Stan rządowych prac legislacyjnych z zakresu cyberbezpieczeństwa i cyfryzacji

Skala zagrożeń związanych z przestrzenią cyfrową wymaga skoordynowanych działań na szczeblu międzynarodowym. Dlatego tak ważne jest tworzenie odpowiedniego prawa zwiększającego poziom odporności państw na incydenty w obszarze cyberbezpieczeństwa i jego sprawna implementacja. Niniejszy artykuł ma na celu przybliżenie aktualnego[1] stanu wdrożenia niektórych regulacji unijnych w obszarze cyberbezpieczeństwa i informatyzacji do prawa krajowego. Zawiera on krótkie omówienie przyjętych przez UE aktów prawnych oraz ich zestawienie z projektami ustaw wdrożeniowych znajdującymi się w wykazie prac legislacyjnych i programowych Rady Ministrów oraz ze stanem prac opublikowanym na stronach Rządowego Centrum Legislacji.

Europejski Kodeks Łączności Elektronicznej[2] (dalej: EKŁE) wszedł w życie 20 grudnia 2018 roku, a kraje członkowskie miały go wdrożyć do 21 grudnia 2020 r. Celem regulacji jest m.in. rozpowszechnianie sieci o bardzo dużej przepustowości, zapewnienie interoperacyjności i dostępności usług łączności elektronicznej oraz poprawa bezpieczeństwa sieci i usług. Ustawodawca unijny przez przyjęcie tej dyrektywy zamierzał zapewnić dostęp do przystępnych cenowo usług dobrej jakości m.in. poprzez wzmocnienie konkurencyjności. Wdrożenie Europejskiego Kodeksu Łączności Elektronicznej w Polsce miałoby się odbyć przez przyjęcie ustawy – Prawo komunikacji elektronicznej.

Organem odpowiedzialnym za opracowanie projektu ustawy wdrożeniowej jest Ministerstwo Cyfryzacji. W zeszłym roku projekt był już procedowany w Sejmie, ale po wysłuchaniu publicznym komisja sejmowa zarekomendowała odrzucenie ustawy[3]. Następnie w maju 2023 r. w rządowym wykazie prac został zarejestrowany kolejny projekt Prawa komunikacji elektronicznej[4]. Zgodnie z informacją podaną na stronie RCL, w sierpniu został on przedstawiony Radzie Ministrów (ale nie został upubliczniony). Po wyborach został on jednak objęty zasadą dyskontynuacji[5]. W dniu 26 lutego 2024 r. minister cyfryzacji skierował do konsultacji publicznych nową wersję projektu – Rada Ministrów planuje jego przyjęcie w II kwartale 2024 r. W związku z przekroczeniem terminu na transpozycję tej dyrektywy projekt został skierowany do procedowania w trybie odrębnym. Ze względu na obszerną i skomplikowaną materię, projektodawca zdecydował o przedstawieniu osobnego projektu przepisów wprowadzających tę ustawę[6].

Na wdrożenie czeka również dyrektywa 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2)[7]. Czas wyznaczony na transpozycję przez państwa członkowskie tych przepisów kończy się 17 października 2024 r. Dyrektywa NIS 2 to akt ustawodawczy, którego celem jest ustanowienie jednolitego standardu bezpieczeństwa sieci i systemów we wszystkich krajach członkowskich.  Państwa członkowskie muszą zapewnić, aby kluczowe i ważne podmioty podejmowały odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych oraz zapobiegania wpływom incydentów na odbiorców ich usług i innych osób lub minimalizowania ich skutków. Dyrektywa rozwija system ustanowiony jej poprzedniczką[8].

Środki przyjęte w NIS 2 opierają się na podejściu uwzględniającym wszystkie zagrożenia, którego celem jest ochrona sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami. Podmioty kluczowe i ważne będą zatem musiały zapewnić wdrożenie co najmniej następujących elementów:

