Globalne i regionalne regulacje cyberbezpieczeństwa 2024-2025: Kompleksowy przegląd i analiza wpływu

Krajobraz Cyberbezpieczeństwa 2024-2025: globalne i regionalne regulacje cyberbezpieczeństwa

Krajobraz regulacyjny w obszarze cyberbezpieczeństwa na całym świecie dynamicznie ewoluuje, co stanowi bezpośrednią i coraz bardziej zdecydowaną odpowiedź ustawodawców na gwałtownie rosnącą skalę, złożoność oraz dotkliwość globalnych zagrożeń cybernetycznych. Obserwujemy wyraźny i utrzymujący się trend globalnej proliferacji oraz, w wielu przypadkach, postępującej fragmentacji wymogów regulacyjnych dotyczących bezpieczeństwa cyfrowego, ochrony danych i zarządzania ryzykiem. Dla organizacji, zwłaszcza tych prowadzących działalność na wielu rynkach międzynarodowych lub będących częścią złożonych, globalnych łańcuchów dostaw, stanowi to coraz poważniejsze wyzwanie i znaczące obciążenie operacyjne, finansowe oraz strategiczne. Jak wskazują najnowsze badania, ponad 76% dyrektorów ds. bezpieczeństwa informacji (CISO) w dużych przedsiębiorstwach zgłasza, że właśnie ta fragmentacja i niekiedy sprzeczność wymogów regulacyjnych pomiędzy różnymi jurysdykcjami negatywnie wpływa na zdolność ich organizacji do efektywnego budowania spójnej, globalnej cyberodporności oraz optymalizacji inwestycji w bezpieczeństwo.

Jakie są kluczowe i najbardziej wpływowe regulacje cyberbezpieczeństwa wprowadzone lub wchodzące w życie w Unii Europejskiej w latach 2024-2025 i jakie obowiązki nakładają na przedsiębiorstwa?

Unia Europejska konsekwentnie pozycjonuje się jako jeden z najbardziej aktywnych i wpływowych regulatorów na świecie w dziedzinie cyberbezpieczeństwa, ochrony danych oraz regulacji technologii cyfrowych. W ostatnich latach UE wprowadziła lub finalizuje wdrażanie szeregu kompleksowych, często bardzo ambitnych aktów prawnych, mających na celu systemowe wzmocnienie odporności cyfrowej państw członkowskich, ochronę obywateli oraz zapewnienie bezpiecznego i godnego zaufania jednolitego rynku cyfrowego. Poniżej przedstawiono najważniejsze z tych regulacji, które będą kształtować obowiązki przedsiębiorstw w latach 2024-2025 i w kolejnych okresach.

