GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

„AI, cyberbezpieczeństwo i odporność cyfrowa – najważniejsze regulacje UE i Polski” – część I

Autor: Redakcja
Udostępnij publikację:

Unia Europejska konsekwentnie rozwija ramy prawne mające zapewnić bezpieczny i odpowiedzialny rozwój nowych technologii. Szczególne znaczenie zyskują regulacje dotyczące sztucznej inteligencji, cyberbezpieczeństwa oraz odporności cyfrowej organizacji, które nakładają nowe obowiązki zarówno na podmioty publiczne, jak i przedsiębiorców. W pierwszej części opracowania przedstawiamy najważniejsze akty prawne kształtujące ten obszar, w tym AI Act, Cyber Resilience Act (CRA), DORA, NIS2 oraz powiązane inicjatywy krajowe wdrażające unijne regulacje do polskiego porządku prawnego.

W najbliższy poniedziałek 15 czerwca zapraszamy na część II

„AI, cyberbezpieczeństwo i odporność cyfrowa – najważniejsze regulacje UE i Polski” – część I

Akt w sprawie sztucznej inteligencji (AI Act)

AI Act wszedł w życie 1 sierpnia 2024 r.

2 lutego 2025 r. –zaczęły obowiązywać pierwsze przepisy zakazujące systemów AI stwarzających niedopuszczalne ryzyko (np. ocena społeczna, manipulacja poznawcza), 2 sierpnia 2026 r. – miały zacząć obowiązywać wymogi dotyczące systemów AI wysokiego ryzyka, 2 sierpnia 2027 r. – od tej daty w pełni miały być stosowane przepisy dotyczące modeli sztucznej inteligencji ogólnego przeznaczenia.

Ze względu na procedowany obecnie Digital Omnibus on AI (deregulacja/uproszczenie przepisów AI Act) stosowanie przepisów m.in. dot. systemów wysokiego ryzyka będzie opóźnione – obecnie trwają prace w trilogach; zatwierdzenie przepisów jest planowane około sierpnia 2026 r., według założeń terminy dot. wysokiego ryzyka mają być przesunięte na grudzień 2027 r.

Główne założenia:

AI Act ustanawia ogólne ramy prawne dotyczące funkcjonowania Sztucznej Inteligencji w państwach Unii Europejskiej. AI Act wprowadza podział systemów AI w zależności od stwarzanego przez nie ryzyka dla praw i wolności osób fizycznych:

  • systemy zakazane (np. rozpoznawanie twarzy w czasie rzeczywistym),
  • systemy wysokiego ryzyka (np. rozpoznawanie twarzy post factum),
  • systemy ograniczonego ryzyka (np. chatboty),
  • systemy minimalnego ryzyka (np. systemy służące do tłumaczenia dokumentów).

Zależnie od poziomu ryzyka stwarzanego przez system, AI Act wprowadza obciążenia regulacyjne dotyczące zarządzania ryzykiem i transparentności. W szczególny sposób uregulowane są modele ogólnego przeznaczenia, tj. modele mogące być wykorzystane do realizacji różnego rodzaju zadań, odpowiadających różnym poziomom ryzyka (np. większość najpopularniejszych LLMów). AI Act zawiera również przepisy o charakterze kompetencyjnym i instytucjonalnym – nie tylko zobowiązuje on państwa członkowskie do powołania lub wskazania organów mających odpowiadać za realizację rozporządzenia, ale też sam w sobie powołuje organy na poziomie UE (AI Office i AI Board). Rozporządzenie przewiduje również kary – górny limit kar przewidywanych przez AI Act wynosi 35 milionów euro lub 7% światowego rocznego obrotu za zeszły rok. Rozporządzenie przewiduje możliwość powstania tzw. piaskownic regulacyjnych.

Akt krajowy: Projekt ustawy o  systemach sztucznej inteligencji (UC71)  – obecnie na etapie prac w Komisji CNT w Sejmie.

