Skąd akurat teraz bierze się takie wzmożone zainteresowanie regulacją sfery cyberbezpieczeństwa w Unii Europejskiej?

Regulatorzy zaczynają działać w momencie, w którym pojawiają się sygnały, że sytuacja wymaga nowych rozwiązań prawnych, bo pojawiły się luki, które ktoś może wykorzystać ze szkodą dla innych. Dzisiaj w obszarze cyberbezpieczeństwa obserwujemy eskalację zagrożeń. Skala ryzyka związanego z działaniami przestępczymi jest już tak duża, że prawodawca musi podjąć decyzje, które pozwolą skuteczniej zwalczać zagrożenia. Na przykład ransomware jest już obecnie tak znaczącym problemem, że pojawia się wprost w preambule do NIS 2, jak też w konkretnych przepisach tej dyrektywy. Widać więc, że regulator jasno daje sygnał, że zjawisko to jest już bardzo destrukcyjne i trzeba sobie z nim jakoś poradzić. Ponadto mamy też w Europie wojnę, co może skutkować wzmożonymi atakami cybernetycznymi na europejskie systemy teleinformatyczne, jak również rozsiewaniem dezinformacji. Jak widać, tego rodzaju czynników jest kilka.

Które obszary funkcjonowania nowych technologii, jakie grupy zagadnień i problemów z zakresu cyberbezpieczeństwa zostaną w szczególny sposób objęte unijnymi regulacjami?

Jeżeli chodzi o akty prawne, których zarysy już się pojawiają, to trzeba wymienić przede wszystkim przepisy dotyczące systemu bezpieczeństwa horyzontalnego, czyli rozporządzenie o cyfrowej odporności. Prace nad nim wchodzą już w coraz bardziej zaawansowaną fazę, więc niebawem można będzie powiedzieć więcej na temat jego szczegółów. Coraz wyraźniejszych kształtów nabierają przepisy dotyczące sztucznej inteligencji, chociaż jednocześnie wzbudzają one też chyba najwięcej emocji, głównie wskutek popularności ChataGPT. Przed nami jeszcze przepisy dotyczące chipsetów, propozycje zmian w regulacjach na temat urządzeń radiowych, czy też przepisy odnoszące się do dystrybucji różnego rodzaju urządzeń, tzw. Machinery Act. Planowane są regulacje w zakresie rynku danych i bezpieczeństwa tych danych. Nie chodzi już tylko o dane osobowe, ale różnego rodzaju dane, które mogą być wykorzystywane na przykład w obrocie gospodarczym. Ważne są kwestie dezinformacji, które wymagają uregulowania zarówno w kontekście cyberbezpieczeństwa, jak i całej gospodarki cyfrowej. W planach są też akty prawne dotyczące kooperacji z Ukrainą, czy też wynikające chociażby po części z sytuacji w tym państwie, jak chociażby przepisy o rozpowszechnianiu fałszywych informacji. O niektórych z nich można już coś więcej powiedzieć, inne pojawiają się dopiero jako propozycje, więc niewiele jeszcze na ich temat wiadomo. Kwestie dotyczące dezinformacji przekładają się też generalnie na różnego rodzaju przepisy dotyczące na przykład reklamy politycznej w internecie czy modelowania oferty dla użytkowników platform internetowych. Pojawiają się one w nowych przepisach dotyczących kształtowania się unijnego rynku cyfrowego.

W związku z zyskującymi na popularności generatywnymi modelami sztucznej inteligencji pojawiają się też coraz częściej postulaty nowego uregulowania kwestii własności intelektualnej…

Tak, to prawda. Generalnie zakres tych nowych, procedowanych już lub planowanych do wprowadzenia regulacji jest naprawdę bardzo duży, powiedziałbym wręcz, że gigantyczny. Tak naprawdę do każdej z tych zmian potrzeba by było oddzielnego prawnika. No, i do tego potrzeba jeszcze prawników umiejących przygotowywać umowy zawierające zapisy zgodne z tymi wszystkimi regulacjami. Po to jednak to wszystko jest robione, żeby obrót produktami cyfrowymi i korzystanie z nich były bezpieczne.

Główne unijne regulacje dotyczące cyberbezpieczeństwa  

OBOWIĄZUJĄCE

  • RODO – rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych)
  • eIDAS (electronic Identification, Authentication and trust Services) – rozporządzenie w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym
  • Cybersecurity Act – rozporządzenie w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych
  • RED (Radio Equipment Directive) – dyrektywa w sprawie harmonizacji ustawodawstw państw członkowskich dotyczących udostępniania na rynku urządzeń radiowych
  • NIS 2 (Network and Information System) – dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej
  • DORA (Digital Operational Resilience Act) – rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego

PROJEKTOWANE

  • CRA (Cyber Resilience Act) – rozporządzenie w sprawie horyzontalnych wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi
  • AI Act (Artificial Intelligence Act) – rozporządzenie ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji (akt w sprawie sztucznej inteligencji)
  • Data Act – rozporządzenie w sprawie danych
  • Chips Act – rozporządzenie w sprawie czipów

Inne unijne regulacje ważne z perspektywy cyberbezpieczeństwa

  • ECC (Electronic Communications Code) – dyrektywa ustanawiająca europejski kodeks łączności elektronicznej (obowiązująca)
  • CER (The Critical Entities Resilience Directive) – dyrektywa w sprawie odporności podmiotów krytycznych (projekt)
  • ePR (ePrivacy Regulation) – rozporządzenie w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej (projekt)
  • ITS (Intelligent Transport Systems) – dyrektywa w sprawie ram wdrażania inteligentnych systemów transportowych w obszarze transportu drogowego oraz interfejsów z innymi rodzajami transportu (projekt)
  • Machinery regulation – propozycja nowelizacji dyrektywy w sprawie maszyn i przekształcenia jej w rozporządzenie