Akt o sztucznej inteligencji (AI Act): Ten przełomowy akt prawny, będący pierwszą na świecie kompleksową regulacją dotyczącą sztucznej inteligencji, formalnie wszedł w życie 1 sierpnia 2024 roku. Należy jednak podkreślić, że większość jego kluczowych przepisów i obowiązków będzie egzekwowana stopniowo, w kolejnych etapach rozłożonych na lata 2025 i 2026, dając podmiotom czas na dostosowanie. AI Act wprowadza innowacyjne, podejście oparte na analizie ryzyka (risk-based approach), klasyfikując systemy AI do różnych kategorii w zależności od potencjalnego zagrożenia, jakie mogą stwarzać dla praw podstawowych, zdrowia, bezpieczeństwa czy demokracji. Najsurowsze wymogi i ograniczenia (w tym w niektórych przypadkach zakazy) dotyczą systemów AI uznanych za „wysokiego ryzyka” (high-risk AI systems), takich jak te stosowane w zarządzaniu infrastrukturą krytyczną, diagnostyce i leczeniu w opiece zdrowotnej, systemach edukacyjnych i rekrutacyjnych, czy w działaniach organów ścigania i wymiaru sprawiedliwości. Kluczowe obowiązki dla dostawców i użytkowników systemów AI wysokiego ryzyka dotyczą m.in. zapewnienia ich solidności technicznej, wysokiej dokładności i niezawodności, odpowiedniego zarządzania jakością danych treningowych (w tym minimalizacji stronniczości – bias), zapewnienia transparentności działania, umożliwienia ludzkiego nadzoru, wdrożenia odpowiednich środków cyberbezpieczeństwa (zgodnie z zasadami „privacy by design and by default” oraz „security by design”), obowiązku raportowania poważnych incydentów oraz prowadzenia szczegółowej dokumentacji technicznej i oceny zgodności. AI Act ściśle współdziała z innymi kluczowymi regulacjami unijnymi, takimi jak dyrektywa NIS2, Akt o danych (Data Act) czy Akt o Cyberbezpieczeństwie (Cybersecurity Act), tworząc spójne ramy prawne dla rozwoju i wdrażania bezpiecznej i godnej zaufania sztucznej inteligencji w UE. Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) opublikowała już dokument „Framework for AI Cybersecurity Practices (FAICP)” jako praktyczne, niewiążące wytyczne wspierające implementację wymogów Aktu w zakresie cyberbezpieczeństwa. Co niezwykle istotne, AI Act ma zasięg eksterytorialny, co oznacza, że dotyczy nie tylko podmiotów z UE, ale także tych spoza Unii, które oferują systemy AI na rynku unijnym lub których systemy AI mają wpływ na osoby znajdujące się w UE. Przewiduje również bardzo wysokie kary finansowe za nieprzestrzeganie przepisów, sięgające w najpoważniejszych przypadkach nawet 35 milionów euro lub 7% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (w zależności od tego, która kwota jest wyższa).

Dyrektywa NIS2 (Network and Information Systems Directive 2): Państwa członkowskie Unii Europejskiej miały formalny obowiązek transponować tę kluczową dyrektywę do swojego prawa krajowego do dnia 17 października 2024 roku. Jednakże, według stanu na luty 2025 roku, aż 19 państw członkowskich (w tym niestety również Polska) nie notyfikowało jeszcze Komisji Europejskiej pełnej i prawidłowej transpozycji tej dyrektywy, co może prowadzić do postępowań o naruszenie prawa UE. Dyrektywa NIS2 znacząco rozszerza zakres podmiotowy i przedmiotowy poprzedniej dyrektywy NIS z 2016 roku, obejmując swoim zasięgiem aż 18 sektorów gospodarki i usług publicznych uznanych za kluczowe (essential) lub ważne (important) dla niezakłóconego funkcjonowania gospodarki i społeczeństwa w UE. Do sektorów tych należą m.in. energetyka, transport (wszystkie gałęzie), bankowość i infrastruktura rynków finansowych, opieka zdrowotna (w tym producenci leków i wyrobów medycznych), infrastruktura cyfrowa (dostawcy usług chmurowych, data center, sieci telekomunikacyjne), produkcja i dystrybucja kluczowych produktów (np. chemicznych, spożywczych), gospodarka wodno-ściekowa, zarządzanie odpadami, usługi pocztowe i kurierskie, a także administracja publiczna na poziomie centralnym i regionalnym. NIS2 nakłada na objęte nią podmioty (zarówno z sektora publicznego, jak i prywatnego) szereg konkretnych obowiązków, w tym przede wszystkim obowiązek wdrożenia odpowiednich, proporcjonalnych do ryzyka środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem cybernetycznym. Środki te muszą obejmować m.in. analizę ryzyka, polityki bezpieczeństwa informacji, zarządzanie incydentami, zapewnienie ciągłości działania, bezpieczeństwo łańcucha dostaw (w tym relacji z dostawcami usług IT), bezpieczeństwo zasobów ludzkich, stosowanie kryptografii oraz obowiązek zgłaszania poważnych incydentów bezpieczeństwa do właściwych organów krajowych (CSIRT – Computer Security Incident Response Team) oraz, w niektórych przypadkach, do odbiorców usług – zazwyczaj w ciągu 24 godzin od momentu wykrycia incydentu (wstępne zgłoszenie), a następnie dostarczenie bardziej szczegółowych informacji. W Holandii, przykładowo, przewiduje się, że nowe przepisy krajowe oparte na NIS2 wejdą w życie dopiero w trzecim kwartale 2025 roku. Obserwuje się również znaczne różnice w podejściu do szczegółowej implementacji wymogów NIS2 w poszczególnych krajach członkowskich, np. w zakresie klasyfikacji konkretnych podmiotów do poszczególnych sektorów, procedur rejestracji tych podmiotów, czy też wysokości sankcji za nieprzestrzeganie przepisów.

