Digitalizacja oraz przetwarzanie dużej ilości danych oznacza wzrost znaczenia wdrożenia przez organizacje adekwatnego, wewnętrznego systemu cyberbezpieczeństwa. Przestępcy oraz nieuczciwi konkurenci na stale zadomowili się w cyberprzestrzeni. W ostatnich latach mamy także do czynienia ze wzrostem liczby oraz wyrafinowaniem cyberataków. Z drugiej strony, działalność organizacji w dużej mierze opiera się o cyfrowe procesy i infrastrukturę. W związku z coraz rzadszą pracą z biura, pracownicy wyjątkowo często korzystają z własnych urządzeń elektronicznych w celach służbowych. Incydenty cyberbezpieczeństwa mogą mieć negatywny wpływ na reputację organizacji oraz mogą spowodować utratę kontroli nad istotnymi informacjami poufnymi.
Jednocześnie zagęszcza się otoczenie regulacyjne – coraz więcej aktów prawnych i wytycznych organów nadzoru dotyczy, pośrednio lub bezpośrednio, cyberbezpieczeństwa. Katarzyna Szczudlik i Jakub Kubalski, partnerzy odpowiedzialni w SSW za praktykę cyberbezpieczeństwa, łączą dogłębną znajomość wszelkich regulacji, które mają znaczenie dla cyberbezpieczeństwa, z praktycznymi doświadczeniami we wdrażaniu odpowiednich polityk i procedur wewnętrznych w organizacjach z różnych sektorów, m.in. energetycznego, telekomunikacyjnego i finansowego. Praktyka cyberbezpieczeństwa SSW współpracuje z doradcami IT, zwłaszcza w zakresie pentestów i wdrażania rozwiązań technicznych
Unijne rozporządzenie zaostrzające wymogi w zakresie oceny ryzyka i sprawozdawczości w sektorze finansowym – Projekt Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE ) nr 1060/2009, (UE ) nr 648/2012, (UE ) nr 600/2014, (UE ) nr 909/2014 oraz (UE ) 2016/1011 („DORA”). Rozporządzenie rozpocznie stosowanie po upływie 24 miesięcy od jego wejścia w życie, czyli od 17 stycznia 2025 roku.
Kogo obejmie DORA?
Należy przy tym zaznaczyć, że dokładne definicje powyższych podmiotów znajdują się w DORA oraz powiązanych aktach prawnych, do których odniesienia znajdują się w DORA, tj. MICA.
Niedopełnienie obowiązków skutkować może użyciem przez organy nadzorcze środków zapobiegawczych (zakaz prowadzenia działalności, publiczne ogłoszenie sankcji) i nałożeniem administracyjnych kar pieniężnych.
Z uwagi na okoliczność, że DORA jest rozporządzeniem unijnym, będzie stosowana bezpośrednio we wszystkich państwach UE.
27 grudnia 2022 r. w Dzienniku Urzędowym Unii Europejskiej opublikowano dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylająca dyrektywę (UE ) 016/1148 („NIS2”). Od wejścia dyrektywy w życie, państwa członkowskie będą miały 21 miesięcy na jej wprowadzenie do krajowych porządków prawnych – termin upływa 16 października 2024 roku.
Wprowadzono obowiązki organów zarządzających Podmiotów NIS2:
Nałożenie na Podmioty NIS2 obowiązku zgłaszania istotnych incydentów właściwym organom w ciągu 24 godzin od uzyskania informacji o incydentach istotnych.
Podmioty NIS2 naruszające obowiązki wynikające z NIS2 będą podlegały administracyjnym karom pieniężnym w wysokości do 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa. NIS2 jako dyrektywa pozostawia organom krajowym swobodę wyboru formy i środków jej wdrożenia do krajowego systemu prawnego (nie musi być stosowana bezpośrednio).
Aby zapewnić zgodność z nowoprzyjętymi przepisami po ich wejściu w życie, podmioty, które zostaną objęte DORA i NIS2 powinny:
Jeżeli działalność Państwa organizacji objęta jest powyższymi aktami prawnymi lbo chcieliby Państwo zweryfikować ewentualność takiej kwalifikacji, zapraszamy do kontaktu.
Ustawa wdrożyła do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (NIS1). Nowe regulacje nałożyły liczne obowiązki na wiele podmiotów: operatorów usług kluczowych (podmioty z sektora energetyki, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, dostawcy i dystrybutorzy wody pitnej lub zaopatrzenia w infrastrukturę cyfrową) i dostawców usług cyfrowych (internetowe platformy handlowe, usługi przetwarzania w chmurze, wyszukiwarki internetowe).