CYBERBEZPIECZEŃSTWO

A A A

Finalizacja prac nad dyrektywą NIS2

Rada Unii Europejskiej przyjęła 28.11.2022 r. nową dyrektywę w sprawie bezpieczeństwa cybernetycznego (Dyrektywa NIS2), która ma zastąpić obecnie obowiązującą dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6.7.2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa NIS).

Projektodawcy wskazali w niej, że liczba, skala, zaawansowanie, częstotliwość oraz skutki incydentów są coraz większe i stanowią poważne zagrożenie dla funkcjonowania sieci i systemów informatycznych. Incydenty mogą utrudniać prowadzenie działalności gospodarczej na rynku wewnętrznym, powodować straty finansowe, podważać zaufanie użytkowników oraz wyrządzać poważne szkody gospodarce i społeczeństwu Unii. Gotowość i skuteczność w zakresie bezpieczeństwa cybernetycznego są zatem obecnie bardziej niż kiedykolwiek niezbędne dla właściwego funkcjonowania rynku wewnętrznego.

Dyrektywa NIS2 istotnie rozszerza zakres podmiotów i sektorów objętych regulacjami dotyczącymi cyberbezpieczeństwa. NIS2 wprowadza nowe pojęcia, jak „sytuacja bliska awarii”, przez którą należy rozumieć zdarzenie, które mogło zagrozić dostępności, autentyczności, integralności lub poufności przechowywanych, przesyłanych lub przetwarzanych danych lub usług oferowanych przez systemy sieciowe i informacyjne lub dostępnych za ich pośrednictwem, ale któremu udało się zapobiec lub które nie miało miejsca; czy „incydent bezpieczeństwa cybernetycznego na dużą skalę”, który powoduje poziom zakłóceń przekraczający zdolność państwa członkowskiego do zareagowania na niego lub który ma znaczący wpływ na co najmniej dwa państwa członkowskie; bądź „istotne zagrożenie cybernetyczne”, które może mieć poważny wpływ na sieć i systemy informatyczne podmiotu lub użytkowników usług podmiotu, powodując znaczne szkody materialne lub niematerialne. Ponadto zgodnie z definicją „ryzyka” należy przez nie rozumieć możliwość straty lub zakłócenia spowodowanego przez incydent i ma być wyrażone jako połączenie wielkości takiej straty lub zakłócenia oraz prawdopodobieństwa wystąpienia incydentu. NIS2 określa także obowiązki i kompetencje CSIRT.


Zakończenie prac nad rozporządzeniem DORA

Zostało przyjęte rozporządzenie Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego oraz zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014 (rozporządzenie DORA).

Celem rozporządzenia DORA jest ustalenie jednolitych wymagań dla bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych, które są niezbędne do osiągnięcia wysokiego wspólnego poziomu operacyjnej odporności cyfrowej. Wymogi dotyczą m.in. zarządzania ryzykiem związanym z wykorzystaniem technologii informacyjno-komunikacyjnych, zgłaszania właściwym organom poważnych incydentów operacyjnych lub incydentów bezpieczeństwa związanych z płatnościami, testowania operacyjnej odporności cyfrowej. Wymagania odnoszą się również do umów zawieranych z zewnętrznymi dostawcami i nadzoru nad kluczowymi zewnętrznymi dostawcami. Rozporządzenie DORA ma zastosowanie nie tylko do „tradycyjnych” instytucji finansowych (jak np. instytucje kredytowe czy płatnicze). Obowiązki wynikające z rozporządzenia DORA obejmują również dostawców usług w zakresie kryptoaktywów, emitentów i oferentów kryptoaktywów, emitentów i oferentów tokenów powiązanych z aktywami oraz emitentów znaczących tokenów powiązanych z aktywami.


Trwają prace nad Prawem komunikacji elektronicznej

W listopadzie 2022 r. Rada Ministrów przyjęła projekt ustawy – Prawo komunikacji elektronicznej.

Nowa ustawa ma za zadanie scalić w jednym akcie prawnym regulacje, zarówno wynikające bezpośrednio z Europejskiego Kodeksu Łączności Elektronicznej, jak i z przepisów krajowych. Projektowana ustawa obejmuje całokształt regulacji z zakresu komunikacji elektronicznej, w tym niezbędne definicje; zasady wykonywania działalności gospodarczej w tym obszarze, w tym kwestie wpisu do odpowiednich rejestrów, obowiązków informacyjnych i sprawozdawczych, opłat, zasad prowadzenia konsultacji i konsolidacji, bezpieczeństwa sieci i usług oraz obowiązków na rzecz bezpieczeństwa państwa; gospodarowanie częstotliwościami i numeracją; dostęp, w tym dostęp symetryczny, analizy rynku, obowiązki regulacyjne, kalkulację kosztów i rachunkowość regulacyjną, urządzenia radiowe; usługi, w tym prawa użytkowników końcowych, usługę powszechną, kwestie odpowiedzialności za niewykonanie lub nienależyte wykonanie usługi komunikacji elektronicznej, tajemnicę komunikacji elektronicznej, cyfrowe transmisje telewizyjne i radiofoniczne; kwestie właściwych organów i postępowania przed Prezesem UKE oraz przepisy karne i kary pieniężne. Istotną kwestią jest wprowadzenie pojęcia „przedsiębiorca komunikacji elektronicznej”, którego działalność ma zostać objęta regulacją. W praktyce dotyczy to usług jak Skype lub inni dostawcy usług komunikacji w Internecie, które umożliwiają bezpośrednią wymianę informacji między skończoną liczbą osób.