DORA (Digital Operational Resilience Act – Rozporządzenie o Operacyjnej Odporności Cyfrowej): To kompleksowe rozporządzenie, w przeciwieństwie do dyrektyw, ma bezpośrednie zastosowanie we wszystkich państwach członkowskich UE i wchodzi w życie 17 stycznia 2025 roku. DORA jest specjalnie skierowana do całego sektora finansowego Unii Europejskiej (obejmując banki, zakłady ubezpieczeń i reasekuracji, firmy inwestycyjne, instytucje płatnicze, giełdy, izby rozliczeniowe itp.) oraz, co bardzo istotne, do kluczowych dostawców zewnętrznych usług ICT dla tego sektora (np. dostawców usług chmurowych, systemów transakcyjnych, platform analitycznych). Głównym celem DORA jest zharmonizowanie i wzmocnienie cyfrowej odporności operacyjnej instytucji finansowych w całej UE. Nakłada ona na te podmioty szereg rygorystycznych obowiązków w pięciu kluczowych filarach:

  1. Kompleksowe zarządzanie ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (ICT Risk Management): Wymaga ustanowienia solidnych ram zarządzania ryzykiem ICT, regularnej identyfikacji i oceny ryzyka, wdrożenia odpowiednich środków bezpieczeństwa.
  2. Zgłaszanie poważnych incydentów ICT: Ujednolicone i zharmonizowane zasady klasyfikacji i raportowania poważnych incydentów związanych z ICT do właściwych organów nadzoru.
  3. Testowanie cyfrowej odporności operacyjnej: Regularne przeprowadzanie testów odporności, w tym, dla najbardziej krytycznych instytucji, obowiązek przeprowadzania co najmniej raz na trzy lata zaawansowanych testów penetracyjnych opartych na analizie zagrożeń (Threat-Led Penetration Testing – TLPT).
  4. Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT (Third-Party Risk Management – TPRM): Szczegółowe wymogi dotyczące należytej staranności przy wyborze dostawców, monitorowania ich działalności, zarządzania umowami oraz planów awaryjnych w przypadku problemów z dostawcą.
  5. Wymiana informacji i danych wywiadowczych o zagrożeniach: Zachęcanie do dobrowolnej wymiany informacji o cyberzagrożeniach i incydentach w ramach zaufanych społeczności. Implementacja wszystkich wymogów DORA stanowi obecnie jedno z największych wyzwań dla instytucji finansowych w UE, szczególnie w obszarach budowania kompleksowych ram TPRM, zrozumienia i przeprowadzenia złożonych testów TLPT oraz skutecznej integracji nowych, bardzo szczegółowych wymogów z już istniejącymi w organizacjach ramami zarządzania ryzykiem operacyjnym i bezpieczeństwem informacji.

Akt o cyberodporności (CRA – Cyber Resilience Act): To kolejne ważne rozporządzenie, które formalnie weszło w życie 10 grudnia 2024 roku. Jednakże, podobnie jak w przypadku AI Act, większość jego kluczowych obowiązków dla producentów i innych podmiotów zacznie obowiązywać dopiero po okresie przejściowym, tj. od 11 grudnia 2027 roku. CRA ma na celu ustanowienie horyzontalnych wymogów cyberbezpieczeństwa dla bardzo szerokiej gamy produktów z elementami cyfrowymi (zarówno sprzętu, jak i oprogramowania, w tym komponentów oprogramowania) wprowadzanych po raz pierwszy na rynek Unii Europejskiej. Nakłada on szereg nowych, istotnych obowiązków przede wszystkim na producentów tych produktów, ale także na importerów i dystrybutorów. Do kluczowych wymogów należą:

