Nadciąga silna fala regulacji cyberbezpieczeństwa
„Unijny prawodawca chce, aby podmioty, które tworzą i dostarczają rozwiązania oparte o nowe technologie, były w pełni odpowiedzialne za ich bezpieczeństwo” - mówi dr inż. Rafał Prabucki ze Śląskiego Centrum Inżynierii Prawa, Technologii i Kompetencji Cyfrowych Cyber Science przy Uniwersytecie Śląskim w Katowicach.
dr inż. Rafał Prabucki ze Śląskiego Centrum Inżynierii Prawa, Technologii i Kompetencji Cyfrowych Cyber Science przy Uniwersytecie Śląskim w Katowicach
Twierdzi Pan, że czeka nas unijne tsunami legislacyjne w zakresie cyberbezpieczeństwa. Jak długo potrwa i jak silne będzie?
Rafał Prabucki To dobre pytanie. Siła będzie zależała głównie od tego, czym się zajmujemy. Jeżeli jesteśmy przedsiębiorstwem, które nie korzysta z nazbyt innowacyjnych technologii, to powinniśmy przejść przez tę nawałnicę w łagodny sposób, realizując niezbędne minimum wymagań. Jeśli natomiast jesteśmy przedsiębiorstwem, które jest zaangażowane w przygotowanie nowych produktów cyfrowych, czy też należy do grupy podmiotów, które z jakichś względów muszą zachowywać wysoki poziom cyberbezpieczeństwa, to wtedy to tsunami będzie dla nas mocno odczuwalne. To znaczy, że będzie dość dużo regulacji, którymi trzeba będzie się zainteresować i do nich dostosować. Im bliżej jesteśmy linii brzegowej, która wyznacza obszar nowych technologii, emerging technology – jak się mówi angielsku – tym fala będzie potężniejsza.
W jakim zakresie ta fala dotknie sektora ICT? Czy te regulacje są kierowane bardziej w stronę użytkowników rozwiązań informatycznych, czy może też w stronę producentów czy dostawców?
Proponowane przepisy będą dotyczyć głównie twórców i dystrybutorów produktów cyfrowych. Unijny prawodawca chce, aby podmioty, które tworzą rozwiązania oparte o nowe technologie, były odpowiedzialne za swoje działania, co w konsekwencji będzie z korzyścią i dla społeczeństwa, i dla unijnej gospodarki. Te wymagania mają obowiązywać producentów i dostawców niezależnie od tego, czy będą oferowali „zwykły” produkt cyfrowy, czy rozwiązanie będące systemem sztucznej inteligencji. Na procedowany w tej chwili AI Act, czyli rozporządzenie w sprawie sztucznej inteligencji, również należy patrzeć w perspektywie cyberbezpieczeństwa. Zresztą ENISA zalicza go wprost do kanonu przepisów, które są związane z cyberbezpieczeństwem.
To znaczy, że sektor ICT powinien bardziej liczyć się z tym, że zostaną na niego nałożone nowe obowiązki, niż ci, którzy będą użytkownikami końcowymi wprowadzanych na rynek rozwiązań technicznych?
Tak. Podejście prawodawcy jest takie samo jak na przykład w przypadku już obowiązujących w Unii Europejskiej przepisów o urządzeniach radiowych. Jest tu wiele przykładów regulacji, które mówią wprost, że to nie odbiorca końcowy ma się martwić, jak coś działa, ale podmiot, który mu określony produkt dostarcza. Tego typu podejście jest stosowane również w odniesieniu do rozwiązań cyfrowych i związanych z ich funkcjonowaniem kwestii cyberbezpieczeństwa.
Czy te już procedowane bądź dopiero planowane regulacje dotkną w jakiś szczególny sposób integratorów? Czego powinni się spodziewać?
Na pewno powinni się przygotować na nadejście nowych przepisów. Myślę, że przede wszystkim powinni wiedzieć, co sprzedają i komu sprzedają. Pozwoli im to opracować najlepszą strategię biznesową. Jeżeli bowiem będą zorientowani, czy ich klient został, przykładowo zgodnie z dyrektywą NIS 2, zakwalifikowany do grupy sektorów ważnych lub kluczowych z perspektywy wymagań cyberbezpieczeństwa, to będą w stanie dobrać mu odpowiednią ofertę cyfrowych rozwiązań. Żeby jednak dobrze to zrobić, to muszą wiedzieć, co sprzedają. Żeby byli w stanie zweryfikować, czy produkt, który będą sprzedawać lub udostępniać w formie usługi, nie został w myśl proponowanych przepisów objęty jakimiś szczególnymi wymaganiami.
Czy możemy jednak spodziewać się w nowych aktach prawnych zapisów, które będą odnosiły się wprost do integratorów?
Trudno w tej chwili jednoznacznie na to pytanie odpowiedzieć, bo trzeba mieć na uwadze, że te przepisy dopiero się kształtują. Nie można dzisiaj wykluczyć, że pojawią się konkretne obowiązki dotyczące konkretnej grupy przedsiębiorstw, w tym na przykład integratorów i resellerów. Są już obecnie, chociażby w projekcie rozporządzenia o cyberbezpieczeństwie horyzontalnym – i na pewno będą dalej się pojawiać – propozycje specjalnych obowiązków wobec dystrybutorów. Trzeba więc śledzić przebieg procesu legislacyjnego, by nie doszło do sytuacji, w której konieczne będzie wycofanie produktu z obrotu, bo nie spełnia obowiązujących wymagań prawnych.
Czy regulacje będą szły bardziej w kierunku rozporządzeń, czyli określania z góry konkretnych rozwiązań obowiązujących bezpośrednio we wszystkich krajach członkowskich, czy też bardziej w stronę dyrektyw i pozostawienia poszczególnym krajom pewnej swobody dostosowania proponowanych rozwiązań do własnych uwarunkowań?
W przypadku NIS 2 mamy do czynienia z dyrektywą, która daje w niektórych aspektach pewnego rodzaju swobodę w dostosowaniu jej postanowień do krajowych wymagań. Z kolei w przypadku przepisów dotyczących cyberbezpieczeństwa horyzontalnego, wykorzystania danych, czy też regulacji dotyczących sztucznej inteligencji proponowane są rozporządzenia. Można powiedzieć, że w kwestiach ważnych dla całości funkcjonowania Unii Europejskiej, czyli właśnie budowania wspólnej, unijnej cyberodporności, czy też wspólnego, unijnego rynku cyfrowego prawodawca zmierza do ustanowienia przepisów, które będą takie same dla wszystkich członków Unii Europejskiej.
Podobne wywiady i felietony
Sophos: cyberbezpieczeństwo jest ciągłym procesem uczenia się
„MDR jest nową usługą, i tak jak wszystkie nowe rozwiązania wymaga czasu, aby zyskać szerszą akceptację zarówno wśród klientów, jak i partnerów” – mówi Sven Janssen, wiceprezes Sophos ds. sprzedaży w regionie EMEA Central.
Po co nam Komisja Europejska?
Zamiast faktycznie stać na straży przestrzegania prawa unijnego KE wybiera te sprawy, które mają charakter polityczny.
