Cyberbezpieczenstwo – krajobraz regulacyjny przed implementacją dyrektywy NIS 2
Streszczenie:
W ostatnich latach obserwujemy wzrost zainteresowania kwestiami cyberbezpieczeństwa. Zwiększa się znaczenie usług cyfrowych w codziennych życiu i działalności przedsiębiorstw, rośnie liczba i skala zagrożeń w „cyfrowym świecie”. Kluczowe staje się budowanie wspólnych standardów i schematów postępowania, a w konsekwencji – coraz większego znaczenia nabiera kwestia regulacji prawnych, które dotyczą cyberbezpieczeństwa.
Od czasu wdrożenia dyrektywy NIS minęły już ponad 3 lata. Obecnie obserwujemy wzmożoną aktywność legislacyjną unijnych organów. Za chwilę poznamy ostateczne brzmieniem dyrektywy NIS 2, która zastąpi w całości dyrektywę NIS. Równolegle pojawiają się propozycje uregulowania konkretnych kategorii podmiotów czy sektorów działalności. Przykładem może być rozporządzenie w sprawie operacyjnej odporności sektora finansowego (tzw. rozporządzenie DORA), a także nowa dyrektywa w sprawie odporności podmiotów krytycznych (tzw. dyrektywa CER). Niezależnie od przepisów UE trwają prace nad znowelizowaniem polskiej ustawy o krajowym systemie cyberbezpieczeństwa. Pytanie tylko, czy to rzeczywiście dobry kierunek wobec nieuchronnej konieczności wdrożenia wymogów NIS 2. Może się okazać, że nowa wersja krajowych przepisów za chwilę będzie wymagać kolejnych zmian.
W raporcie próbujemy uporządkować i opisać regulacyjną rzeczywistość z perspektywy obowiązujących i planowanych regulacji. Najpierw omówimy przepisy, które obowiązują teraz, i wskażemy główne cechy polskiego systemu cyberbezpieczeństwa. Następnie skupimy się na tym, co czeka nas w niedalekiej przyszłości. Omówimy założenia nadchodzącej dyrektywy NIS 2 i odniesiemy się do prac legislacyjnych, które mają znowelizować ustawę KSC. Ze względu na szeroki, przekrojowy charakter raport ten nie powinien być traktowany jako wyczerpujące opracowanie tematu, a jedynie jako wstęp do dalszej dyskusji.