Piotr Konieczny

28 sierpnia 2025 r. weszła w życie ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa („UKSCC”). Określa ona ramy funkcjonowania krajowego systemu certyfikacji cyberbezpieczeństwa. Nowe przepisy wprowadzają jednolite zasady przyznawania certyfikatów cyberbezpieczeństwa, które potwierdzają, że dane rozwiązanie jest bezpieczne i spełnia określone wymogi w zakresie ochrony danych oraz minimalizacji ryzyka związanego z cyberzagrożeniami.

6 grudnia 2024 r. na stronach Rządowego Centrum Legislacji opublikowano nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (ustawy o KSC). Jest to już czwarta wersja projektu ustawy, która ma wdrożyć w Polsce unijną dyrektywę NIS 2.

25 lipca 2024 r. Senat ostatecznie uchwalił Prawo komunikacji elektronicznej, które ma zastąpić obecnie obowiązujące Prawo telekomunikacyjne. Nowa ustawa nałoży kolejne obowiązki na przedsiębiorców komunikacji elektronicznej – nowy krąg podmiotów niepodlegających wcześniejszej regulacji. W artykule wyjaśniamy, kim są przedsiębiorcy komunikacji elektronicznej i jakie będą ich obowiązki.

24 kwietnia 2024 r. Ministerstwo Cyfryzacji opublikowało projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa[1] – czyli ustawy, która ma wdrożyć unijną dyrektywę NIS 2. Warto jednak zauważyć, że w wielu aspektach polski projekt odbiega od zasad wynikających z dyrektywy NIS 2.

Do upływu terminu implementacji dyrektywy NIS 2 (17 października 2024 r.) zostało niewiele ponad pół roku. Dlatego warto już teraz zacząć przygotowania do jej wdrożenia, w tym zweryfikować, czy organizacja posiada polityki i procedury, które zapewnią zgodność z nową regulacją.  

Uprawnienia organów nadzorczych na gruncie dotychczasowej dyrektywy NIS oraz jej polskiej implementacji – ustawy o krajowym systemie cyberbezpieczeństwa – były bardzo ograniczone. Duże zmiany w tej materii wprowadza dyrektywa NIS 2, która przyznaje organom nadzoru bardzo szeroki katalog środków mających wspomagać skuteczne wdrażanie nowych przepisów z zakresu cyberbezpieczeństwa.

Po prawie dwóch latach prac nad projektem, 22 grudnia 2023 r. w Dzienniku Urzędowym UE opublikowano Akt w sprawie danych (Data Act)[1]. Obok wielu obowiązków dotyczących dostępu do danych i możliwości ich ponownego wykorzystania, Data Act wprowadza także szczególne regulacje dla dostawców usług przetwarzania danych.

9 listopada 2023 r. Parlament Europejski przyjął kompromisowy projektu Aktu w sprawie danych (Data Act)[1]. Nowe rozporządzenie musi zostać jeszcze oficjalnie przyjęte przez Radę UE, ale już teraz wiemy, co będzie zawierała przyszła unijna regulacja.

25 sierpnia 2023 r. w Dzienniku Ustaw została opublikowana ustawa o zwalczaniu nadużyć w komunikacji elektronicznej (UZNKE).

Dotychczasowa dyrektywa NIS w sposób bardzo ogólny regulowała obowiązki w zakresie zarządzania ryzykiem. Teraz ulegnie to zmianie, ponieważ dyrektywa NIS 2 wprowadza o wiele szersze i bardziej konkretne wymagania w zakresie środków zarządzania ryzykiem w cyberbezpieczeństwie.

11 maja 2023 r. połączone komisje Parlamentu Europejskiego (IMCO i LIBE) zakończyły wielomiesięczne negocjacje i przyjęły projekt stanowiska Parlamentu w sprawie projektu Aktu w sprawie sztucznej inteligencji (AI Akt)

Na początku 2023 roku weszła w życie dyrektywa NIS 2, która ma na nowo uregulować kwestie cyberbezpieczeństwa w Unii Europejskiej. Zastąpi ona obecnie obowiązującą dyrektywę NIS, zaimplementowaną w Polsce przede wszystkim w ustawie o krajowym systemie cyberbezpieczeństwa. Mimo że termin implementacji dyrektywy NIS 2 upływa dopiero 17 października 2024 roku, a precyzyjny zakres regulacji w istotnym zakresie będzie zależał od decyzji polskiego ustawodawcy, to na wiele pytań związanych z przyszłymi obowiązkami możemy odpowiedzieć już teraz.

Na początku lutego 2023 r. Komitet Rady Europy do spraw Sztucznej Inteligencji opublikował „zerowy” projekt Konwencji w sprawie sztucznej Inteligencji, praw człowieka, demokracji i praworządności. Datowany na 6 stycznia 2023 r. dokument zawiera wstępną propozycję Rady Europy dotyczącą przyszłych ram regulacyjnych sztucznej inteligencji.

14 lutego 2023 r. Rada Ministrów przyjęła projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Projektowane przepisy będą nakładać nowe obowiązki na przedsiębiorców telekomunikacyjnych oraz dostawców poczty elektronicznej. Ustawa trafi teraz do Sejmu, gdzie będzie dalej procedowana.