Najnowsze aktualności

Julia Stroińska wśród autorów „Problemy prawa polskiego i obcego w ujęciu historycznym, praktycznym i teoretycznym” Wydawnictwa C.H.Beck Kancelaria B2RLaw rekomendowana w rankingu Legal 500 EMEA 2024 Agnieszka Hajos-Iwańska wśród autorów pierwszego na polskim rynku komentarza do rozporządzenia crowdfundingowego Małgorzata Tomaka dla Rzeczpospolita: Czy można opatentować program komputerowy?

WARSZAWA
T: +48 22 375 40 40
ul. Czerniakowska 87A

KRAKÓW
T: +48 22 375 40 40
al. 29 Listopada 85

KATOWICE
T: +48 22 375 40 40
ul. Uniwersytecka 20

WARSZAWA (Zięba & Partners)
T: +48 501 855 331
Prosta Tower, ul. Prosta 32

KRAKÓW (Zięba & Partners)
T: +48 501 855 331
Lubicz 42

B2RLAW 2020. Wszelkie prawa zastrzeżone.
Polityka prywatności

Najczęściej szukane

EN

Aktualności

Odpowiedź Europy na cyberwojnę. NIS-2 – szansa na wzrost poziomu cyberbezpieczeństwa?

30/09/2022

Ponad dwa miesiące temu, 13 lipca, po tym jak zostało osiągnięte porozumienie polityczne między Parlamentem Europejskim a państwami członkowskimi UE, Komisja Przemysłu, Badań Naukowych, Telekomunikacji i Energii Parlamentu Europejskiego zatwierdziła projekt dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylającą dyrektywę (UE) 2016/1148, czyli tzw. dyrektywę NIS2. Aktualnie czekamy na jej zatwierdzenie przez Parlament Europejski a potem przez Radę, po których zostanie opublikowana w Dzienniku Urzędowym, a 20 dni później dyrektywa wejdzie w życie. Dla państw członkowskich ten moment będzie oznaczać rozpoczęcie terminu 21 miesięcy na implementację dyrektywy w krajowych porządkach prawnych. W Polsce dokona się to przez przyjęcie nowej (lub zmianę już istniejącej) stosownej ustawy w zakresie cyberbezpieczeństwa.

Kliknij tutaj i dowiedz się wiecej o naszej praktyce „Media i Technologia”. Dalsza część artykułu poniżej.

Różnica między NIS oraz NIS2

Główne różnice pomiędzy pierwszą – jeszcze obowiązującą – dyrektywą dotyczącą cyberbezpieczeństwa, tj. network and information security (NIS), a NIS2 dotyczą podmiotów zobowiązanych; środków technicznych i organizacyjnych, które należy wdrożyć oraz zgłaszania incydentów i zagrożeń. We wszystkich wymienionych obszarach w dyrektywie NIS2 zakres w stosunku do zapisów dyrektywy NIS jest poszerzony.

W dyrektywie NIS2 podmioty zobowiązane zostały podzielone na dwie kategorie: podmioty kluczowe, w których znaleźli się między innymi dostawcy usług przetwarzania w chmurze obliczeniowej, dostawcy usług centrów danych, dostawcy usług content delivery network; oraz podmioty istotne, do których zostali zakwalifikowani m.in. dostawcy wyszukiwarek internetowych, dostawcy platform handlowych, dostawcy serwisów społecznościowych i dostawcy usług kurierskich. Na obie kategorie zostały nałożone obowiązki zarówno dotyczące przygotowania i wdrożenia stosownych procedur i środków w zakresie cyberbezpieczeństwa oraz zgłaszania incydentów a także cyberzagrożeń, mogących skutkować powstaniem znaczącego incydentu stosownym organom.

NIS2 wprowadza bardziej rygorystyczne środki nadzorcze dla organów krajowych, a także bardziej rygorystyczne wymogi w zakresie egzekwowania prawa, ma też na celu harmonizację systemów sankcji we wszystkich państwach członkowskich. Odpowiedzialność za zapewnienie cyberbezpieczeństwa będzie także spoczywać na osobach, które zarządzają podmiotami zobowiązanymi przez dyrektywę.

