Zarządzanie bezpieczeństwem organizacji w erze digitalizacji: nowe regulacje Unii Europejskiej

Stara rzymska maksyma, że nieznajomość prawa szkodzi (Ignorantia iuris nocet), nigdy nie była bardziej aktualna. Okres czwartej rewolucji przemysłowej pisze swoją historię na oczach jej uczestników, którzy nie zawsze są jej świadomi. Proces niemal wszechobecnej digitalizacji życia społecznego teoretycznie powinien iść w parze z prawodawstwem, co nie zawsze ma miejsce. Skutkuje to wprowadzaniem zbyt małej lub zbyt dużej liczby regulacji, nieproporcjonalnych do sytuacji. Rzutuje to również na szeroko pojęte bezpieczeństwo. Warto być tego świadomym zwłaszcza w kontekście osób żyjących w jednym z krajów członkowskich Unii Europejskiej. Co obywatele państw wchodzących w skład wspólnoty europejskiej powinni wiedzieć o nowych aktach prawnych przygotowywanych i wdrażanych przez Parlament Europejski w zakresie zarządzania bezpieczeństwem? O tym w niniejszym artykule.

1. Pojęcia i ogólne regulacje

2. Różnice między dyrektywami a rozporządzeniami

3. Nowe akty prawne – ich zakres, cel i znaczenie

4. Podsumowanie

Ad. 1. Pojęcia i ogólne regulacje

RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych, to polska nazwa na unijne rozporządzenie GDPR, czyli General Data Protection Regulation(Ogólne Rozporządzenie o Ochronie Danych) mające na celu ochronę danych osobowych obywateli Unii Europejskiej. Zostało ono wprowadzone w maju 2018 roku i narzuca szereg obowiązków dotyczących zbierania, przechowywania i przetwarzania danych osobowych, zarówno przez podmioty publiczne, jak i prywatne. RODO wprowadza również nowe prawa dla osób, których dane są przetwarzane, takie jak prawo do bycia zapomnianym czy prawo do przenoszenia danych. Jest to ważne zarówno dla firm, jak i dla obywateli, ponieważ zmienia sposób, w jaki dane osobowe są traktowane i chronione.

NIS2, czyli Dyrektywa w sprawie Sieci i Systemów Informacyjnych 2, to unijna dyrektywa dotycząca cyberbezpieczeństwa, która zastępuje poprzednią dyrektywę NIS. NIS2 ma na celu dostosowanie standardów cyberbezpieczeństwa w całej Unii Europejskiej do nowych zagrożeń cyfrowych. Dotyczy ona podmiotów kluczowych i istotnych, nakładając na nie obowiązki związane z zarządzaniem ryzykiem oraz reagowaniem na incydenty cyberbezpieczeństwa. Dyrektywa ta ma duże znaczenie dla firm działających w przestrzeni cyfrowej, zarówno w sektorze publicznym, jak i prywatnym, i wprowadza dotkliwe kary za jej naruszenie.

Warto zauważyć, że NIS2 ma być zapisana w prawie w Polsce najpóźniej do września 2024 roku i wprowadza nowe obowiązki, zwłaszcza dla firm działających w obszarze cyfrowym. Jest to istotne dla wielu branż, takich jak produkcja, energetyka, opieka zdrowotna, logistyka czy sektor publiczny. W 2023 roku weszła w życie Dyrektywa NIS 2, co oznacza, że państwa członkowskie UE mają 21 miesięcy na wprowadzenie postanowień Dyrektywy do prawa krajowego (kraje członkowskie mają czas do 17 października 2024 roku na implementację dyrektywy NIS 2 do prawa krajowego).

Ad. 2. Różnice między dyrektywami a rozporządzeniami

Traktat o funkcjonowaniu Unii Europejskiej w artykule 288 definiuje w sposób lapidarny znaczenie cel i zakres zarówno dyrektywy, jak i rozporządzenia. Nosi on nazwę „Moc wiążąca rozporządzeń, dyrektyw, decyzji, zaleceń i opinii” i stanowi on, że:

W celu wykonania kompetencji Unii instytucje przyjmują rozporządzenia, dyrektywy, decyzje, zalecenia i opinie.

Rozporządzenie ma zasięg ogólny. Wiąże w całości i jest bezpośrednio stosowane we wszystkich Państwach Członkowskich.

Dyrektywa wiąże każde Państwo Członkowskie, do którego jest kierowana, w odniesieniu do rezultatu, który ma być osiągnięty, pozostawia jednak organom krajowym swobodę wyboru formy i środków.

Decyzja wiąże w całości. Decyzja, która wskazuje adresatów, wiąże tylko tych adresatów.

Zalecenia i opinie nie mają mocy wiążącej.

Zgodnie z artykułem 297 noszącym nazwę „Podpisywanie aktów i ich publikacja” a dokładniej w ustępie 2 można wyczytać rzecz następującą:

Akty o charakterze nieustawodawczym przyjęte w formie rozporządzeń, dyrektyw oraz decyzji, w przypadku gdy te ostatnie nie wskazują adresata, są podpisywane przez przewodniczącego instytucji, która je przyjęła.