  • Obowiązek zapewnienia odpowiedniego poziomu bezpieczeństwa produktów „by design” i „by default” już na etapie ich projektowania i rozwoju.
  • Obowiązek skutecznego zarządzania podatnościami przez cały zdefiniowany cykl życia produktu, w tym obowiązek zgłaszania aktywnie wykorzystywanych podatności w swoich produktach do agencji ENISA w ciągu 24 godzin od momentu powzięcia o nich wiedzy (ten konkretny wymóg wejdzie w życie znacznie wcześniej, bo już 11 września 2026 roku).
  • Obowiązek dostarczania użytkownikom regularnych aktualizacji bezpieczeństwa (poprawek) przez co najmniej 5 lat od wprowadzenia produktu na rynek lub przez przewidywany okres jego użytkowania (w zależności od tego, który okres jest dłuższy).
  • Konieczność przeprowadzania ocen zgodności z wymogami CRA (w niektórych przypadkach z udziałem jednostek notyfikowanych) oraz umieszczania na produktach oznakowania CE potwierdzającego tę zgodność.
  • Obowiązek dostarczania użytkownikom szczegółowej dokumentacji technicznej dotyczącej bezpieczeństwa produktu, w tym, co bardzo istotne, wykazu komponentów oprogramowania (Software Bill of Materials – SBOM), który ma zwiększyć transparentność i ułatwić zarządzanie podatnościami w zależnościach.

GDPR (RODO – Ogólne Rozporządzenie o Ochronie Danych): Chociaż RODO obowiązuje już od 2018 roku, jego egzekwowanie przez krajowe organy ochrony danych (Data Protection Authorities – DPAs) jest w latach 2024-2025 coraz bardziej rygorystyczne i konsekwentne, a nakładane kary finansowe za naruszenia przepisów osiągają rekordowo wysokie poziomy. Przykładowo, w styczniu 2025 roku koncern Meta został ukarany przez irlandzki organ nadzorczy (jako wiodący organ dla Meta w UE) grzywną w wysokości aż 1,2 miliarda euro za niezgodne z prawem UE transfery danych osobowych europejskich użytkowników do Stanów Zjednoczonych. We wrześniu 2024 roku platforma TikTok otrzymała od tego samego organu karę w wysokości 345 milionów euro za naruszenia związane z przetwarzaniem danych osobowych dzieci i brakiem odpowiednich zabezpieczeń w tym zakresie. Obserwuje się również rosnącą i bardziej szczegółową kontrolę ze strony organów nadzorczych nad wykorzystaniem systemów sztucznej inteligencji oraz danych biometrycznych w kontekście zgodności z zasadami RODO (np. minimalizacji danych, celowości przetwarzania, podstawy prawnej). Zaostrzane są także zasady dotyczące transgranicznego transferu danych osobowych poza Europejski Obszar Gospodarczy (EOG) – nowe ramy prawne EU-U.S. Data Privacy Framework, które weszły w życie w 2023 roku, mają zastąpić wcześniej unieważniony przez Trybunał Sprawiedliwości UE mechanizm Tarczy Prywatności, jednak ich stabilność prawna wciąż jest przedmiotem dyskusji i potencjalnych przyszłych wyzwań prawnych. W całym 2024 roku w Europie nałożono łącznie kary z tytułu naruszeń RODO na kwotę przekraczającą 1,2 miliarda euro.

Jakie są najważniejsze federalne i stanowe inicjatywy legislacyjne oraz zmiany regulacyjne w Stanach Zjednoczonych dotyczące cyberbezpieczeństwa i ochrony danych w latach 2024-2025?