Uregulowanie na poziomie unijnym jest krokiem koniecznym

Uregulowanie na poziomie unijnym tak istotnej kwestii, jaką jest – zwłaszcza dziś – cyberbezpieczeństwo, wydaje się być krokiem koniecznym. Natomiast, jak to zazwyczaj bywa w przypadku regulacji unijnych, powstaje ryzyko, że takie wprowadzone prawo będzie większym obciążeniem (zwłaszcza w zakresie wdrażania dodatkowych środków, tworzenia dokumentacji) dla podlegających mu podmiotów niż faktycznym narzędziem służącym obronie praw, które stanowiły podstawę ratio jego uchwalenia. Takie ryzyko ziściło się choćby w przypadku ogólnego rozporządzenia o ochronie danych (RODO), które na faktyczną ochronę danych osobowych przełożyło się w nieznacznym stopniu, a raczej na produkcję dokumentów i zasypywanie osób, których dane dotyczą, dość często niezrozumiałymi informacjami.

NIS2 chce zwiększyć poziom cyberbezpieczeństwa, posługując się przede wszystkim dwoma narzędziami – koniecznością stworzenia stosownej dokumentacji i procedur przez podmioty podlegające jej przepisom oraz obowiązkiem raportowania (zarówno incydentów jak i cyberzagrożeń) nałożonym na te podmioty. Te narzędzia wykorzystane w odpowiedni sposób mogą przynieść zamierzony cel wprowadzanych regulacji, ale pod pewnymi warunkami.

Czynnik ludzki – najsłabsze ogniwo

Przede wszystkim należy wziąć pod uwagę, że najsłabszym ogniwem w obszarze cyberbezpieczeństwa w każdej organizacji jest człowiek. Maszyny wykonują wszelkie instrukcje, nie dyskutując z nimi, człowiek, podejmując decyzję (np. o tym, czy udostępnić komuś informację, czy też nie), kieruje się wieloma różnymi czynnikami. A decyzja ta nie zawsze jest zgodna z tym, co zostało przewidziane w obowiązujących go procedurach. Ponadto daną osobę łatwo zmanipulować, zwłaszcza w sytuacji, gdy tak wiele informacji o niej jest ogólnodostępnych w przestrzeni internetu.

Aby więc stworzona w ramach wymogów NIS2 dokumentacja danej organizacji zawierająca sposoby postępowania w danych sytuacjach związanych z cyberbezpieczeństwem oraz podjęte w celu zwiększenia poziomu cyberbezpieczeństwa środki były skuteczne i stosowane, osoby, które będą zobowiązane ich przestrzegać, muszą zrozumieć, dlaczego i w jakim celu poszczególne zasady są wprowadzane. Powinny także mieć świadomość konsekwencji niezastosowania się do nich w różnych wypadkach. Niezwykle istotną kwestią jest więc dobre i praktyczne przeszkolenie tych osób, a także zaangażowanie ich w tworzenie zasad, którym następnie miałyby podlegać. Zasady te bowiem muszą odzwierciedlać i wpisywać się możliwie maksymalnie w faktyczne dotychczasowe funkcjonowanie organizacji. Tworzenie sztucznych obowiązków, które nie będą miały szansy zaistnieć w aktualnym stanie organizacji, jest bezcelowe. Oczywiście w zakresie, gdy stan faktyczny organizacji zupełnie nie odpowiada wymogom dyrektywy, konieczne jest dostosowanie status quo do jej przepisów (a nie odwrotnie), natomiast działanie to wymaga rozwagi i czasu, aby w ogóle było to respektowane przez osoby funkcjonujące w ramach organizacji.

