Na przestrzeni ostatnich lat – w szczególności od transpozycji przez państwa członkowskie Unii Europejskiej w 2018 r. pierwszej horyzontalnej regulacji w obszarze cyberbezpieczeństwa, czyli Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa NIS) – kwestia regulacji cyberbezpieczeństwa i określenia wspólnych cyberstandardów dla konkretnych branż nabiera coraz większego znaczenia. Najlepszym przykładem tej tendencji jest fakt, że już po transpozycji dyrektywy NIS zaproponowane w niej rozwiązania okazały się niewystarczające i dwa lata po jej implementacji, pod koniec 2020 r., Komisja Europejska opublikowała projekt tzw. dyrektywy NIS 2. Ma ona zastąpić stosowaną od ledwie trzech lat dyrektywę NIS, aby dokładniej uporządkować kwestie cyberbezpieczeństwa w całej Unii Europejskiej.

Zarówno dyrektywa NIS, jak i dyrektywa NIS 2 stanowią tylko preludium regulacyjnego cybertsunami, które jest coraz bardziej zauważalne w tym obszarze. Dotyczy to nie tylko legislacji i pojawiających się nowych projektów dyrektyw przygotowanych przez Komisję Europejską, które mają określać powszechne reguły ochrony przed cyberzagrożeniami, lecz także mnogości wytycznych dla kolejnych sektorów gospodarki wydawanych, często w sposób nieskoordynowany przez różne podmioty.

Kolejne regulacje dotyczące (cyber)bezpieczeństwa

O ile celem dyrektywy NIS (i implementującej ją w polskim prawie ustawy o krajowym systemie cyberbezpieczeństwa z 2018 r.[1]) oraz dyrektywy NIS 2 jest uporządkowanie i ustalenie w całej Unii Europejskiej generalnych zasad przeciwdziałania cyberzagrożeniom oraz sprawnego zarządzania występującymi incydentami bezpieczeństwa w kluczowych dla gospodarek państw członkowskich sektorach, o tyle w Unii Europejskiej dodatkowo pojawiają się pomysły szczegółowych regulacji dotyczących konkretnych kategorii podmiotów.

Wśród pomysłów, które obecnie się urealniają, jest propozycja Komisji Europejskiej dotycząca nowej dyrektywy w sprawie odporności podmiotów krytycznych (tzw. dyrektywa CER). Na podstawie tej dyrektywy ma zostać zharmonizowany sposób identyfikacji podmiotów krytycznych, a zatem pełniących podstawowe funkcje społeczne i mających wpływ na bezpieczeństwo publiczne państwa członkowskiego, oraz mają być określone sposoby ochrony podmiotów identyfikowanych jako krytyczne, w tym ustalenie zasad przeciwdziałania wszystkim zagrożeniom. Dyrektywa CER ma uzupełniać regulacje europejskie w zakresie bezpieczeństwa o to, co nie zostanie objęte dyrektywą NIS 2.

Unia Europejska zwraca również uwagę na bezpieczeństwo sektora finansowego, w związku z czym przedstawiła na początku 2021 r. propozycję rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (tzw. rozporządzenie DORA). Rozporządzenie DORA ma stworzyć jednolite przepisy na poziomie europejskim, które określą zasady zarządzania ryzykami dotyczącymi ICT oraz obsługi incydentów związanych z ICT wykorzystywanymi przez sektor finansowy. Sektor ten, oprócz banków i instytucji płatniczych, obejmuje nawet platformy crowdfundingowe czy usługodawców obsługujących kryptowaluty.

Wzmożenie działań w zakresie regulacji cyberbezpieczeństwa jest zauważalne nie tylko na poziomie europejskim, lecz także w polskiej legislacji. Najjaskrawszym tego przykładem jest procedowany od ponad roku projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, który przy każdej kolejnej prezentacji nowego tekstu nowelizacji dokłada nowe propozycje regulacji cyberbezpieczeństwa, wykraczające poza to, czego wymaga obowiązująca obecnie dyrektywa NIS.

Lawina wytycznych

Pojawiające się na przestrzeni ostatnich kilku lat nowe legislacje na poziomie europejskim i krajowym to niejedyny element regulacji cyberbezpieczeństwa. Minione dwa lata to zauważalna tendencja pojawiania się wielu wytycznych i rekomendacji dotyczących cyberbezpieczeństwa poszczególnych sektorów.

