Co nowego w prawie w 2025 r.? cz. V – cyberbezpieczeństwo, compliance, dane
Temat szeroko rozumianego compliance wysuwa się ostatnimi laty dość mocno na pierwszy plan, coraz częściej podkreśla się także istotność dbania o cyberbezpieczeństwo – także w przypadku świadczenia usług płatniczych. Poniżej zamieszczamy kilka najważniejszych informacji dot. aktów prawnych dot. ww. dziedzin.
NIS2
Unia Europejska wprowadziła Dyrektywę NIS2, która zastępuje Dyrektywę NIS1, rozszerzając zakres podmiotów objętych regulacjami i ustanawiając nowe obowiązki w obszarze cyberbezpieczeństwa. Dyrektywa, obowiązująca od 18 października 2024 r., wprowadza jednolite standardy bezpieczeństwa informatycznego w całej UE, uwzględniając podział na podmioty kluczowe i ważne. Nowe przepisy obejmują szeroki wachlarz sektorów, w tym energię, transport, bankowość, ochronę zdrowia, gospodarkę odpadami, produkcję żywności i technologie cyfrowe. Rozszerzono je także na podmioty mniejsze niż średnie przedsiębiorstwa, np. dostawców usług DNS czy podpisów elektronicznych.
Dyrektywa nakłada obowiązki zarządzania ryzykiem cybernetycznym, raportowania incydentów w ciągu 24 godzin oraz implementacji odpowiednich środków technicznych i organizacyjnych. W Polsce przepisy te zostaną wdrożone poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, planowaną na 2025 r., która dodatkowo modyfikuje katalog podmiotów objętych regulacją i wprowadza lokalne zmiany, takie jak wydłużenie czasu na zgłoszenie wczesnego ostrzeżenia. Nowe regulacje wymagają od przedsiębiorstw przeprowadzenia audytów systemów bezpieczeństwa i wdrożenia ulepszonych mechanizmów ochrony.
DORA
Rozporządzenie DORA (Digital Operational Resilience Act), obowiązujące od 17 stycznia 2025 roku, ma na celu zwiększenie odporności operacyjnej podmiotów finansowych na incydenty cyfrowe. Regulacja obejmuje m.in. banki, instytucje płatnicze, organizacje ubezpieczeniowe, dostawców usług ICT oraz firmy związane z kryptoaktywami. DORA wprowadza jednolite wymogi na terenie UE w pięciu kluczowych obszarach: zarządzanie ryzykiem ICT, raportowanie incydentów, testowanie odporności systemów, nadzór nad dostawcami usług ICT oraz wymianę informacji o zagrożeniach.
Przepisy wymagają od instytucji wdrożenia procedur zarządzania ryzykiem, monitorowania incydentów oraz regularnego testowania systemów. Konieczne jest także określenie zasad współpracy z dostawcami i zapewnienie szkoleń pracownikom. Za nieprzestrzeganie DORA grożą kary finansowe, m.in. do 1% dziennego obrotu dla dostawców ICT. Rozporządzenie jest częścią szerszej strategii UE na rzecz zwiększenia bezpieczeństwa cyfrowego sektora finansowego w dobie rosnącej liczby cyberzagrożeń.
Akt w sprawie danych
Akt w sprawie danych, przyjęty po dwóch latach prac Parlamentu i Rady UE, wejdzie w życie 11 stycznia 2024 r., a jego przepisy zaczną obowiązywać od 12 września 2025 r. Ma on na celu sprawiedliwy dostęp do danych i ich wymianę między uczestnikami rynku w gospodarce cyfrowej, w tym przedsiębiorstwami, konsumentami i administracją publiczną. Użytkownicy urządzeń podłączonych do Internetu, takich jak inteligentne sprzęty domowe, uzyskają dostęp do danych generowanych przez te urządzenia oraz możliwość ich udostępniania innym podmiotom, co dotąd było ograniczone przez producentów. Nowe przepisy wymuszą projektowanie inteligentnych urządzeń tak, aby dane były łatwo i bezpiecznie dostępne, ale będą obowiązywać produkty wprowadzone na rynek dopiero od 12 września 2026 r.
Dla sektora publicznego akt przewiduje dostęp do danych prywatnych w sytuacjach nadzwyczajnych, jak pandemia czy katastrofy. Wprowadzono także mechanizmy ułatwiające zmianę dostawcy usług chmurowych, eliminując opłaty za transfer danych od 12 stycznia 2027 r. Dodatkowo, rozporządzenie reguluje interoperacyjność usług chmurowych, wyłącza stosowanie prawa sui generis do baz danych pochodzących z urządzeń podłączonych do Internetu oraz zabezpiecza dane nieosobowe przed bezprawnym dostępem z państw spoza UE.
Ciąg dalszy nastąpi…
Agnieszka Marciniak – radca prawny
Kamil Stępowski – aplikant radcowski