Projektowane zmiany w zakresie cyberbezpieczeństwa

Trwają prace nad projektem ustawy zmieniającej ustawę o krajowym systemie cyberbezpieczeństwa. Zgodnie z przyjętym kalendarzem, Rada Ministrów planuje przyjąć projekt w I lub II kwartale 2023 r. Projekt zakłada m.in. zmiany modelu współpracy w ramach krajowego systemu cyberbezpieczeństwa. Mają zostać utworzone CSIRT sektorowe, SOC wewnętrzne i SOC zewnętrzne. Do krajowego systemu cyberbezpieczeństwa zostaną dodani przedsiębiorcy komunikacji elektronicznej. Przewidziano możliwość dołączenia podmiotów wyspecjalizowanych do krajowego systemu cyberbezpieczeństwa. Ponadto projekt zakłada wprowadzenie Krajowego Systemu Certyfikacji Cyberbezpieczeństwa, jak również procedury weryfikacji pod kątem zagrożenia, jakie może wywołać wykorzystywanie oferowanego sprzętu lub oprogramowania w kluczowych podmiotach gospodarki.


Plany zwiększenia bezpieczeństwa małoletnich w Internecie

Trwają prace nad projektem ustawy o ochronie małoletnich przed dostępem do treści nieodpowiednich w Internecie. Zgodnie z założeniami ustawa ma na celu stworzenie możliwości abonentom ograniczenia przez dostawców Internetu dostępu do treści pornograficznych w Internecie, a także reguluje obowiązki informacyjne dostawców Internetu w zakresie ochrony abonentów i osób małoletnich przed dostępem do takich treści. Celem jest również zwiększenie sprawowania przez rodziców kontroli dostępu osób małoletnich do treści pornograficznych za pośrednictwem dostawców publicznie dostępnych usług telekomunikacyjnych świadczących usługę dostępu do Internetu.

Ustawa ma m.in. określać obowiązki dostawców publicznie dostępnych usług telekomunikacyjnych świadczących usługę dostępu do Internetu związane z ograniczaniem abonentom dostępu do treści pornograficznych w Internecie. Zgodnie z treścią projektowanego art. 4 ust. 1, usługa ograniczenia dostępu do treści pornograficznych ma polegać na skutecznym i łatwym dla abonenta blokowaniu przez dostawców publicznie dostępnych usług telekomunikacyjnych świadczących usługę dostępu do Internetu, dostępu do treści pornograficznych w Internecie. Usługa ma być świadczona, co do zasady, na żądanie abonenta.


Przygotowania do utworzenia Krajowego Centrum Przetwarzania Danych

Prowadzone są prace nad projektem ustawy o przygotowaniu i realizacji inwestycji w zakresie Krajowego Centrum Przetwarzania Danych.

Projekt dotyczy przygotowania i realizacji inwestycji, jak również utrzymania Krajowego Centrum Przetwarzania Danych, przez co należy rozumieć sieć ośrodków obliczeniowych połączonych łączami światłowodowymi wraz z infrastrukturą techniczną niezbędną do ich funkcjonowania, umożliwiających przetwarzanie danych w systemach teleinformatycznych, w szczególności ich zbieranie, przeglądanie, utrwalanie, przechowywanie, organizowanie, opracowywanie, zmienianie, przesyłanie, udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, w sposób zabezpieczający ciągłość przepływu danych na potrzeby systemów teleinformatycznych wykorzystywanych dla potrzeb w administracji publicznej, dostawców kluczowych usług publicznych oraz przedsiębiorstw.

Projekt określa przesłanki wykluczenia wykonawcy w przypadku, gdy wykonawca np. naruszył zobowiązania dotyczące bezpieczeństwa informacji, urzędujący członek jego organu zarządzającego lub nadzorczego, wspólnik spółki w spółce jawnej lub partnerskiej albo komplementariusz w spółce komandytowej lub komandytowo-akcyjnej lub prokurent naruszył zobowiązania dotyczące bezpieczeństwa informacji.


Zwalczanie nadużyć w komunikacji elektronicznej – prace nad projektem

Trwają prace nad projektem ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Projekt przewiduje m.in. prawa i obowiązki przedsiębiorców telekomunikacyjnych związane z zapobieganiem i zwalczaniem nadużyć w komunikacji elektronicznej, kompetencje Prezesa Urzędu Komunikacji Elektronicznej, zasady wnoszenia sprzeciwu przez nadawcę krótkiej wiadomości tekstowej (SMS), wobec uznania treści takiej wiadomości za wyczerpującą znamiona nadużycia w komunikacji elektronicznej. Na zasadach określonych w ustawie przedsiębiorca telekomunikacyjny będzie obowiązany do blokowania krótkich wiadomości tekstowych (SMS) zawierających treści zawarte we wzorcu wiadomości, za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację krótkich wiadomości tekstowych (SMS).


[oprac. A. Piechocki, K. Gorzkowska]


Ocena artykułu:
Oceniono 0 razy
Oceniłeś już ten artykuł.
Artykuł został oceniony.
Podziel się ze znajomymi
Artykuł:
CYBERBEZPIECZEŃSTWO
Do:
Od:
Wiadomość:
Zaloguj się lub zarejestruj, aby dodać komentarz.
 
Wyrok V CSK 283/10
Obliczanie terminu przedawnienia roszczenia o zachowek
Zamów
 

Prenumerata

Moduł tematyczny