Jak przedsiębiorcy telekomunikacyjni powinni informować użytkowników o cyberzagrożeniach?
10 marca 2022 r. Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) opublikowała wytyczne dotyczące informowania przez przedsiębiorców telekomunikacyjnych użytkowników o cyberzagrożeniach[1]. Opublikowanie wytycznych jest konsekwencją obowiązywania w Unii Europejskiej od grudnia 2020 r. Europejskiego kodeksu łączności elektronicznej (EKŁE), który na podstawie art. 40 ust. 3 zobowiązuje przedsiębiorców telekomunikacyjnych do informowania o występujących cyberzagrożeniach. Przedstawione przez ENISA […]
Regulacyjne cybertsunami
Na przestrzeni ostatnich lat – w szczególności od transpozycji dyrektywy NIS przez państwa członkowskie Unii Europejskiej w 2018 r. – kwestia regulacji cyberbezpieczeństwa i określenia wspólnych cyberstandardów dla konkretnych branż nabiera coraz większego znaczenia. Najlepszym przykładem tej tendencji jest fakt, że już dwa lata po implementacji dyrektywy NIS do krajowych porządków prawnych, pod koniec 2020 r., Komisja Europejska opublikowała projekt tzw. dyrektywy NIS 2. Ma ona zastąpić obowiązującą od ponad trzech lat dyrektywę NIS, aby dokładniej uporządkować kwestie cyberbezpieczeństwa w całej Unii Europejskiej. Jednak zarówno dyrektywa NIS, jak i przygotowywana w Brukseli dyrektywa NIS 2 stanowią tylko preludium regulacyjnego cybertsunami, które jest coraz bardziej zauważalne w tym obszarze, ponieważ dotyczy nie tylko legislacji na poziomie europejskim i krajowym, lecz także
Rekomendacje Ministerstwa Klimatu i Środowiska w zakresie cyberbezpieczeństwa dla sektora energii
15 października 2021 r. Ministerstwo Klimatu i Środowiska przedstawiło rekomendacje dotyczące działań mających na celu wzmocnienie cyberbezpieczeństwa w sektorze energii oraz wytyczne sektorowe dotyczące zgłaszania incydentów. Rekomendacje, opracowane na podstawie art. 42 ust. 1 pkt 5 Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, powstały w drodze konsultacji z CSIRT NASK, CSIRT GOV, CSIRT MON oraz z operatorami usług kluczowych sektora energii.
Dyrektywa NIS2 – propozycja nowej regulacji w zakresie cyberbezpieczeństwa
Pod koniec 2020 r. Komisja Europejska zakończyła proces rewizji dyrektywy NIS i przedstawiła propozycję nowej, kompleksowej regulacji, która została nazwana „dyrektywą NIS2”. Przepisy te mają całkowicie zastąpić dyrektywę NIS, eliminując jej słabości i znaczące różnice w implementacji pomiędzy poszczególnymi państwami członkowskimi. Komisja nie zdecydowała się przy tym na propozycję rozporządzenia, bezpośrednio stosowanego w krajach UE, […]
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa
Zapowiadana od dłuższego czasu nowelizacja Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (dalej: „ustawa o KSC”) niedługo stanie się faktem – 7 września 2020 r. do konsultacji publicznych przekazano jej projekt. Chociaż projekt przepisów nie zmienia podstawowych zagadnień regulowanych ustawą (np. obowiązków operatorów usług kluczowych czy dostawców usług cyfrowych), to propozycja […]
Operatorzy usług kluczowych w państwach członkowskich UE – uwagi na gruncie sprawozdania Komisji Europejskiej i raportu ENISA
Dyrektywa NIS[1] oraz implementujące ją krajowe regulacje identyfikują operatorów usług kluczowych (OUK) działających w sektorach wskazanych we właściwych przepisach. Są to podmioty, które powinny reprezentować wysoki poziom odporności na incydenty cyberbezpieczeństwa ze względu na społeczne i gospodarcze znaczenie świadczonych przez nie usług. Dla prawidłowego i efektywnego wdrożenia dyrektywy NIS konieczne jest zapewnienie spójnego podejścia do […]