W Stanach Zjednoczonych, podobnie jak w Unii Europejskiej, obserwujemy w latach 2024-2025 dynamiczny rozwój i ewolucję regulacji dotyczących cyberbezpieczeństwa, ochrony prywatności oraz zarządzania ryzykiem technologicznym. Działania te podejmowane są zarówno na poziomie federalnym, przez Kongres i agencje rządowe, jak i na poziomie poszczególnych stanów, które często wprowadzają własne, nierzadko bardziej rygorystyczne przepisy.

CIRCIA (Cyber Incident Reporting for Critical Infrastructure Act of 2022): Ta ważna ustawa federalna, uchwalona w marcu 2022 roku, nakłada na operatorów infrastruktury krytycznej w USA obowiązek zgłaszania poważnych incydentów cybernetycznych do federalnej Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA). Obecnie CISA intensywnie pracuje nad opracowaniem szczegółowych przepisów wykonawczych (final rule) do tej ustawy. Zgodnie z planem, ostateczna wersja tych przepisów ma zostać opublikowana pod koniec 2025 roku, a same wymogi dotyczące raportowania incydentów wejdą w życie najprawdopodobniej w 2026 roku, po okresie przygotowawczym dla objętych regulacją podmiotów. Proponowane przez CISA przepisy, przedstawione do konsultacji publicznych w kwietniu 2024 roku, przewidują m.in. obowiązek zgłaszania „poważnych incydentów cybernetycznych” (których definicja jest przedmiotem dyskusji) w ciągu 72 godzin od momentu ich wykrycia oraz, co budzi szczególne kontrowersje, obowiązek zgłaszania faktu dokonania płatności okupu w atakach ransomware w ciągu zaledwie 24 godzin od takiej płatności. Propozycja CISA spotkała się z pewną krytyką ze strony przedstawicieli przemysłu oraz niektórych członków Kongresu, głównie z powodu obaw o zbyt szeroki zakres podmiotów i typów incydentów objętych potencjalną regulacją, a także o możliwe obciążenia administracyjne dla firm. Szacuje się, że przepisy CIRCIA mogą objąć swoim zasięgiem nawet ponad 300 tysięcy podmiotów z 16 sektorów uznanych za infrastrukturę krytyczną w USA.

Aktualizacje przepisów HIPAA (Health Insurance Portability and Accountability Act): W odpowiedzi na lawinowo rosnące zagrożenia dla bezpieczeństwa i prywatności danych medycznych (ePHI – electronic Protected Health Information), federalny Departament Zdrowia i Usług Społecznych (HHS) zaproponował w okresie grudzień 2024 / styczeń 2025 istotne aktualizacje do tzw. HIPAA Security Rule. Główne proponowane zmiany mają na celu podniesienie minimalnych standardów bezpieczeństwa dla podmiotów objętych HIPAA (Covered Entities oraz ich Business Associates). Obejmują one m.in. wprowadzenie obowiązkowego uwierzytelniania wieloskładnikowego (MFA) dla każdego dostępu do systemów przechowujących lub przetwarzających ePHI, wzmocnienie i ujednoznacznienie wymogów dotyczących szyfrowania ePHI (zarówno danych przechowywanych w spoczynku – data at rest, jak i danych przesyłanych w tranzycie – data in transit), ujednolicenie zasad implementacji wszystkich kontroli bezpieczeństwa (eliminując dotychczasowe, często mylące rozróżnienie na kontrole „wymagane” i „adresowalne” – wszystkie miałyby stać się wymagane), obowiązek prowadzenia szczegółowej inwentaryzacji zasobów technologicznych i map sieci, przeprowadzania corocznych, kompleksowych audytów zgodności z HIPAA Security Rule, a także wprowadzenie wymogu regularnego skanowania podatności (co najmniej co 6 miesięcy) oraz przeprowadzania testów penetracyjnych (co najmniej raz w roku) przez wszystkie objęte podmioty.