Rozporządzenia, dyrektywy, które są skierowane do wszystkich Państw Członkowskich, jak również decyzje, które nie wskazują adresata, są publikowane w Dzienniku Urzędowym Unii Europejskiej. Wchodzą one w życie z dniem w nich określonym lub, w jego braku, dwudziestego dnia po ich publikacji.

Inne dyrektywy, jak również decyzje, które wskazują adresata, są notyfikowane adresatom i stają się skuteczne wraz z tą notyfikacją.”

Ad. 3. Nowe akty prawne – ich zakres, cel i znaczenie

Poniżej przedstawiono kilka nadchodzących i rozważanych aktów prawnych przez Parlament Europejski, które mogą mieć wpływ na różne aspekty funkcjonowania mikro, małych, średnich, a nawet dużych przedsiębiorstw:

A) Specyficzne sektory/branże:

a) Ustawa o rynkach cyfrowych – Digital Markets Act (DMA)

  • Forma: Rozporządzenie
  • Planowany termin ogłoszenia: Rozporządzenie DMA zostało już przyjęte przez Parlament Europejski w grudniu 2022 roku i zaczęło obowiązywać od listopada 2023 roku.
  • Wpływ na firmy: Obowiązuje bezpośrednio we wszystkich państwach członkowskich UE, bez potrzeby implementacji do krajowego prawa.

Celem tego aktu prawnego jest zapewnienie uczciwej konkurencji na rynku cyfrowym, zwłaszcza w odniesieniu do dużych platform internetowych. W zamierzeniu ma on skutkować zmniejszeniem barier wejścia dla małych i średnich przedsiębiorstw, które chcą konkurować na rynku cyfrowym.

b) Ustawa o usługach cyfrowych – Digital Services Act (DSA)

  • Forma: Rozporządzenie
  • Planowany termin ogłoszenia: Rozporządzenie DSA zostało przyjęte w grudniu 2022 roku i zaczęło obowiązywać od lutego 2024 roku.
  • Wpływ na firmy: Obowiązuje bezpośrednio w całej UE.

Podstawowym zadaniem tego aktu prawnego jest zaktualizowanie zasad dotyczących treści online i odpowiedzialności platform cyfrowych. Określa nowe obowiązki dla firm zarządzających platformami internetowymi, które mogą wpłynąć na sposób, w jaki prowadzą działalność.

Wdrożenie ISO 27001

c) Tzw. „Zrównoważony ład korporacyjny” – Sustainable Corporate Governance

  • Forma: Dyrektywa
  • Planowany termin ogłoszenia: Projekt dyrektywy został przedstawiony w marcu 2021 roku, a ostateczne przyjęcie planowane jest na koniec 2024 roku.
  • Wpływ na firmy: Państwa członkowskie będą miały określony czas na implementację dyrektywy do krajowego prawa.

Zadaniem tej dyrektywy jest promowanie zrównoważonego rozwoju przez wprowadzenie obowiązków dotyczących ochrony środowiska i społecznej odpowiedzialności w działalności korporacyjnej. Ma ona za zadanie zmusić firmy do bardziej zrównoważonych praktyk operacyjnych, co może wpłynąć na małe i średnie przedsiębiorstwa.

B) Dodatkowe inicjatywy:

a) Akt o Cyberbezpieczeństwie (Cybersecurity Act)

  • Forma: Rozporządzenie
  • Planowany termin ogłoszenia: Rozporządzenie zostało przyjęte w 2019 roku i weszło w życie w czerwcu 2021 roku.
  • Wpływ na firmy: Obowiązuje bezpośrednio we wszystkich państwach członkowskich UE.

Wprowadza on ramy certyfikacji produktów i usług IT, co ma na celu podniesienie poziomu bezpieczeństwa cybernetycznego w całej Unii. Firmy będą musiały dostosować swoje produkty i usługi do nowych standardów certyfikacyjnych, co może wymagać dodatkowych inwestycji w bezpieczeństwo IT.

Ad. 4. Podsumowanie

Zarządzanie bezpieczeństwem w organizacjach w erze digitalizacji staje się coraz bardziej skomplikowane ze względu na szybkie tempo zmian technologicznych i regulacyjnych. Nowe akty prawne Unii Europejskiej, takie jak NIS2, DMA, DSA czy Cybersecurity Act, mają na celu zapewnienie bezpieczeństwa danych, uczciwej konkurencji oraz zrównoważonego rozwoju. Firmy powinny być świadome tych regulacji i podjąć kroki, aby się do nich dostosować, co może obejmować szkolenia dla pracowników, aktualizacje systemów IT oraz zmiany w procesach operacyjnych. Przygotowanie się na te zmiany pozwoli firmom nie tylko uniknąć potencjalnych kar, ale również skorzystać z nowych możliwości, jakie niesie ze sobą cyfrowa transformacja.

Dodaj komentarz