Ostatnie lata przyniosły znaczące zmiany w krajobrazie prywatności. W tym roku mija 5 lat obowiązywania Rozporządzenia o Ochronie Danych Osobowych, powszechnie znanego jako RODO. To dobry moment na podsumowanie i analizę tego, co zmieniło się w obszarze ochrony danych oraz czego możemy oczekiwać w najbliższej przyszłości.
Co dało nam RODO
Przede wszystkim znacznie wzrosła świadomość osób, których dane są przetwarzane, w zakresie ich praw oraz obowiązków, jakie spoczywają na podmiotach przetwarzających. Widać to chociażby po wysokiej liczbie skarg kierowanych do organu nadzorczego.
Konieczność zapewnienia „zgodności z RODO” znacząco wpłynęła także na działalność biznesową. Firmy zaczęły przykładać znacznie większą wagę do wdrażania i praktycznego stosowania systemów ochrony danych osobowych, co stało się jednym z podstawowych obszarów zapewnienia bezpieczeństwa biznesowi. Niewątpliwy wpływ na to mają kary za nieprzestrzeganie przepisów dotyczących ochrony tych danych.
Dzięki zasadom privacy by design oraz privacy by deafult nastąpiła ogromna zmiana w podejściu do ochrony danych, która jest uwzględniana od samego początku procesów przetwarzania danych – w szczególności tam, gdzie zastosowanie ma nowoczesna technologia.
Za sprawą RODO ochrona danych stała się procesem, a nie jednorazową czynnością, co ma olbrzymie znaczenie dla poprawy ich bezpieczeństwa, także w kontekście zmieniającej się technologii. W ostatnim czasie nastąpił bowiem niespotykany do tej pory rozwój systemów sztucznej inteligencji, w tym w szczególności generatywnej sztucznej inteligencji. Kwestia ochrony danych osobowych jest jednym z kluczowych elementów opracowania i wdrożenia systemu Al, w tym uczenia się algorytmów i budowania modeli związanych z przetwarzaniem ogromnych ilości danych.
Znaczenie cyberbezpieczeństwa
W obliczu szybkiego rozwoju technologii kluczowym zagadnieniem jest cyberbezpieczeństwo. Cyfrowe zagrożeniaw coraz większym stopniu dotykają przedsiębiorstw i mocno wiążą się z kwestią ochrony danych osobowych, dlatego aktualnie są jednym z największych wyzwań, przed jakimi stoją organizacje. Obserwujemy na przykład znaczny wzrost przypadków wykorzystania złośliwego oprogramowania, zwłaszcza oprogramowania typu ransomware.
Nie umknęło to również unijnemu regulatorowi który kwestię cyberbezpieczeństwa ujął w takich aktach prawnych jak np. DORA, czyli rozporządzeniu w sprawie operacyjnej odporności cyfrowej sektora finansowego[1] czy NIS II, czyli dyrektywie w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii[2].
DORA
Celem rozporządzenia DORA jest aktualizacja oraz konsolidacja na poziomie paneuropejskim wymogów dotyczących zarządzania operacyjną odpornością cyfrową uczestników rynku usług finansowych.
Przez aktualizację rozumieć należy uzupełnienie tradycyjnego podejścia ilościowego (polegającego na określeniu wymogów kapitałowych zabezpieczonych na potrzeby ryzyka związanego z obszarem technologii), o podejście jakościowe tj koncentrujące się na określeniu ukierunkowanych wymogów jakościowych dotyczących ochrony, wykrywania i powstrzymywania incydentów bezpieczeństwa oraz budowania zdolności w zakresie odporności operacyjnej.
W odniesieniu do konsolidacji, DORA koncentruje się na kilku elementach:
- Wymogach co do zarządzania podmiotami finansowymi w aspekcie odporności cyfrowej oraz wymogach w zakresie zarządzania ryzykiem związanym z obszarem technologii
- Wymogach związanych z zarządzaniem, w tym monitorowaniem, klasyfikowaniem i rejestracją incydentów związanych z obszarem technologii;
- Wymogach co do testowania cyfrowej odporności podmiotów finansowych
- Wymogach co do zarządzania ryzykiem ze strony zewnętrznych dostawców usług IT
Katalog podmiotów podlegających projektowanemu rozporządzeniu liczy dwadzieścia pozycji. W grupie tzw. podmiotów finansowych tj. podmiotów zobowiązanych do stosowania rozporządzenia, obok tradycyjnych instytucji sektora finansowego (instytucje kredytowe, instytucje płatnicze, firmy inwestycyjne), znalazła się również nowa generacja uczestników rynku finansowego, do której należą chociażby dostawcy usług w zakresie kryptowalut oraz dostawcy usług finansowania społecznościowego.
Zgodnie z zasadą proporcjonalności, DORA różnicuje skalę przewidzianych wymagań nakładanych na podmioty finansowe w zależności od ich profilu działalności, rozmiaru czy skali działania. Z tego względu kategoria podmiotów finansowych określonych jako mikroprzedsiębiorcy jest zwolniona z istotnej części przewidzianych w DORA wymagań. Równolegle, na podmioty finansowe określone jako znaczące nałożono m.in. obowiązek prowadzenia testów penetracyjnych w celu identyfikacji potencjalnych zagrożeń. Co istotne, w ramach katalogu podmiotów finansowych znaleźli się również dostawcy usług ICT, co niewątpliwie stanowi swoiste novum względem poprzednich regulacji sektorowych z tego obszaru.
Podmioty objęte zakresem DORA mają obowiązek stosowania wynikających z niej wymogów od 18 października 2024 r.
NIS II
Dyrektywa NIS II, która uchyla dotychczas obowiązującą dyrektywę NIS, została przyjęta przez Parlament Europejski 10 listopada 2022 r.
NIS II zamiast podziału na operatorów usług kluczowych i dostawców usług cyfrowych wprowadza podział na podmioty kluczowe i podmioty ważne (essential entities oraz important entities) znacząco rozszerzając dotychczasowy katalog.
Doprecyzowuje także obowiązki z zakresu zarządzania ryzykiem w kontekście cyberbezpieczeństwa, polegające na obligatoryjnym stosowaniu konkretnych rozwiązań w tym m.in.:
- Polityki analizy ryzyka i bezpieczeństwa systemów informatycznych
- Polityki zarządzania incydentami
- Planów ciągłości działania
- Zapewnienia bezpieczeństwa łańcucha dostaw
Ponadto, Dyrektywa wprowadza możliwość nakładania kar na podmioty, które nie wywiązują się z nałożonych obowiązków. Wysokość kar będzie zależała od rodzaju podmiotu – w przypadku tzw. podmiotów kluczowych będą to kary w wysokości do 10 mln EUR lub 2 proc. łącznego światowego obrotu w poprzednim roku, natomiast dla tzw. podmiotów ważnych do 7 mln EUR lub 1,4 proc. łącznego światowego obrotu w poprzednim roku, przy czym w obu przypadkach, zastosowanie ma kwota wyższa.
Głównym celem NIS II jest dalsza poprawa bezpieczeństwa cyfrowego w Unii Europejskiej oraz zdolności do reagowania na incydenty zarówno podmiotów publicznych, jak i tych z sektora prywatnego. Ponadto, ma ona na celu ujednolicenie na poziomie całej Unii tego, kogo będą dotyczyć obowiązki w zakresie cyberbezpieczeństwa.
Przepisy NIS II powinny być stosowane we wszystkich krajach UE od 18 października 2024 r., a więc i w tym obszarze możemy spodziewać się zmian w ustawie o krajowym systemie cyberbezpieczeństwa.
Podsumowanie
Powyższe regulacje zwiastują, że w nadchodzących latach możemy spodziewać się jeszcze większej liczby wytycznych, zaleceń, dobrych praktyk i opinii wydawanych zarówno na poziomie europejskim, jak i krajowym.
Regulacje te nieuchronnie odnosić się będą do praktyk stosowanych w poszczególnych sektorach rynku i dostarczać konkretnych, indywidualnych rozwiązań, do których podmioty te będą musiały się stosować. A to bezpośrednio wpłynie na potrzebę proaktywnego reagowania ze strony podmiotów i dostosowywania ich praktyk i procedur biznesowych. Niektóre z tych zmian mogą mieć wpływ na strategie biznesowe. Oczywiste jest, że konieczne będzie koncentrowanie się na zabezpieczeniach technicznych i ocenie ich adekwatności pod kątem uniknięcia ewentualnych kar ze strony organu nadzorczego.
Masz pytania? Skontaktuj się z nami
[1] Rozporządzenie Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014
[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148)