Regulacje dotyczące sztucznej inteligencji (AI): Zarówno na poziomie federalnym, jak i w poszczególnych stanach, pojawiają się coraz liczniejsze nowe inicjatywy legislacyjne i regulacyjne dotyczące różnych aspektów rozwoju, wdrażania i wykorzystania systemów sztucznej inteligencji. Na poziomie federalnym warto wymienić np. TAKE IT DOWN Act (uchwalony w kwietniu 2025), który penalizuje niekonsensualne rozpowszechnianie intymnych obrazów generowanych przez AI (np. tzw. deepfake pornografia) i nakazuje platformom internetowym ich szybkie usuwanie. W Kongresie procedowany jest również projekt ustawy CREATE AI Act, mający na celu utworzenie Narodowego Zasobu Badawczego AI (National AI Research Resource – NAIRR), który miałby zapewnić amerykańskim badaczom szeroki dostęp do zasobów obliczeniowych, danych treningowych i narzędzi niezbędnych do prowadzenia innowacyjnych badań nad AI. Narodowy Instytut Standaryzacji i Technologii (NIST) odgrywa kluczową rolę w opracowywaniu dobrowolnych ram i wytycznych dla bezpiecznego i godnego zaufania AI. W marcu 2025 roku NIST opublikował ważny raport „Trustworthy and Responsible AI Report”, zawierający zestaw dobrowolnych wytycznych, standardów i metodologii dotyczących m.in. zabezpieczania systemów AI przed manipulacją, atakami oraz minimalizowania ryzyka stronniczości. NIST pracuje również nad koncepcją Cyber AI Profile (ogłoszoną w kwietniu 2025), która ma na celu opracowanie konkretnego zestawu podejść i kontroli do zarządzania ryzykiem cybernetycznym w celu ochrony systemów AI przed istniejącymi i nowymi, specyficznymi dla AI zagrożeniami. Równolegle, poszczególne stany, takie jak Kalifornia (np. ustawa AB 2655 dotycząca regulacji deepfake’ów w kontekście kampanii wyborczych) czy Nowy Jork (np. projekt ustawy AI Act Bill dotyczący obowiązku przeprowadzania audytów stronniczości w narzędziach AI wykorzystywanych w procesach rekrutacyjnych), wprowadzają własne, często bardzo szczegółowe przepisy regulujące różne aspekty wykorzystania AI.

Zmiana podejścia administracji federalnej i potencjalna deregulacja: Warto odnotować pewną zmianę kierunku polityki federalnej USA w zakresie regulacji nowych technologii, w tym AI, która może być związana ze zmianami administracyjnymi. W styczniu 2025 roku wydane zostało Rozporządzenie Wykonawcze (Executive Order – EO), które uchyliło niektóre wcześniejsze dyrektywy poprzedniej administracji Bidena i położyło znacznie większy nacisk na usuwanie barier regulacyjnych dla amerykańskiego przywództwa i innowacyjności w dziedzinie sztucznej inteligencji. Kolejne EO, wydane w lutym 2025 roku, wymaga od niezależnych agencji federalnych (takich jak Federal Trade Commission – FTC, Securities and Exchange Commission – SEC, Federal Communications Commission – FCC) uprzedniego konsultowania swoich planów regulacyjnych dotyczących sektora technologicznego z Białym Domem (konkretnie z Biurem Informacji i Spraw Regulacyjnych – OIRA). Może to w praktyce prowadzić do ogólnego spowolnienia tempa wprowadzania nowych regulacji lub nawet do pewnej deregulacji w niektórych obszarach, w tym w sektorze technologicznym. Natomiast EO z marca 2025 roku, zatytułowane „Achieving Efficiency Through State and Local Preparedness”, zdaje się sugerować próbę przeniesienia części odpowiedzialności za budowanie odporności i przygotowanie na cyberataki na poziom władz stanowych i lokalnych, co może prowadzić do dalszej fragmentacji podejścia regulacyjnego w USA.