  • polityk dotyczących analizy ryzyka i bezpieczeństwa systemu informacyjnego;
  • obsługi incydentów;
  • ciągłości działania, np. zarządzania kopiami zapasowymi i odzyskiwania po awarii oraz zarządzania kryzysowego;
  • bezpieczeństwa łańcucha dostaw, w tym aspektów związanych z bezpieczeństwem w relacji pomiędzy podmiotami a ich bezpośrednimi dostawcami lub usługodawcami;
  • bezpieczeństwa nabywania, rozwoju oraz konserwacji sieci i systemów informatycznych, w tym obsługi luk w zabezpieczeniach i ich ujawniania;
  • polityk i procedur oceny skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
  • podstawowych praktyk cyberhigieny i szkoleń w zakresie cyberbezpieczeństwa;
  • zasad i procedur dotyczących stosowania kryptografii oraz, w stosownych przypadkach, szyfrowania;
  • bezpieczeństwa zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami;
  • stosowania uwierzytelniania wielopoziomowego lub ciągłego, zabezpieczonej komunikacji głosowej, wideo i tekstowej oraz zabezpieczonych systemów komunikacji awaryjnej w obrębie podmiotu (w stosownych przypadkach).

Projekt ustawy wdrażającej założenia dyrektywy NIS 2 nie został jeszcze przedstawiony do konsultacji publicznych ani wpisany do wykazu prac legislacyjnych rządu.

Więcej informacji na temat dyrektywy NIS 2 można znaleźć w naszych artykułach TUTAJ, TUTAJ i TUTAJ.

Regulacjami, które również wymagają wdrożenia do polskiego systemu prawnego, są dyrektywy Parlamentu Europejskiego i Rady (UE) z 17 kwietnia 2019 r., tj. dyrektywa 2019/789[9] oraz dyrektywa 2019/790[10] (tzw. dyrektywa Digital Single Market). Termin na ich implementację minął 21 czerwca 2021 r. Celem pierwszej z nich jest poprawa transgranicznego dostępu do większej liczby programów telewizyjnych i radiowych. Z kolei druga ma ułatwić szerszą dystrybucję treści pochodzących z państw członkowskich na wspólnym rynku europejskim, z korzyścią dla użytkowników w całej Unii. Nowe przepisy mają zagwarantować wynagrodzenie należne twórcom za wykorzystanie ich dzieł. Przyznają również prawo do opłat od agregatorów treści czy wyszukiwarek internetowych za rozpowszechnianie materiałów medialnych.  W dniu 15 lutego 2024 r. na stronach Rządowego Centrum Legislacji opublikowano projekt, którego celem ma być wdrożenie wspomnianych regulacji[11].

Planowany termin przyjęcia projektu przez Radę Ministrów wyznaczono na I kwartał 2024 r. Organem odpowiedzialnym za jego opracowanie jest Ministerstwo Kultury i Dziedzictwa Narodowego.  15 lutego 2024 r. projekt ustawy został skierowany do konsultacji publicznych, które trwały przez 14 dni.

Do 30 grudnia 2024 r. powinna zostać przyjęta także ustawa wdrażająca rozporządzenie 2023/1114 w sprawie rynku kryptoaktywów[12]. Ten akt unijny ustanawia ramy emisji kryptoaktywów i świadczenia związanych z nimi usług, a także wprowadza przepisy dotyczące ochrony klientów i inwestorów oraz integralności rynku kryptoaktywów. W lutym na stronach Rządowego Centrum Legislacji ukazał się projekt ustawy, której celem jest implementacja nowych rozwiązań w tym obszarze[13]. Ustawa określi kompleksowy zestaw regulacji dotyczących obowiązków emitentów, oferentów oraz dostawców usług związanych z kryptoaktywami. Zapewni również organom nadzorczym szerokie uprawnienia w celu zagwarantowania stabilności finansowej w obliczu nieodłącznej zmienności tego rodzaju rynków, wspierania innowacji i uczciwej konkurencji, przy jednoczesnym zapewnieniu wysokiego poziomu ochrony posiadaczy detalicznych i integralności rynków. Tego rodzaju działania wspomogą rozwój oraz bezpieczeństwo tego rynku w perspektywie wieloletniej. Przyjęcie ustawy o kryptoaktywach przez Radę Ministrów wyznaczono na II kwartał 2024 r. Organem odpowiedzialnym za opracowanie projektu jest Ministerstwo Finansów. Projekt poddano uzgodnieniom, konsultacjom publicznym i opiniowaniu.

