Piotr Konieczny

Do upływu terminu implementacji dyrektywy NIS 2 (17 października 2024 r.) zostało niewiele ponad pół roku. Dlatego warto już teraz zacząć przygotowania do jej wdrożenia, w tym zweryfikować, czy organizacja posiada polityki i procedury, które zapewnią zgodność z nową regulacją.  

Uprawnienia organów nadzorczych na gruncie dotychczasowej dyrektywy NIS oraz jej polskiej implementacji – ustawy o krajowym systemie cyberbezpieczeństwa – były bardzo ograniczone. Duże zmiany w tej materii wprowadza dyrektywa NIS 2, która przyznaje organom nadzoru bardzo szeroki katalog środków mających wspomagać skuteczne wdrażanie nowych przepisów z zakresu cyberbezpieczeństwa.

Po prawie dwóch latach prac nad projektem, 22 grudnia 2023 r. w Dzienniku Urzędowym UE opublikowano Akt w sprawie danych (Data Act)[1]. Obok wielu obowiązków dotyczących dostępu do danych i możliwości ich ponownego wykorzystania, Data Act wprowadza także szczególne regulacje dla dostawców usług przetwarzania danych.

9 listopada 2023 r. Parlament Europejski przyjął kompromisowy projektu Aktu w sprawie danych (Data Act)[1]. Nowe rozporządzenie musi zostać jeszcze oficjalnie przyjęte przez Radę UE, ale już teraz wiemy, co będzie zawierała przyszła unijna regulacja.

25 sierpnia 2023 r. w Dzienniku Ustaw została opublikowana ustawa o zwalczaniu nadużyć w komunikacji elektronicznej (UZNKE).

Dotychczasowa dyrektywa NIS w sposób bardzo ogólny regulowała obowiązki w zakresie zarządzania ryzykiem. Teraz ulegnie to zmianie, ponieważ dyrektywa NIS 2 wprowadza o wiele szersze i bardziej konkretne wymagania w zakresie środków zarządzania ryzykiem w cyberbezpieczeństwie.

11 maja 2023 r. połączone komisje Parlamentu Europejskiego (IMCO i LIBE) zakończyły wielomiesięczne negocjacje i przyjęły projekt stanowiska Parlamentu w sprawie projektu Aktu w sprawie sztucznej inteligencji (AI Akt)

Na początku 2023 roku weszła w życie dyrektywa NIS 2, która ma na nowo uregulować kwestie cyberbezpieczeństwa w Unii Europejskiej. Zastąpi ona obecnie obowiązującą dyrektywę NIS, zaimplementowaną w Polsce przede wszystkim w ustawie o krajowym systemie cyberbezpieczeństwa. Mimo że termin implementacji dyrektywy NIS 2 upływa dopiero 17 października 2024 roku, a precyzyjny zakres regulacji w istotnym zakresie będzie zależał od decyzji polskiego ustawodawcy, to na wiele pytań związanych z przyszłymi obowiązkami możemy odpowiedzieć już teraz.

Na początku lutego 2023 r. Komitet Rady Europy do spraw Sztucznej Inteligencji opublikował „zerowy” projekt Konwencji w sprawie sztucznej Inteligencji, praw człowieka, demokracji i praworządności. Datowany na 6 stycznia 2023 r. dokument zawiera wstępną propozycję Rady Europy dotyczącą przyszłych ram regulacyjnych sztucznej inteligencji.

14 lutego 2023 r. Rada Ministrów przyjęła projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Projektowane przepisy będą nakładać nowe obowiązki na przedsiębiorców telekomunikacyjnych oraz dostawców poczty elektronicznej. Ustawa trafi teraz do Sejmu, gdzie będzie dalej procedowana.