Ustawa ma posłużyć wdrożeniu AI Actu i nadaniu mu pełnej operatywności w polskim porządku prawnym. W strukturach resortu cyfryzacji powstanie Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji. Ma ona być organem realizującym zadania wynikające z AI Actu, działając w sposób podobny do innych, istniejących już organów regulujących rynek. Będzie ona miała kompetencje, m.in. do nakładania administracyjnych kar pieniężnych na podstawie AI Act (kontrola sądowa: Sąd Ochrony Konkurencji i Konsumentów), wydawania opinii indywidualnych i tworzenia piaskownic regulacyjnych. W ustawie przewidziane są również inne regulacje związane z rynkiem AI. Przykładowo, ustawa zawiera regulacje. dotyczące oceny zgodności działalności określonych podmiotów z regulacjami AI Actu i wyznaczenia uprawnionych do prowadzenia takiej oceny jednostki notyfikowanej. W dalszej kolejności opracowane mają zostać przepisy krajowe dotyczące systemów wysokiego ryzyka.

Cyber Resilience Act – CRA (akt w sprawie cyberodporności)

Wejście w życie : 10 grudnia 2024 r.

Pełne stosowanie : Główne obowiązki i sankcje będą w pełni stosowane od 11 grudnia 2027 r.

Główne założenia:

Jest to pierwszy akt prawny regulujący problematykę cyberbezpieczeństwa w odniesieniu do produktów zawierających elementy cyfrowe, będącymi oprogramowaniem lub sprzętem komputerowym oraz powiązanymi z nimi rozwiązaniami w zakresie zdalnego przetwarzania danych (smartfony, laptopy, inteligentne telewizory czy np. roboty). CRA wprowadza wymogi dla producentów, importerów i dystrybutorów produktów cyfrowych. Obejmuje zatem cały łańcuch dostaw.

Producenci będą zobligowani do przeprowadzenia i udokumentowania oceny ryzyka cyberzagrożeń, muszą wdrożyć procedury w celu przetwarzania i oceny zgodności, które mogą opierać się na jednej z wybranych metod opisanych w CRA. Importerzy muszą zapewnić, aby produkt wprowadzany do obiegu spełniał wymagania dotyczące cyberbezpieczeństwa. Importer będzie zobowiązany do weryfikacji czy producent wywiązał się ze swoich obowiązków Analogiczne obowiązki spoczywają na dystrybutorze. Realizacja obowiązków wynikających z CRA jest warunkiem uzyskania oznaczenia CE, niezbędnego, aby produkt mógł znajdować się w swobodnym obrocie na rynku Unii Europejskiej.

Z praktycznego punktu widzenia, obowiązki nakładane przez CRA obejmować będą, m.in. konieczność zgłaszania podatności i incydentów, obowiązki informacyjne względem użytkowników, obowiązek zapewniania aktualizacji bezpieczeństwa przez określony czas, a także projektowanie produktów zgodnie z założeniem security by design.

Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (Digital Operational Resilience Act, DORA)

Wejście w życie: 16 stycznia 2023 r., rozpoczęcie stosowania: od 17 stycznia 2025 r.

Główne założenia: Rozporządzenie to ma na celu zwiększenie odporności sektora finansowego (banki, firmy inwestycyjne, zakłady ubezpieczeń, etc.) na cyberataki i inne zagrożenia technologiczne. Wprowadza nowe, bardziej rygorystyczne wymagania dotyczące bezpieczeństwa cyfrowego dla instytucji finansowych i ich dostawców usług IT. Zgodnie z tym aktem podmioty finansowe są zobowiązane do ustanowienia kompleksowych ram zarządzania ryzykiem ICT. DORA ustanawia obowiązki związane, m.in. z raportowaniem incydentów, oceną bezpieczeństwa łańcucha dostaw i testowaniem odporności. Wymogi dotyczące testowania odporności są wyjątkowo restrykcyjne i obejmują – w przypadku niektórych podmiotów – obowiązek przeprowadzania zaawansowanych symulacji ataków (TLPT) co trzy lata.

