Rozporządzenie DORA i Dyrektywa NIS2 – co to takiego
W listopadzie 2022 r. Rada Unii Europejskiej przyjęła nowe przepisy w obszarze cyberbezpieczeństwa: DORA i NIS2. Czy te akty prawne obowiązują bezpośrednio w Polsce? Czy dotyczą jednostek publicznych czy też innych podmiotów? Czy istnieje konieczność wdrożenia nowych wymogów w zakresie cyberbezpieczeństwa w zakresie DORA i NIS2?
Rozporządzenie DORA to regulacja kluczowa dla instytucji finansowych
DORA to unijne rozporządzenie zaostrzające wymogi w zakresie oceny ryzyka i sprawozdawczości w sektorze finansowym. Jest to Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 („DORA”).
Rozporządzenie zacznie obowiązywać po upływie 24 miesięcy od jego publikacji, czyli od 17 stycznia 2025 r.
DORA obejmie swoim zasięgiem głównie instytucje i przedsiębiorstwa z sektora finansowego. Będzie ono stosowane bezpośrednio w polskim porządku prawnym.
Nowa Dyrektywa NIS2 zastąpi Dyrektywę NIS
Z kolei NIS 2 to dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylająca dyrektywę (UE) 2016/1148 (NIS2). Weszła ona w życie w dniu 16 stycznia 2023 r. Jej wdrożenie w Polsce wymagało uchwalenia nowych przepisów z zakresu cyberbezpieczeństwa. Dyrektywa NIS2 ma zastąpić nadal obowiązującą dyrektywę NIS z 2016 r.
Po wejściu dyrektywy NIS2 w życie, państwa członkowskie miały 21 miesięcy na jej wprowadzenie do krajowych porządków prawnych – termin upływa 27 września 2024 r.
Obowiązki wynikające z nowych przepisów NIS 2
Ten akt prawny dotyczy z kolei podmiotów kluczowych z wybranych sektorów i wśród nich jest też np. administracja publiczna oraz opieka zdrowotna. Wśród obowiązków wynikających z tej dyrektywy można wymienić:
-
zgłaszanie istotnych incydentów właściwym organom w ciągu 24 godzin od uzyskania informacji o incydentach istotnych;
-
w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego.
-
Rozporządzenie Parlamentu Europejskiego i Rady(UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011
-
Dyrektywa Parlamentu Europejskiego i Rady(UE) 2022/2555 z dnia 14 grudnia 2022 r.w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)
- Pracownik w delegacji – jak wygląda przekazywanie jego danych osobowych do państwa trzeciego
- Postępowanie z ryzykiem dla danych osobowych w związku z wdrożeniem sztucznej inteligencji AI
- Kiedy należy sporządzić ocenę skutków dla ochrony danych w związku z wdrożeniem sztucznej inteligencji
- Księga główna przychodni zawiera dane osobowe o zdrowiu pacjentów
- Jak zapewnić ochronę danych w tworzonym oprogramowaniu
- Ochrona sygnalistów a RODO - czy IOD może obsługiwać zgłoszenia naruszeń prawa
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
