Prawo Nowych Technologii

Kategoria: Cyberbezpieczeństwo

  • Cybersecurity Act 2.0

    Cybersecurity Act 2.0

    Cybersecurity Act 2.0

    Cybersecurity Act 2.0

    Cybersecurity Act 2.0 to nowy pakiet cyberbezpieczeństwa, który Komisja Europejska zaproponowała 20 stycznia 2026 roku.

    Uzasadnienie

    Komisja w propozycji wyjaśnia, że:

    Od czasu przyjęcia ustawy o cyberbezpieczeństwie (CSA) w 2019 r. krajobraz zagrożeń cyberbezpieczeństwa znacznie ewoluował w coraz bardziej złożonej rzeczywistości geopolitycznej. Cyberataki wzrosły i stały się bardziej wyrafinowane, wymierzone w infrastrukturę krytyczną, firmy i społeczeństwo, a ich rdzeniem jest aktywność ransomware.

    Nowe technologie, takie jak sztuczna inteligencja (AI) i komputery kwantowe, zmieniają narzędzia obrony i taktykę przeciwników. W swoim raporcie z 2024 r. „Przyszłość europejskiej konkurencyjności” Mario Draghi podkreślił potrzebę zwiększenia bezpieczeństwa i zmniejszenia zależności jako jeden z głównych obszarów działań niezbędnych w Unii Europejskiej . Zarówno Europejska Strategia Gotowości Unii, jak i Europejska Strategia Bezpieczeństwa Wewnętrznego (ProtectEU) umieściły cyberbezpieczeństwo w centrum unijnego programu odporności. Strategie te uznają, że utrzymujące się zagrożenia dla cyberbezpieczeństwa to nie tylko wyzwania techniczne, ale także strategiczne ryzyko dla naszej demokracji, gospodarki i stylu życia. Podobnie, Komunikat w sprawie wzmocnienia bezpieczeństwa gospodarczego. UE wskazuje na zapobieganie dostępowi do wrażliwych informacji i danych, które mogłyby zagrozić bezpieczeństwu gospodarczemu Unii, oraz na zapobieganie zakłóceniom w krytycznej infrastrukturze Unii i łagodzenie ich skutków, jako priorytetowe cele, w których skuteczne środki bezpieczeństwa cybernetycznego odgrywają kluczową rolę.

    Problemy do rozwiązania

    Komisja wyjaśnia dalej, że:

    W tym kontekście proponowane zmiany w CSA mają na celu rozwiązanie czterech głównych problemów: 

    (i) rozbieżności między unijnymi ramami polityki cyberbezpieczeństwa a potrzebami interesariuszy w obliczu coraz bardziej wrogiego środowiska zagrożeń; 

    (ii) wstrzymanie wdrażania europejskich ram certyfikacji cyberbezpieczeństwa (ECCF); 

    (iii) złożoność i różnorodność polityk związanych z cyberbezpieczeństwem, które wpływają na cybernetyczną postawę Unii; oraz 

    (iv) rosnące ryzyko dla bezpieczeństwa łańcuchów dostaw ICT.

    Cele propozycji

    Komisja wskazuje także, że 

    W oparciu o zidentyfikowane główne problemy, dwa ogólne cele interwencji to:

    1) zwiększenie zdolności i odporności w zakresie cyberbezpieczeństwa oraz zapobieganie fragmentacji na jednolitym rynku poprzez: przyczynianie się do wzmocnienia zarządzania cyberbezpieczeństwem w Unii i pomoc w zapewnieniu,
    że odpowiednie instytucje, organy i inne zainteresowane strony są lepiej przygotowane do zapobiegania zagrożeniom dla cyberbezpieczeństwa, ich wykrywania i reagowania na nie w skoordynowany i skuteczny sposób; oraz

    2) wspieranie opracowywania, wdrażania i wdrażania wspólnych unijnych instrumentów cyberbezpieczeństwa, takich jak systemy certyfikacji, oraz zapewnienie zharmonizowanych
    ram, które budują zaufanie i interoperacyjność między państwami członkowskimi

    Przeczytaj także o Akcie w sprawie danych.

  • Ochrona danych osobowych w CEIDG

    Ochrona danych osobowych w CEIDG

    Ochrona danych osobowych w CEIDG

    Ochrona danych osobowych w CEIDG stała się przedmiotem zainteresowania Prezesa Urzędu Ochrony Danych Osobowych, kóry poinformował w dniu 8 sierpnia 2025 roku na stronie internetowej Urzędu Ochrony Danych Osobowych o swoim wystąpieniu do Ministra Finansów i Gospodarki (sygn. DPNT.413.32.2025) zawierającym wniosek o podjęcie działań legislacyjnych mających na celu rewizję funkcjonującego obecnie modelu powszechnej dostępności danych osobowych osób fizycznych będących przedsiębiorcami zamieszczonych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG).

    Nowe ryzyka

    Prezes UODO zwraca w wystąpieniu uwagę, że model wpisywania i ujawniania danych przedsiębiorców do CEIDG zasadniczo nie uległ zmianie od 2011 roku, podczas gdy w tym czasie doszło do szybkiego szybkiego postępu technologicznemu i towarzyszącego mu rozwojowi procesów i metod przetwarzania danych osobowych, co wiąże się z pojawieniem się nowych ryzyk związanych z przetwarzaniem danych osobowych dostępnych w CEIDG.

    Prezes UODO zwrócił w szczególności uwagę na narastającą tendencję do podejmowania prób zautomatyzowanego pobierania danych z publicznych rejestrów, w celu łączenia ich z innymi danymi, profilowania, śledzenia, czy też dalszego wykorzystywania w różnych zamiarach, także z zastosowaniem algorytmów sztucznej inteligencji (AI).