Inauguracja Europejskiego Miesiąca Cyberbezpieczeństwa – relacja z wydarzenia
Dnia 30 września 2019 roku w budynku Biblioteki Uniwersyteckiej w Warszawie uczestniczyliśmy w inauguracji Europejskiego Miesiąca Cyberbezpieczeństwa (European Cyber Security Month – ECSM). Tematem przewodnim spotkania była edukacja w świecie nowoczesnych technologii, kompetencje cyfrowe oraz kompetencje przyszłości, a udział w nim wzięli m.in. przedstawiciele Ministerstwa Cyfryzacji oraz NASK. Idea Europejskiego Miesiąca Cyberbezpieczeństwa Europejski Miesiąc Cyberbezpieczeństwa […]
Projekt rządowej Strategii Cyberbezpieczeństwa na kolejnych pięć lat
Dnia 2 sierpnia 2019 r. Ministerstwo Cyfryzacji opublikowało projekt Strategii Cyberbezpieczeństwa Rzeczpospolitej Polskiej na lata 2019-2024. Dokument ten stanowi kontynuację i poszerzenie działań podejmowanych przez administrację rządową w zakresie cyberbezpieczeństwa, których głównym celem jest podniesienie poziomu cyberbezpieczeństwa w Polsce oraz promowanie świadomości i dobrych praktyk w tym obszarze. Projekt obecnie podlega konsultacjom i uzgodnieniom – […]
Krajobraz cyberbezpieczeństwa – raport CERT Polska
W dniu 27 maja 2019 roku ukazał się raport pt. Krajobraz bezpieczeństwa polskiego internetu, przygotowany przez CERT Polska. Publikacja ma charakter przekrojowego sprawozdania z działalności CERT Polska w roku 2018 – opisano w niej obsłużone incydenty, przedstawiając komentarz ekspercki i statystyki związane z incydentami, jak również informację o działalności w zakresie projektów badawczych, szkoleń i […]
Krajowe Ramy Polityki Cyberbezpieczeństwa RP przyjęte przez rząd
W dniu 9 maja 2017 r. rząd przyjął Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej (dalej jako „Krajowe Ramy”)[1], prezentujące główne cele strategii RP w zakresie cyberbezpieczeństwa na lata 2017–2022. Dokument ten określa ramowe działania, które mają doprowadzić do uzyskania wysokiego poziomu odporności na incydenty bezpieczeństwa przez systemy informatyczne zarządzane zarówno przez administrację publiczną, jak i […]
Nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa – jakie wprowadza zmiany?
25 marca 2022 r. na stronie internetowej Rządowego Centrum Legislacji opublikowany został kolejny już siódmy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, zapowiadany od wielu tygodni przez Pełnomocnika Rządu ds. Cyberbezpieczeństwa Janusza Cieszyńskiego. Projekt ten, choć pozostaje w dużej części zbieżny z proponowanymi dotychczas rozwiązaniami, zawiera szereg istotnych zmian i nowych obowiązków, które mają zostać nałożone na przedsiębiorców komunikacji elektronicznej.
Jak migrować do chmury zgodnie z prawem?
Prawne aspekty migracji do chmury publicznej ze szczególnym uwzględnieniem przepisów i wytycznych z zakresu cyberbezpieczeństwa Migracja środowiska informatycznego do chmury obliczeniowej, tj. odchodzenie od tradycyjnych rozwiązań on-premises i przechodzenie na te oparte na publicznej chmurze obliczeniowej, czyli IaaS, PaaS i SaaS, stanowi silny trend i można założyć, że w najbliższych latach będzie się on nasilał. […]
Nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa
W październiku, po wielu tygodniach zapowiedzi, opublikowany został nowy, kolejny już rządowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Budzi on dużo emocji i kontrowersji, w szczególności ze względu na wprowadzenie procedury dotyczącej uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka oraz na możliwość wydawania przez ministra właściwego do spraw informatyzacji poleceń zabezpieczających.