Rozporządzenie DORA przewiduje bardzo wysokie kary finansowe (nawet do 10% rocznego przychodu), ponadto przewiduje ono odpowiedzialność finansową członków zarządów podmiotów nierealizujących obowiązków wynikających z rozporządzenia.

Akt krajowy: Ustawa z dnia 25 czerwca 2025 r. o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego, która znowelizowała kilkanaście obowiązujących aktów prawnych, m.in..: ustawę o nadzorze nad rynkiem finansowym, ustawę o działalności ubezpieczeniowej i reasekuracyjnej oraz ustawę o dystrybucji ubezpieczeń. Celem zmian jest zapewnienie spójnego i skutecznego nadzoru nad operacyjną odpornością cyfrową zakładów ubezpieczeń oraz ich dostosowanie do jednolitych standardów obowiązujących w UE. KNF został wyznaczony jako organ odpowiedzialny za nadzór nad przestrzeganiem rozporządzenia DORA. Nadzór ten polega, m.in. na nadzorem nad raportowaniem incydentów czy zarządzaniem ryzykiem w ICT. Ustawa precyzuje limity kar, wskazując, że mogą one wynosić do 20 869 500 złotych lub do 10% rocznego przychodu.

Dyrektywa NIS2 – stosowanie od 17 października 2024 r.

Wcześniej NIS1 – to pierwsza kompleksowa regulacja UE, której celem było zwiększenie cyberbezpieczeństwa sieci i systemów informatycznych jako ochrony podstawowych usług dla gospodarki i społeczeństwa UE. W grudniu 2020 r. Komisja zaproponowała zmianę NIS 1, co doprowadziło do przyjęcia NIS 2, który wszedł w życie w styczniu 2023 r. Państwa członkowskie miały czas do 17 października 2024 r. na transpozycję dyrektywy NIS 2 do prawa krajowego. NIS 2 uchylił NIS 1 z dniem 18 października 2024 r.

Główne założenia:

NIS2 jest aktem o wiele szerszym pod względem zakresu niż NIS1 – regulacja obejmuje liczne sektory gospodarki. Podstawową kategoryzacją przyjętą przez NIS2 jest podział podmiotów na kluczowe i ważne. Kwalifikacja do tych kategorii odbywa się w oparciu o wielkość podmiotu (zasadniczo nie obejmuje najmniejszych podmiotów), sektor (przykładowo, dostawy wody są sektorem kluczowym, podczas gdy produkcja: sektorem ważnym) i odrębne regulacje (np. dotyczące podmiotów krytycznych).

NIS2 przewiduje szczegółowe obowiązki dotyczące zarządzania ryzykiem w cyberbezpieczeństwie i zaostrza zasady dotyczące raportowania incydentów. Istotnym novum jest wprowadzenie szeregu obowiązków dotyczących zabezpieczenia łańcucha dostaw. NIS2 przewiduje kary (maksymalna wysokość zależna od tego czy podmiot jest kluczowy czy ważny), ale przewiduje również bezpośrednią odpowiedzialność najwyższego kierownictwa danego podmiotu.

Akt krajowy: ustawa o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (KSC), która weszła w życie 3 kwietnia 2026 r., wdrażając unijną dyrektywę.

Okres na wdrożenie środków z zakresu zarządzania ryzykiem został wydłużony do 12 miesięcy. Dodatkowo podmioty objęte regulacją uzyskały 6 miesięcy na dokonanie wpisu do prowadzonego przez Ministra Cyfryzacji wykazu podmiotów kluczowych i ważnych. Dokonanie wpisu do wykazu odbywać się będzie w oparciu o mechanizm samooceny, niemniej możliwe też jest dokonanie go z urzędu. Niedokonanie wpisu będzie zagrożone karą finansową. Przewidziano, że zgłaszanie incydentów przez podmioty kluczowe i ważne będzie odbywać się za pośrednictwem systemu S46, którego obowiązkowe stosowanie przesunięto o 12 miesięcy. Ustawa przewiduje również 12 miesięczny okres karencji w obszarze nakładania kar za niezgodność z NIS2.