Wytyczne publikowane są m.in. przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (tzw. ENISA)[2], której publikacje obejmują coraz więcej sektorów. Wytyczne ENISA jedynie w samym 2021 r. dotyczyły takich sektorów, jak: finansowy, energii, transportu wodnego i powietrznego, telekomunikacyjny czy zdrowia. Jednocześnie w ramach bieżącej działalności ENISA publikuje rekomendacje, raporty lub inne opracowania, które omawiają kwestię cyberbezpieczeństwa w kontekście takich zagadnień, jak: usługi chmurowe, usługi zaufania, interoperacyjność systemów, uczenie maszynowe, kryptowaluty.

Również na polskim podwórku pojawiły się opracowania podejmujące próbę standaryzacji rozwiązań zabezpieczających sieci i systemy informatyczne, w tym najbardziej kompleksowe w tym zakresie i dotyczące wszystkich sektorów Narodowe Standardy Cyberbezpieczeństwa[3], w ramach których powstały Standardy Cyberbezpieczeństwa Chmur Obliczeniowych. Dodatkowo opracowywane są konkretne rekomendacje przez organy publiczne, które odpowiadają za dany sektor. Warto wspomnieć opublikowane w październiku 2021 r. przez Ministerstwo Klimatu i Środowiska kompleksowe rekomendacje w zakresie cyberbezpieczeństwa dla polskiego sektora energii[4].

Co więcej, własne rekomendacje publikują organizacje z poszczególnych sektorów, aby samodzielnie ustalać standardy cyberbezpieczeństwa dla swojej branży. Za znak czasu należy uznać również to, że elementy cyberbezpieczeństwa pojawiły się w II tomie rekomendacji dotyczących zamówień publicznych na systemy informatyczne, przygotowanych przez Urząd Zamówień Publicznych pod koniec 2021 r.[5]

Co dalej?

Zauważalny w ostatnich latach wzrost zainteresowania kwestiami cyberbezpieczeństwa bez wątpienia przybiera na sile i będzie nadal postępował w najbliższych latach. Obecnie – bez zbędnej przesady – można stwierdzić, że nie ma miesiąca, w którym nie pojawiają się nowe wytyczne dla poszczególnych sektorów, publikowane czy to przez podmioty międzynarodowe, czy przez organizacje działające w Polsce. Można mówić o prawdziwej inflacji regulacji cyberbezpieczeństwa. Liczba publikowanych wytycznych jest na tyle duża, że chcąc być z nimi na bieżąco, można niemal utonąć w zalewnie opracowań i wytycznych. Niestety jednocześnie wraz ze wzrostem ilości publikacji na temat cyberbezpieczeństwa coraz bardziej uwidocznia się problem braku koordynacji wydawanych poszczególnych wytycznych. Co więcej ich ilość i objętość niekoniecznie przekładają się na jakość tych dokumentów, a tym samym na tworzone standardy w zakresie cyberbezpieczeństwa.

Niestety w najbliższym czasie można spodziewać się, że trend tworzenia nowych, zarówno twardych, jak i miękkich regulacji prawnych w zakresie cyberbezpieczeństwa może się nasilać, jeśli ciała prawodawcze (europejskie czy polskie) będą się decydowały – idąc śladem rozporządzenia DORA – na uregulowanie kwestii cyberbezpieczeństwa odrębnie dla kolejnych sektorów, m.in. takich jak energetyka, sektor zdrowia czy chociażby usługi publiczne. Pytanie tylko, czy naprawdę konieczne i celowe jest, aby każdy sektor posiadał własne odrębne, a jednocześnie bardzo zbliżone do pozostałych regulacje w zakresie cyberbezpieczeństwa i czy nie warto czasem zastanowić się nad maksymą „mniej znaczy więcej”?

[1] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2020 r., poz. 1369).

[2] Zob. https://www.enisa.europa.eu/ (dostęp: 2.02.2022).

[3] Zob. https://www.gov.pl/web/baza-wiedzy/narodowe-standardy-cyberbezpieczenstwa (dostęp: 2.02.2022).

[4] Zob. https://www.gov.pl/web/klimat/rekomendacje-w-zakresie-cyberbezpieczenstwa-dla-polskiego-sektora-energii (dostęp: 2.02.2022).

[5] Zob. https://www.uzp.gov.pl/strona-glowna/slider-aktualnosci/ii-tom-rekomendacji-dotyczacych-zamowien-publicznych-na-systemy-informatyczne/ii-tom-rekomendacji-dotyczacych-zamowien-publicznych-na-systemy-informatyczne (dostęp: 2.02.2022).