Regulacje dotyczące bezpieczeństwa produktów (w tym urządzeń IoT): Stany Zjednoczone podejmują również działania mające na celu wzmocnienie bezpieczeństwa produktów cyfrowych, w tym urządzeń Internetu Rzeczy (IoT). PADFAA (Protecting Americans’ Data from Foreign Adversaries Act) to ustawa federalna, która została uchwalona w kwietniu 2024 roku i weszła w życie w czerwcu 2024 roku. Zakazuje ona brokerom danych sprzedaży, transferu lub innego rodzaju ujawniania wrażliwych danych osobowych obywateli USA (takich jak dane geolokalizacyjne, dane biometryczne, informacje zdrowotne) do krajów uznanych przez rząd USA za adwersarzy (obecnie są to Chiny, Rosja, Iran i Korea Północna) oraz do podmiotów kontrolowanych przez te państwa. Z kolei ustawa IoT Cybersecurity Improvement Act of 2020 nałożyła na NIST obowiązek opracowania i regularnej aktualizacji federalnych wytycznych dotyczących minimalnych standardów cyberbezpieczeństwa dla urządzeń IoT nabywanych i używanych przez agencje rządu federalnego. NIST jest obecnie (w 2025 roku) w trakcie pięcioletniej rewizji tych kluczowych wytycznych (m.in. dokumentów NIST IR 8259, NIST SP 800-213), a plany aktualizacji przewidują m.in. uwzględnienie specyfiki bezpieczeństwa przemysłowego IoT (IIoT) oraz analizę złożonych zależności między prywatnością a cyberbezpieczeństwem urządzeń IoT. Ważną inicjatywą jest również uruchomiony w styczniu 2025 roku dobrowolny program etykietowania cyberbezpieczeństwa dla konsumenckich urządzeń IoT, znany jako US Cyber Trust Mark. Program ten jest administrowany przez Federalną Komisję Łączności (FCC) i opiera się na standardach bezpieczeństwa opracowanych przez NIST. Ma on na celu ułatwienie konsumentom identyfikacji i wyboru bezpieczniejszych produktów IoT dostępnych na rynku. Istnieje również możliwość rozszerzenia tego programu etykietowania na inne kategorie urządzeń w przyszłości.

Dyrektywy CISA i inne regulacje federalne dla sektora publicznego: Agencja CISA regularnie wydaje tzw. Wiążące Dyrektywy Operacyjne (Binding Operational Directives – BODs) oraz, w sytuacjach nagłych, Dyrektywy Nadzwyczajne (Emergency Directives – EDs). Dyrektywy te nakładają na amerykańskie agencje federalne konkretne, często bardzo szczegółowe i czasowo określone obowiązki w zakresie wdrażania określonych środków cyberbezpieczeństwa, łatania podatności czy reagowania na konkretne zagrożenia. Przykładem może być dyrektywa BOD 25-01 z grudnia 2024 roku, dotycząca wdrażania zestawu bezpiecznych praktyk konfiguracyjnych dla usług chmurowych wykorzystywanych przez agencje federalne. Ponadto, Biuro Zarządzania i Budżetu Białego Domu (Office of Management and Budget – OMB) corocznie publikuje szczegółowe wytyczne dotyczące implementacji ustawy Federal Information Security Modernization Act (FISMA), które określają wymogi sprawozdawcze i audytowe dla wszystkich agencji federalnych w zakresie bezpieczeństwa informacji.


Kluczowe wnioski (Key Takeaways):

Konieczność proaktywnego zarządzania zgodnością i ryzykiem: W obliczu tak dynamicznych i złożonych zmian regulacyjnych, kluczowe dla wszystkich organizacji staje się nie tylko bieżące śledzenie ewolucji przepisów w różnych jurysdykcjach, ale przede wszystkim proaktywne zarządzanie ryzykiem cybernetycznym i prywatności oraz wdrażanie odpowiednich, zintegrowanych środków technicznych, organizacyjnych i proceduralnych w celu zapewnienia trwałej zgodności (compliance).

Globalna tendencja do zaostrzania i fragmentacji regulacji: Zarówno UE, jak i USA intensyfikują działania legislacyjne w odpowiedzi na rosnące cyberzagrożenia, co prowadzi do coraz większej liczby wymogów i potencjalnych wyzwań dla organizacji działających globalnie.