Dyrektywa w sprawie odporności podmiotów krytycznych, tzw. Dyrektywa CER

Wejście w życie: 16 stycznia 2023 r., państwa członkowskie miały czas na jej wdrożenie do 17 października 2024 r. (Polska nie zdążyła w tym terminie, trwają prace nad zmianą ustawy o zarządzaniu kryzysowym).

Główne założenia: Dyrektywa jest skorelowana z Dyrektywą NIS2. ma na celu zwiększenie odporności podmiotów krytycznych na różnego rodzaju zagrożenia. Podmioty krytyczne to podmioty działające w określonych sektorach (np. transport) formalnie uznane za krytyczne przez rządy państw członkowskich. Podmioty zidentyfikowane przez państwa członkowskie jako krytyczne objęte są dodatkowymi obowiązkami, wykraczającymi poza obowiązki wynikające z regulacji ogólnych (np. NIS2), a nawet restrykcyjnych regulacji sektorowych (np. DORA). Obciążające te podmioty obowiązki są skoncentrowane na zapewnieniu ciągłości działania.

Digital Markets Act (DMA) – akt o rynkach cyfrowych

DMA wszedł w życie 1 listopada 2022 r. Przepisy DMA są bezpośrednio stosowane w państwach członkowskich od 2 maja 2023 r.

Główne założenia:

DMA wraz z Aktem o usługach cyfrowych (DSA) stanowi  kompleksowe uregulowanie usług cyfrowych, w tym mediów społecznościowych, internetowych platform handlowych i innych platform internetowych działających w Unii Europejskiej. Cel DMA to zapewnienie, aby sektor cyfrowy był uczciwy, a  dostępem do usług cyfrowych dla użytkowników sprawiedliwy. Akt o rynkach cyfrowych będzie miał zastosowanie do przedsiębiorstw, które zostaną uznane za strażników dostępu, zgodnie z wymienionymi w tym rozporządzeniu przesłankami. Strażnikami dostępu (gatekeeper) są największe podmioty, które, za pośrednictwem swoich usług (sklepy z aplikacjami, wyszukiwarki) kontrolują dostęp do rynku. Regulacja ma charakter antymonopolowy i służy przede wszystkim ochronie konkurencji, m.in. poprzez zakaz faworyzowania własnych usług lub nieuzasadnionego łączenia usług. Nadzór nad stosowaniem DMA jest sprawowany przez KE, która nakładać może kary wynoszące nawet 20% światowego rocznego obrotu.

Akt krajowy: Ustawa z dnia 9 maja 2025 r. o zmianie niektórych ustaw w celu zapewnienia stosowania przepisów prawa Unii Europejskiej poprawiających funkcjonowanie rynku wewnętrznego (Dz.U. 2025 poz. 794) – z punktu widzenia wdrożenia DMA ustawa ma przede wszystkim charakter instytucjonalny i proceduralny. Ustawa przyznaje Prezesowi UOKiK obowiązki i kompetencje związane ze współpracą z KE, wskazuje też na inne organy mogące odgrywać rolę w postępowaniach związanych z rozporządzeniem, np. UKE.

Akt o usługach cyfrowych – DSA

Wejście w życie: 16 listopada 2022 r.

DSA w pełni zaczęło być stosowane od 17 lutego 2024 r.

Główne założenia:

DSA to rozporządzenie skoncentrowane na ochronie praw użytkowników Internetu. Przewidziane przez nie regulacje – w przeciwieństwie do regulacji DMA – koncentrują się nie na rynku, a raczej na bezpieczeństwie konsumenta. DSA przewiduje mechanizmy dotyczące obowiązku usuwania nielegalnych treści i walki z manipulacją. Nakłada też obowiązki dotyczące transparentności reklam i algorytmów, a także – dla największych podmiotów sektora – obowiązek analizy tzw. ryzyk systemowych związanych z dezinformacją i innymi szkodliwymi zjawiskami. Regulacje DSA na poziomie krajowym egzekwowane mają być przez koordynatorów usług cyfrowych, z kolei wobec największych podmiotów zajmować ma się tym KE. Rozporządzenie przewiduje kary do 6% światowego rocznego obrotu ukaranego podmiotu.