Cyberbezpieczeństwo w umowach wdrożeniowych systemów IT
Wdrożenia systemów informatycznych to niezwykle złożone procesy, trwające często miesiącami, a nawet latami. W zależności od rodzaju wdrożenia oprócz samego dostarczenia systemu często obejmuje ono również świadczenie szeregu dodatkowych usług po ukończeniu wdrożenia, takich jak utrzymanie czy rozwój oprogramowania. Z tych powodów umowy na rozwiązania IT zwykle są rozbudowane i wyczerpująco opisują funkcjonalności i cechy, […]
Europejskie programy certyfikacji cyberbezpieczeństwa – chmura i produkty ICT
ENISA rozpoczęła konsultacje dwóch programów certyfikacji cyberbezpieczeństwa – programu opartego na Common Criteria, mającego zastosowanie do produktów ICT, oraz programu certyfikacji usług chmurowych. To pierwsze programy opracowane na podstawie aktu o cyberbezpieczeństwie. Akt o cyberbezpieczeństwie Ponad rok temu – 27 czerwca 2019 r. – weszło w życie unijne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881[1], […]
ISAC, czyli partnerstwo dla cyberbezpieczeństwa
Centra wymiany i analizy informacji (ISAC, od ang. information sharing and analysis centre) to jednostki tworzone w celu wymiany informacji i doświadczeń dotyczących cyberbezpieczeństwa. ISAC opierają się z reguły na partnerstwie między podmiotami prywatnymi i publicznymi, przyczyniając się do wzrostu świadomości oraz skuteczności działań ich członków w dziedzinie cyberbezpieczeństwa. Mogą one przy tym wyraźnie ułatwiać […]
Konferencja uzgodnieniowa MC w sprawie Strategii Cyberbezpieczeństwa
Przedstawiciele Kancelarii uczestniczyli w dniu 6 września 2019 r. w zorganizowanej w Ministerstwie Cyfryzacji konferencji uzgodnieniowej dotyczącej projektu uchwały Rady Ministrów w sprawie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019–2024. Celem konferencji było omówienie uwag do dokumentu zgłoszonych w ramach uzgodnień resortowych i konsultacji publicznych. Proces konsultacji i przebieg spotkania Przedstawiciele Ministerstwa poinformowali, że w […]
Cybersecurity Act opublikowany
W dniu 7 czerwca 2019 r. Komisja Europejska opublikowała akt o cyberbezpieczeństwie (ang. Cybersecurity Act), czyli Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013. Rozporządzenie jest częścią zaproponowanego przez Komisję Europejską pakietu reformatorskiego, który ma służyć zwiększaniu […]
Ministerstwo Cyfryzacji odpowiada na wątpliwości przedsiębiorców – spotkanie w sprawie cyberbezpieczeństwa
W piątek, 26 kwietnia 2019 r. Ministerstwo Cyfryzacji gościło przedsiębiorców świadczących usługi z zakresu cyberbezpieczeństwa na spotkaniu poświęconym zgłoszonym uwagom. Dotyczyły one zarówno ustawy o krajowym systemie cyberbezpieczeństwa, jak i wydanego na jej podstawie rozporządzenia w sprawie warunków organizacyjnych i technicznych dla operatorów usług kluczowych. W trakcie spotkania wywiązała się burzliwa dyskusja na temat wymogów […]
TSUE o odpowiedzialności za naruszenie praw autorskich w przypadku niezabezpieczonej darmowej sieci Wi-Fi
Trybunał Sprawiedliwości Unii Europejskiej (TSUE) dnia 15 września 2016 r. wydał wyrok w sprawie C-484/14, Tobias Mc Fadden przeciwko Sony Music Entertainment Germany GmbH, w którym ograniczył odpowiedzialność podmiotów udostępniających bezpłatną i publiczną siec Wi-Fi za naruszenia praw autorskich dokonane przez użytkowników. Orzeczenie to ma niezwykle istotne znaczenie praktyczne dla wszystkich przedsiębiorców, którzy w ramach […]