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego[14] ma na celu zapewnienie stosowania rozporządzenia 2022/2554 (Digital operational resilience act,  DORA)[15] w polskim porządku prawnym. Regulacja ta weszła w życie 16 stycznia 2023 r. Jest częścią cyfrowego pakietu finansowego Komisji Europejskiej, którego zadaniem jest zwiększenie odporności cyfrowej europejskiego rynku finansowego. Jego celem jest zapewnienie uczestnikom rynku finansowego możliwości dalszego bezpiecznego i niezawodnego działania nawet w przypadku poważnych incydentów związanych z technologiami informacyjno-komunikacyjnymi (ICT). DORA wprowadza nowe obowiązki w zakresie zgodności w całym sektorze finansowym UE, a ponadto zapewnia organom nadzoru finansowego bezpośrednią kontrolę tych dostawców rozwiązań teleinformatycznych, którzy mają kluczowe znaczenie dla systemu finansowego UE. Jest również aktem sektorowym dla dyrektywy NIS 2 – podmioty zobowiązane do stosowania DORA są zwolnione ze stosowania dyrektywy 2022/2555.

DORA podzielona jest na kilka podstawowych części, które dotyczą różnych aspektów lub dziedzin w zakresie ICT i cyberbezpieczeństwa, zapewniając odpowiednim podmiotom kompleksowe ramy odporności cyfrowej. Są to:

  • zarządzanie ryzykiem związanym ICT,
  • zarządzanie incydentami związanymi z ICT,
  • testowanie operacyjnej odporności cyfrowej,
  • zarządzanie ryzykiem w łańcuchu dostaw ICT,
  • nadzór i wymiana informacji.

Termin wyznaczony na implementowanie rozporządzenia DORA przez Polskę mija 17 stycznia 2025 r. Organem odpowiedzialnym za opracowanie projektu jest Ministerstwo Finansów, a jego planowany termin przyjęcia przez Radę Ministrów to III kwartał 2024 r. Projekt ustawy został wpisany do wykazu prac legislacyjnych i programowych Rady Ministrów, lecz nie został jeszcze opublikowany na stronie Rządowego Centrum Legislacji.

Digital Services Act (DSA)[16] to rozporządzenie unijne, którego termin na wdrożenie minął 17 lutego 2024 r. Co prawda tego rodzaju akty prawne obowiązują bezpośrednio, ale nie zwalnia to krajów członkowskich z obowiązku ustanowienia ram instytucjonalnych i prawnych, które umożliwią ich stosowanie.

DSA wskazuje obowiązki internetowych usługodawców, w tym platform i wyszukiwarek internetowych (także tych bardzo dużych), w zakresie moderowania nielegalnych treści. Daje m.in. formalne podstawy działania zaufanym podmiotom sygnalizującym, których zgłoszenia mają być przez dostawców usług traktowane priorytetowo. Ponadto zobowiązuje największe tego rodzaju podmioty m.in. do wykonywania oceny ryzyka, jakie stwarzają treści udostępniane za ich pośrednictwem, oraz do zmniejszania go.

Polska ustawa będzie zatem musiała m.in. doprecyzować tryb powołania zaufanych podmiotów sygnalizujących, czy wprowadzić zasady kontroli wywiązywania się przez podmioty z obowiązków. W ostatnim czasie Ministerstwo Cyfryzacji przedstawiło projekt zmian w ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344), których celem jest umożliwienie stosowania DSA. Projekt został skierowany do uzgodnień, opiniowania i konsultacji publicznych[17]. Zgodnie z zapowiedzią, miałby on zostać przyjęty przez Radę Ministrów już w II kwartale 2024 r.

O DSA pisaliśmy TUTAJ, TUTAJ i TUTAJ.

Prace nad wdrożeniem prawa unijnego w zakresie cyberbezpieczeństwa i cyfryzacji w Polsce trwają, a jest to o tyle istotne, że proces ten ma zapewniać jednolity poziom bezpieczeństwa oraz efektywną współpracę między państwami członkowskimi. Opóźnienia we wdrożeniu tych regulacji mogą łączyć się z obowiązkiem uiszczania kar, tak jak w przypadku EKŁE[18]. Współpraca między instytucjami krajowymi a organami unijnymi jest kluczowa dla skutecznego wdrożenia regulacji, a tym samym dla dostosowania się do norm bezpieczeństwa wprowadzanych na poziomie unijnym. Zapewnienie realizacji tych wymogów w terminie może przyczynić się do zwiększenia bezpieczeństwa obywateli, lepszej ochrony cyberprzestrzeni oraz wzmocnienia pozycji Polski jako partnera w ramach wspólnoty europejskiej.