Unia Europejska jako lider w tworzeniu kompleksowych ram prawnych: UE wdraża przełomowe regulacje, takie jak AI Act (podejście oparte na ryzyku dla AI), NIS2 (rozszerzone obowiązki dla sektorów kluczowych), DORA (odporność operacyjna sektora finansowego) i CRA (bezpieczeństwo produktów cyfrowych), kontynuując jednocześnie rygorystyczne egzekwowanie GDPR, co ma znaczący wpływ na globalne standardy.

Dynamiczny rozwój regulacji w Stanach Zjednoczonych: USA wprowadzają nowe przepisy federalne (np. CIRCIA dotyczące raportowania incydentów, aktualizacje HIPAA dla sektora zdrowia) oraz liczne inicjatywy stanowe, szczególnie w obszarze sztucznej inteligencji; obserwuje się również pewne zmiany w podejściu administracji federalnej, mogące prowadzić do deregulacji w niektórych obszarach.

Rosnący nacisk na bezpieczeństwo produktów i IoT: Zarówno w UE (poprzez Akt o cyberodporności – CRA), jak i w USA (poprzez IoT Cybersecurity Improvement Act oraz program US Cyber Trust Mark) widoczny jest silny trend w kierunku regulowania bezpieczeństwa produktów z elementami cyfrowymi, w tym urządzeń Internetu Rzeczy, już od etapu projektowania i przez cały cykl ich życia.

Eksterytorialność przepisów i wysokie kary finansowe: Wiele nowych i istniejących regulacji (np. AI Act w UE, GDPR) charakteryzuje się zasięgiem eksterytorialnym, wpływając na organizacje na całym świecie, oraz przewiduje bardzo dotkliwe kary finansowe za nieprzestrzeganie nałożonych obowiązków, co wymusza na firmach globalne podejście do zgodności.

Zainteresowała Cię nasza oferta? Zapytaj o szczegóły

Skontaktuj się z nami, aby odkryć, jak nasze kompleksowe rozwiązania IT mogą zrewolucjonizować Twoją firmę, zwiększając bezpieczeństwo i efektywność działania w każdej sytuacji.

?
?
Zapoznałem/łam się i akceptuję politykę prywatności.*

156480

O autorze:
Łukasz Szymański

Łukasz to doświadczony profesjonalista z wieloletnim stażem w branży IT. Jako Dyrektor Operacyjny, koncentruje się na optymalizacji procesów biznesowych, zarządzaniu operacjami i wspieraniu długoterminowego rozwoju firmy. Jego wszechstronne kompetencje obejmują zarówno aspekty techniczne, jak i biznesowe, co potwierdza jego wykształcenie w dziedzinie informatyki oraz zarządzania.

W swojej pracy Łukasz kieruje się zasadami efektywności, innowacyjności i ciągłego doskonalenia. Jego podejście do zarządzania operacyjnego opiera się na strategicznym myśleniu i wykorzystaniu najnowszych technologii do usprawniania działań firmy. Jest znany z umiejętności skutecznego łączenia celów biznesowych z możliwościami technologicznymi.

Łukasz to przede wszystkim praktyk. Swoje doświadczenie budował od podstaw, rozpoczynając karierę jako administrator systemów UNIX/AIX. Ta praktyczna wiedza techniczna stanowi solidny fundament jego obecnej roli, pozwalając mu na głębokie zrozumienie technicznych aspektów projektów IT.

Szczególnie interesuje się obszarem automatyzacji procesów biznesowych, rozwojem technologii chmurowych oraz wdrażaniem zaawansowanych rozwiązań analitycznych. Skupia się na wykorzystaniu tych technologii do zwiększania efektywności operacyjnej i wspierania innowacji w firmie.

Aktywnie angażuje się w rozwój zespołu, promując kulturę ciągłego uczenia się i adaptacji do zmieniających się warunków rynkowych. Wierzy, że kluczem do sukcesu w dynamicznym świecie IT jest elastyczność, szybkość działania oraz umiejętność przewidywania i odpowiadania na przyszłe potrzeby klientów.

Share with your friends