    Stanowisko TSUE w sprawie rejestrów beneficjentów rzeczywistych

    Prezes UODO przedstawiając potrzebę rewizji funkcjonującego obecnie modelu powszechnej dostępności danych osobowych osób fizycznych będących przedsiębiorcami zamieszczonych w CEIDG odniósł się m.in. do stanowiska Trybunału Sprawiedliwości Unii Europejskiej (TSUE) wyrażonego w wyroku z 22 listopada 2022 r. w sprawie C-37/20, dotyczącego uzyskiwania danych z krajowych rejestrów beneficjentów rzeczywistych.

    Adres prowadzenia działalności gospodarczej a adres zamieszkania

    Zasadniczym problemem, na który uwagę zwrócił w w/w stanowisku Prezes UODO, jest fakt, iż często adres prowadzenia działalności gospodarczej jest adresem zamieszkania lub stałego pobytu przedsiębiorcy, co rodzi zagrożenia dla życia prywatnego i rodzinnego przedsiębiorcy.

    W tym kontekście Prezes UODO odwołał się do apelu Naczelnej Izby Lekarskiej i zagrożeń dla lekarzy prowadzących praktykę w miejscu zamieszkania.

    Zasadność rewizji obecnego modelu

    Ochrona danych osobowych w CEIDG wymaga w ocenie Prezesa UODO dokonania rewizji modelu powszechnej jawności danych osobowych przedsiębiorców podlegających wpisowi do CEIDG.

    Autor artykułu: radca prawny Michał Kowalski

  • Dyrektywa NIS 2

    Dyrektywa NIS 2

    Dyrektywa NIS 2

    Dyrektywa NIS 2 to Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2).

    Dyrektywa NIS

    Dyrektywa NIS 2 uchyla Dyrektywę NIS, czyli Dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, która stanowiła pierwsze podejście do ustanowienia ogólnounijnych przepisów dotyczących cyberbezpieczeństwa.

    Jak wskazano w motywach do Dyrektywy NIS 2 przegląd Dyrektywy NIS ujawnił tkwiące w niej braki, które uniemożliwiają skuteczne zaradzenie obecnym i pojawiającym się wyzwaniom w zakresie cyberbezpieczeństwa. Zauważono także, że w Dyrektywie NIS zapewniono państwom członkowskim bardzo duży margines swobody także w odniesieniu do wdrażania ustanowionych w niej obowiązków dotyczących bezpieczeństwa i zgłaszania incydentów. W rezultacie obowiązki te zostały wdrożone na poziomie krajowym w bardzo różny sposób.

    Cel Dyrektywy NIS 2

    Celem Dyrektywy NIS jest więc wyeliminowanie takich rozbieżności między państwami członkowskimi, w szczególności przez określenie przepisów minimalnych dotyczących funkcjonowania skoordynowanych ram regulacyjnych, ustanowienie mechanizmów skutecznej współpracy między odpowiedzialnymi organami w poszczególnych państwach członkowskich, zaktualizowanie wykazu sektorów i działań podlegających obowiązkom w zakresie cyberbezpieczeństwa oraz wprowadzenie skutecznych środków naprawczych i środków egzekwowania, które są kluczowe dla skutecznego egzekwowania tych obowiązków (motyw 5).

    Motywy Dyrektywy NIS 2 wskazują także (motyw 6), że celem tej dyrektywy jest rozszerzenie zakresu stosowania przepisów przez poszczególne sektory na większą część gospodarki, aby zapewnić całościowe uwzględnienie sektorów i usług mających istotne znaczenie dla kluczowych rodzajów działalności społecznej i gospodarczej na rynku wewnętrznym. Za nieaktualne uznano m.in. rozróżnienie operatorów usług kluczowych i dostawców usług cyfrowych.

    Zakres zastosowania

    Motyw 7 do Dyrektywy NIS 2 wyjaśnia, że zakres stosowania niniejszej dyrektywy obejmuje wszystkie podmioty, które kwalifikują się jako średnie przedsiębiorstwa na podstawie art. 2 załącznika do zalecenia Komisji 2003/361/WE (5) lub które przekraczają pułapy dla średnich przedsiębiorstw określone w ust. 1 tego artykułu oraz które działają w sektorach objętych tą dyrektywą lub świadczą objęte nią rodzaje usług lub prowadzą objętą nią działalność. Państwa członkowskie powinny również zapewnić objęcie zakresem niniejszej dyrektywy niektórych małych przedsiębiorstw i mikroprzedsiębiorstw zgodnie z definicją w art. 2 ust. 2 i 3 tego załącznika, które spełniają szczególne kryteria wskazujące na kluczową rolę dla społeczeństwa, gospodarki lub konkretnych sektorów lub rodzajów usług.

    Podmioty kluczowe i ważne

    Motyw 15 do Dyrektywy NIS 2 wyjaśnia, że podmioty, które są objęte zakresem stosowania niniejszej dyrektywy w celu przestrzegania środków zarządzania ryzykiem w cyberbezpieczeństwie i obowiązków dotyczących zgłaszania incydentów, należy podzielić na dwie kategorie – podmioty kluczowe i podmioty ważne, w zależności od tego, jak bardzo ich znaczenie jest zasadnicze dla ich sektorów lub dla rodzaju świadczonych przez nie usług, a także od ich wielkości.

    Michał Kowalski

    radca prawny

    Lb-1484

    Kancelaria Radcy Prawnego Michał Kowalski