Wykaz regulacji z zakresu cyberbezpieczeństwa i cyfryzacji wymagających wdrożenia do polskiego porządku prawnego
Akt prawnyTermin na wdrożeniePlanowany termin przyjęcia projektu przez RM
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 ustanawiająca Europejski kodeks łączności elektronicznej21.12.2020II kwartał 2024 r.
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/789 ustanawiająca przepisy dotyczące wykonywania praw autorskich i praw pokrewnych mające zastosowanie do niektórych transmisji online prowadzonych przez organizacje07.06.2021I kwartał 2024 r
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/790 w sprawie prawa autorskiego i praw pokrewnych na jednolitym rynku cyfrowym07.06.2021I kwartał 2024 r.
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2)17.10.2024Nie wyznaczono
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1114 z dnia 31 maja 2023 r. w sprawie rynków kryptoaktywów oraz zmiany rozporządzeń (UE) nr 1093/2010 i (UE) nr 1095/2010 oraz dyrektyw 2013/36/UE i (UE) 2019/193730.12.2024II kwartał 2024 r.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011  17.01.2025III kwartał 2024 r.
Rozporządzenie Parlamentu i Rady (UE) w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych)17.02.2024II kwartał 2024 r.

[1] Na dzień 20 marca 2024 r.

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej (wersja przekształcona) (Dz. U. UE. L. z 2018 r. Nr 321, str. 36 z późn. zm.).

[3] https://www.sejm.gov.pl/sejm9.nsf/PrzebiegProc.xsp?id=66C7F7C637867159C12589170035C136

[4] https://www.gov.pl/web/premier/projekt-ustawy—prawo-komunikacji-elektronicznej

[5] https://www.sejm.gov.pl/sejm9.nsf/agent.xsp?symbol=PROJNOWEUST&NrKadencji=9&Kol=D&Typ=UST

[6] https://legislacja.rcl.gov.pl/projekt/12382351/katalog/13040666#13040666

[7] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. U. UE. L. z 2022 r. Nr 333, str. 80).

[8] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. U. UE. L. z 2016 r. Nr 194, str. 1).

[9] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/789 z dnia 17 kwietnia 2019 r. ustanawiająca przepisy dotyczące wykonywania praw autorskich i praw pokrewnych mające zastosowanie do niektórych transmisji online prowadzonych przez organizacje radiowe i telewizyjne oraz do reemisji programów telewizyjnych i radiowych oraz zmieniająca dyrektywę Rady 93/83/EWG

[10] Dyrektywa 2019/790 w sprawie prawa autorskiego i praw pokrewnych na jednolitym rynku cyfrowym oraz zmiany dyrektyw 96/9/WE i 2001/29/WE

[11] Projekt ustawy o zmianie ustawy o prawie autorskim i prawach pokrewnych oraz niektórych innych ustaw

[12] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1114 z dnia 31 maja 2023 r. w sprawie rynków kryptoaktywów oraz zmiany rozporządzeń (UE) nr 1093/2010 i (UE) nr 1095/2010 oraz dyrektyw 2013/36/UE i (UE) 2019/1937. Projekt ustawy zapewnia również stosowanie przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/1113 z dnia 31 maja 2023 r. w sprawie informacji towarzyszących transferom środków pieniężnych i niektórych kryptoaktywów oraz zmiany dyrektywy (UE) 2015/849.

[13] https://legislacja.rcl.gov.pl/projekt/12382311

[14] https://www.gov.pl/web/premier/projekt-ustawy-o-zmianie-niektorych-ustaw-w-zwiazku-z-zapewnieniem-operacyjnej-odpornosci-cyfrowej-sektora-finansowego

[15] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011

[16] Rozporządzenie Parlementu i Rady (UE) w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych) (Dz. U. UE. L. z 2022 r. Nr 277, str. 1 z późn. zm.), https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32022R2065

[17] https://legislacja.rcl.gov.pl/projekt/12383101/katalog/13045601#13045601

[18] https://www.gov.pl/web/cyfryzacja/wyrok-tsue-w-sprawie-niewdrozenia-europejskiego-kodeksu-lacznosci-elektronicznej

TAGI Analizy, Dyrektywy, Prawo, Rozporządzenia, Unia Europejska,