracyjnych kar pieniężnych na podmioty kluczowe i ważne oraz ustalają ich maksymalny pułap (w dyrektywie NIS w art.21 określono jedynie wskazanie, iż należy ustanowić przepisy dotyczące sankcji mających zastosowanie w przypadku naruszeń krajowych przepisów przyjętych na podstawie dyrektywy NIS).
Obowiązująca w Polsce ustawa o krajowym systemie cyberbezpieczeństwa, która weszła w życie w sierpniu 2018 r., nie doczekała się istotnej nowelizacji (chociażby w zakresie uchwalenia niezbędnych przepisów wynikających z rozporządzenia PE i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013). Projekt rządowy UD68 – projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, po ponad 2,5 roku prac rządowych został skierowany do prac parlamentarnych jednak został wycofany z Sejmu na początku września 2023. Polska ma teraz niecały rok by opracować projekt stanowiący zarówno implementację dyrektywy NIS2 jak i dostosowanie krajowych przepisów do wymagań aktu o cyberbezpieczeństwie.
Instytut Prawa Nowych Technologii i Ochrony Danych Osobowych
Misją Instytutu Prawa Nowych Technologii jest podejmowanie prac naukowo-badawczych na rzecz poprawy jakości i transparentności tworzenia oraz stosowania prawa w zakresie nowych technologii.
ipnt.lazarski.pl