Bez wątpienia bardziej skutecznym sposobem będzie wprowadzenie obowiązków, które nakłada NIS2, w sposób ewolucyjny, niż realizacja ich w krótkim czasie pomiędzy uchwaleniem a wejściem w życie polskiej ustawy transponującej NIS2. Biorąc pod uwagę, że celem uchwalenia dyrektywy jest ostatecznie harmonizacja porządków prawnych państw członkowskich, można wyjść z założenia, że krajowe ustawodawstwo nie będzie odbiegać znacząco od jej przepisów i już teraz na ich bazie rozpocząć proces wdrażania nowych zasad.

Najważniejszy cel

Równie istotna będzie praktyka stosowania przepisów dyrektywy przez zobowiązane podmioty. Ta, która wykształci się na początku, będzie następnie powielana. To nakłada dużą odpowiedzialność na największe podmioty podlegające przepisom dyrektywy, na których początkowo skupi się uwaga pozostałych mniejszych graczy w ramach rynków objętych wymogami z zakresu cyberbezpieczeństwa. Wydaje się, że rozważne, racjonalne i świadome wdrożenie obowiązków wynikających z NIS2 ma szansę przynieść spodziewany cel w postaci zwiększenia poziomu cyberbezpieczeństwa w ramach całej Unii Europejskiej, co jest warte podjęcia wysiłku i zaangażowania podmiotów zobowiązanych.

Autor: Paulina Wyrostek, Radca Prawny i Counsel w Kancelarii B2RLaw.

Zobacz więcej aktualności

Tutaj możesz sprawdzić najnowsze
informacje i wiadomości B2RLaw.

04/04/2024

Julia Stroińska wśród autorów „Problemy prawa polskiego i obcego w ujęciu historycznym, praktycznym i teoretycznym” Wydawnictwa C.H.Beck

Już jest XIV część „Problemy prawa polskiego i obcego w ujęciu historycznym, praktycznym i teoretycznym” Wydawnictwo C.H. Beck pod red. Andrzej Bielecki, […]

WIĘCEJ
27/03/2024

Kancelaria B2RLaw rekomendowana w rankingu Legal 500 EMEA 2024

Mamy zaszczyt poinformować, iż w tegorocznej edycji The Legal 500 kancelaria B2RLaw otrzymała rekomendację w 8 kategoriach a 9prawników otrzymało […]

WIĘCEJ
25/03/2024

Agnieszka Hajos-Iwańska wśród autorów pierwszego na polskim rynku komentarza do rozporządzenia crowdfundingowego

Agnieszka Hajos-Iwańska wśród autorów pierwszego na polskim rynku komentarza do rozporządzenia crowdfundingowego (UE Nr 2020/1503) opublikowanego w module Prawo Rynku […]

WIĘCEJ
22/03/2024

Małgorzata Tomaka dla Rzeczpospolita: Czy można opatentować program komputerowy?

Stanowisko organów orzeczniczych o dopuszczalności patentowania programów komputerowych zmieniało się na przestrzeni lat, w kierunku coraz szerszej liberalizacji. + Jakie […]

WIĘCEJ
19/03/2024

Rekordowy wyrok w sprawie odszkodowania i zadośćuczynienia po protestach LGBTQ+

14 marca w Sądzie Okręgowym w Warszawie zapadł rekordowy wyrok w sprawie zadośćuczynienia i odszkodowania za niewątpliwe niesłuszne zatrzymanie naszego […]

WIĘCEJ
18/03/2024

Agnieszka Hajos-Iwańska dla Rzeczpospolita: Ochrona praw osób kontra sztuczna inteligencja

Sztuczna inteligencja wykorzystywana jest obecnie w wielu dziedzinach, usprawniając i ułatwiając różne działania w naszym życiu. Jednak, niesie ona ze […]

WIĘCEJ

Kontakt

Nie wiesz z kim się skontaktować? Pomożemy Ci znaleźć odpowiedniego prawnika.

[email protected]
+48 22 375 40 40

This site uses cookies to improve your experience More information.

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close