Akt krajowy: Projekt ustawy o zmianie ustawy o świadczeniu usług drogą elektroniczną oraz niektórych innych ustaw – ustawa zawetowana przez Prezydenta RP. Prawdopodobnie będą procedowane 2 odrębne projekty ustaw. Projektowane przepisy krajowe zakładają m.in., że Prezes Urzędu Komunikacji Elektronicznej (UKE), wyznacza „zaufane podmioty” społeczne, które będą zgłaszały nielegalne treści na wielkich platformach. Policja, prokuratura, sądy będą decydowały, czy treść nielegalna będzie wskazana do usunięcia przez  platformy, tj. Metę, Tik Tok, X. Projekty ustaw przyznają centralną rolę w realizacji regulacji DSA Prezesowi UKE.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/900 z dnia 13 marca 2024 r. w sprawie przejrzystości i targetowania reklamy politycznej

Wejście w życie: 9 kwietnia 2024 r.

Stosowanie – Od 10 października 2025 r.

Główne założenia: Akt ten ma na celu zapewnienie przy rozpowszechnianiu reklamy politycznej w przestrzeni cyfrowej pełnego poszanowania praw podstawowych i wolności zapisanych w Karcie praw podstawowych UE. Ma ono pomóc obywatelom w dokonywaniu  świadomych wyborów, ułatwiając rozpoznawanie reklamy politycznej, zrozumienie, kto za nią stoi i czy jest to reklama targetowana. Rozporządzenie przewiduje szczególne ograniczenia dotyczące tzw. mikrotargetowania. Wprowadzona zostaje definicja „reklamy politycznej” oraz „politycznego materiału reklamowego”. Akt unijny określa obowiązki dostawców usług reklamy politycznej, jej wydawców, tj. podmioty udostępniające publicznie materiały reklamowe oraz sponsorów.
Dostawcy reklamy zostają zobowiązani do prowadzenia rejestru swoich usług, udostępniane muszą też być informacje dotyczące, np. kryteriów targetowania. Przepisy rozporządzenia upoważnia Komisję Europejską do stworzenia europejskiego repozytorium politycznych materiałów reklamowych online, do którego wydawcy będą musieli zgłaszać tego typu treści. Rozporządzenie zawiera też przepisy, które ograniczają dezinformację i przeciwdziałają ingerencji państw trzecich w wybory.

Akt krajowy: w przygotowaniu w resorcie cyfryzacji.

Europejski Portfel Tożsamości Cyfrowej; EIDAS 2.0 (EU Digital Identity Wallet, eID)

Zgodnie z przyjętymi założeniami udostępnienie portfela przez kraje UE powinno nastąpić z końcem 2026 r.  

Główne założenia:

Europejski portfel tożsamości cyfrowej to dobrowolne rozwiązanie, które ma umożliwić elektroniczne potwierdzanie tożsamości oraz przechowywanie i okazywanie dokumentów w wersji elektronicznej w całej Unii Europejskiej. Narzędzie, oprócz potwierdzenia danych, ma również umożliwić korzystanie z usług administracji publicznej, podpisywania dokumentów elektronicznie czy realizacji wybranych usług transgranicznych. Nowe rozwiązanie ma zostać włączone do aplikacji mObywatel. Rozporządzenie przewiduje obowiązki zarówno dla państw (w związku z wydawaniem, uznawaniem portfeli i ich interoperacyjnością), a także niektórych podmiotów prywatnych (akceptowanie portfela jako metody identyfikacji).

Akt krajowy: projekt nowelizacji ustawy o usługach zaufania oraz identyfikacji elektronicznej oraz niektórych innych ustaw – na etapie uzgodnień międzyresortowych; cel – wdrożenie eIDAS 2.0 do krajowego porządku prawnego.

Zastanawiasz się, jak nowe regulacje wpłyną na Twoją organizację? Skontaktuj się z ekspertami Omni Modo

Napisz do nas! TUTAJ

 

Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies