CYBER_RADAR

Dynamiczny charakter zagrożeń w świecie cyfrowym wymaga ciągłego dostosowywania się do nowych realiów. Śledzenie zmian w przepisach prawnych jest zatem kluczowe dla organizacji i jednostek, które pragną skutecznie chronić swoje dane. Na naszej stronie przedstawiamy obowiązujące akty prawne, ale również analizy, porady ekspertów oraz praktyczne wskazówki dotyczące implementacji odpowiednich zabezpieczeń, przygotowane przez członków ekosystemu Klastra oraz kluczowe instytucje publiczne, działające w obszarze cyber.

Nasza platforma dedykowana jest przeglądowi i zrozumieniu kompleksowego prawodawstwa związanego z cyberbezpieczeństwem, zarówno na szczeblu krajowym, jak i europejskim.

 

Oś czasu przedstawia dokumenty uszeregowane względem dat wejścia w życie:

 

 

 

CRA (Cyber Resilience Act)

Data wejścia w życie: tekst końcowy nie został jeszcze opublikowany

 

Wdrożenie rozporządzenia ma na celu zmniejszenie liczby kluczowych podatności w programach i zapewnienie
większego bezpieczeństwa użytkowników poprzez:

  1. Uwzględnienie przez producentów sprzętów elektronicznych zasad cyberbezpieczeństwa już na etapie
    projektowania towarów i usług oraz w całym cyklu życia produktu.
  2. Zobligowanie producentów do zapewnienia, że przez określony czas podatności są skutecznie
    obsługiwane.
  3. Zobowiązanie producentów do powiadomienia Agencji UE ds. Bezpieczeństwa Cybernetycznego (ENISA)
    w ciągu 24 h od zauważenia jakiejkolwiek aktywnie wykorzystanej luki w produkcie lub o jakimkolwiek
    incydencie mającym wpływ na bezpieczeństwo.
  4. Po przyjęciu rozporządzenia kraje będą miały dwa lata na dostosowanie się do nowych przepisów

 

ZOBACZ DOKUMENTZOBACZ OPRACOWANIA

DORA (Digital Operational Resilience Act)

Data wejścia w życie: 16 stycznia 2023 r.
Data implementacji w państwach członkowskich UE: do 17 stycznia 2025 r.

 

Przepisy mają na celu zapewnienie odporności podmiotów sektora finansowego poprzez:

  1. Wprowadzenie odpowiedzialności zarządu Podmiotu Finansowego (PF) za określenie, zatwierdzenie, wdrożenie i nadzorowanie ram zarządzania ryzykiem związanym z ICT.
  2. Zobowiązanie PF do ciągłej identyfikacji wszystkich źródeł ryzyka, ustanowienia odpowiednich środków ochronnych, zapobiegania oraz szybkiego wykrywania nietypowych działań.
  3. Zobowiązanie PF do wdrożenia procesów wykrywania i zarządzania incydentami związanymi z ICT.
  4. Zobligowanie PF do posiadania programu testowania operacyjnej odporności cyfrowej.
  5. Regulacja kluczowych elementów relacji z zewnętrznymi dostawcami usług ICT.
  6. Zobowiązanie Europejskich Urzędów Nadzoru (EUNB, ESMA, EIOPA) do wyznaczenia zewnętrznych dostawców ICT, którzy mają kluczowe znaczenie dla PF2.

 

ZOBACZ DOKUMENT ZOBACZ OPRACOWANIA

CER (Critical Entities Resilience Directive)

Data wejścia w życie: 16 stycznia 2023 r.
Data implementacji w państwach członkowskich UE: do 17 października 2024 r.

 

Wpływ na rynek w Polsce (najważniejsze zmiany):

  1. Wdrożenie strategii zapewnienia odporności podmiotów krytycznych.
  2. Obowiązek wyznaczenia tzw. podmiotów krytycznych (PK) w 11 krajowych sektorach gospodarki według kryteriów wyróżnionych w ustawie oraz na podstawie krajowej oceny ryzyka.
  3. Wyznaczenie obowiązków PK oraz sposobu nadzoru nad nimi.
  4. Głównym obowiązkiem PK będzie ochrona infrastruktury niezbędnej do utrzymania usług kluczowych.
  5. Ustanowienie szerokiego zakresu wsparcia państwa dla PK.
  6. Wyznaczenie organu odpowiedzialnego za prawidłowe stosowanie dyrektywy na szczeblu krajowym.
  7. Wyznaczenie pojedynczego punktu kontaktowego odpowiedzialnego za zapewnienie współpracy transgranicznej

 

ZOBACZ DOKUMENTZOBACZ OPRACOWANIA

REKOMENDACJE WDROŻENIA – UE

NIS2 (Network and Information Security)

Data wejścia w życie: 16 stycznia 2023 r.
Data implementacji w państwach członkowskich: do 17 października 2024 r.

 

Wpływ na rynek w Polsce (najważniejsze zmiany):

  1.  Poszerzenie katalogu operatorów usług kluczowych.
  2. Dodanie nowego katalogu – podmioty ważne.
  3. Możliwość wymagania od dostawców rozwiązań cyberbezpieczeństwa posiadania konkretnych certyfikatów
    w przypadku wdrożeń wśród podmiotów kluczowych i ważnych.
  4. Podmioty kluczowe i ważne zostały zobowiązane do wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie
    oraz zgłaszania incydentów poważnych.
  5. Większy nacisk na szacowanie ryzyka w łańcuchu dostaw.
  6. Regularne szkolenia z cyberbezpieczeństwa i szacowania ryzyka dla członków zarządu podmiotów
    kluczowych.
  7. Zapewnienie odpowiednich środków technicznych i organizacyjnych.
  8. Regularne audyty cyberbezpieczeństwa oraz zarządzania ryzykiem.
  9. Zarządzanie ryzykiem w cyberprzestrzeni ma również uwzględniać kwestię bezpieczeństwa fizycznego.

 

ZOBACZ DOKUMENTZOBACZ OPRACOWANIA

Cybersecurity Act

Data wejścia w życie 27 czerwca 2019 r.
Data implementacji w państwach członkowskich 27 czerwca 2019 r.

Wpływ na rynek w Polsce (najważniejsze zmiany):

  1. Wprowadzenie jednolitych procedur w zakresie certyfikacji w obszarze cyberbezpieczeństwa na terenie
    UE.
  2. Zobligowanie do uznawania certyfikatów wydawanych na podstawie europejskich programów certyfikacyjnych
    w każdym państwie UE.
  3. Wprowadzenie trzech poziomów certyfikatów: wysokiego, istotnego i podstawowego.
  4. Określenie funkcjonowania ENISA (Agencji UE ds. Cyberbezpieczeństwa) oraz zwiększenie jej uprawnień
    m.in. w kwestii współpracy z państwami członkowskimi, zespołami CERT i CERT-EU, służbami i organami
    nadzorującymi ochronę prywatności.

 

ZOBACZ DOKUMENTZOBACZ OPRACOWANIA

UKSC (Ustawa o Krajowym Systemie Cyberbezpieczeństwa)

Data wejścia w życie 28 sierpnia 2018
Data implementacji 28 sierpnia 2018

Wpływ na rynek w Polsce (najważniejsze zmiany):

Implementuje do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148), tzw. Dyrektywa NIS.

  1. Krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym,
  2. Określa Operatorów Usług Kluczowych (sektorów kluczowych dla Państwa), dostawców usług cyfrowych, Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego poziomu krajowego (CSIRT), sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa.
  3. Wyróżnia obowiązki i zadania, jakie mają świadczyć dane podmioty.

 

ZOBACZ DOKUMENTZOBACZ OPRACOWANIA

RODO

Data wejścia w życie: 24 maja 2016 r.
Data implementacji: od dnia 25 maja 2018 r.

 

Wpływ na rynek w Polsce (najważniejsze zmiany):

  1. Przyznanie konsumentom znaczne prawa w odniesieniu do ochrony ich danych osobowych,
  2. Zobowiązanie do dostarczania informacji użytkownikom odnośnie sposobu wykorzystywania ich danych osobowych
  3. Określa okoliczności, w których użytkownicy mogą nakazać usunięcia swoich danych
  4. Wyjaśnia, kiedy powinien zostać wyznaczony Inspektor Ochrony Danych (IDO), którego zadaniem będzie nadzorowanie zgodnością z RODO
  5. Określa obowiązki podmiotów przetwarzających dane

 

ZOBACZ DOKUMENTZOBACZ OPRACOWANIA