NIS2, DORA, AI – nowe regulacje, o których warto wiedzieć w 2025 roku - Kancelaria Adwokacka Kramer i Wspólnicy sp. j.

W 2025 roku spółki działające na terenie Unii Europejskiej staną przed koniecznością dostosowania się do nowych regulacji w zakresie cyberbezpieczeństwa i zarządzania ryzykiem cyfrowym. Kluczowe znaczenie będą miały Dyrektywa NIS2 oraz Rozporządzenie DORA, które wprowadzą istotne zmiany w funkcjonowaniu przedsiębiorstw.

Dyrektywa NIS2 (Network and Information Systems Directive 2)

Dyrektywa NIS2, która weszła w życie w październiku 2024 roku, rozszerza zakres podmiotów objętych regulacjami dotyczącymi cyberbezpieczeństwa. Obejmuje ona 11 sektorów, w tym
energetykę, transport, bankowość, infrastrukturę rynku finansowego, zdrowie, wodę pitną, ścieki, infrastrukturę cyfrową, administrację publiczną, przestrzeń kosmiczną i żywność.
Dyrektywa nakłada na te podmioty obowiązek wdrożenia odpowiednich środków ochrony oraz zarządzania ryzykiem cyfrowym.

Rozporządzenie DORA (Digital Operational Resilience Act)

Rozporządzenie DORA, które zacznie obowiązywać od 17 stycznia 2025 roku, koncentruje się na wzmocnieniu odporności cyfrowej sektora finansowego poprzez rygorystyczne zarządzanie
ryzykiem i obowiązkowe testy bezpieczeństwa. Celem jest zapewnienie, że instytucje finansowe są w stanie wytrzymać, reagować i szybko odzyskać sprawność po zakłóceniach operacyjnych
spowodowanych incydentami cybernetycznymi.

Regulacje dotyczące sztucznej inteligencji (AI)

Unia Europejska pracuje nad ustawą o systemach sztucznej inteligencji, której uchwalenie planowane jest w 2025 roku. Akt w sprawie sztucznej inteligencji ma na celu ustanowienie ram
prawnych dla AI, obejmujących zasady etyczne, bezpieczeństwo oraz transparentność systemów AI.

Wpływ regulacji na spółki w 2025 roku

Wprowadzenie NIS2 i DORA oznacza dla spółek konieczność podjęcia szeregu działań:

1. Przeprowadzenie kompleksowej analizy ryzyka w obszarze ICT, identyfikacja potencjalnych zagrożeń i podatności systemów.
2. Implementacja odpowiednich procedur i narzędzi zapewniających ochronę przed cyberzagrożeniami.
3. Regularna ocena i nadzór nad podmiotami trzecimi świadczącymi usługi ICT, aby zapewnić ich zgodność z wymaganiami bezpieczeństwa.
4. Opracowanie procedur szybkiego i skutecznego zgłaszania incydentów cyberbezpieczeństwa do odpowiednich organów.

Przygotowanie spółek do wdrożenia regulacji

Aby skutecznie dostosować się do nowych wymogów, spółki powinny:

1. Ocenić aktualny stan zabezpieczeń i zidentyfikować obszary wymagające poprawy.
2. Zainwestować w edukację pracowników w zakresie najlepszych praktyk cyberbezpieczeństwa.
3. Skorzystać z usług specjalistów ds. cyberbezpieczeństwa w celu opracowania i wdrożenia skutecznych strategii ochrony.
4. Dostosować wewnętrzne polityki i procedury do nowych wymogów prawnych, zapewniając ich zgodność z NIS2 i DORA.

Znaczenie sztucznej inteligencji (AI) w kontekście nowych regulacji

Wzrost wykorzystania AI w działalności spółek niesie ze sobą zarówno korzyści, jak i ryzyka. Z jednej strony, AI może wspierać procesy związane z cyberbezpieczeństwem, takie jak
wykrywanie zagrożeń czy automatyzacja reakcji na incydenty. Z drugiej strony, cyberprzestępcy również korzystają z AI do przeprowadzania bardziej zaawansowanych ataków.

Dlatego spółki powinny:
1. Wykorzystać sztuczną inteligencję do monitorowania i ochrony swoich systemów informatycznych.
2. Być na bieżąco z najnowszymi trendami w zakresie AI, aby skutecznie przeciwdziałać nowym typom zagrożeń.
3. Przygotować plany reagowania na ataki wykorzystujące AI, uwzględniając specyfikę takich zagrożeń.

Podsumowanie

Rok 2025 przyniesie istotne zmiany w obszarze regulacji dotyczących cyberbezpieczeństwa i odporności cyfrowej. Spółki muszą podjąć proaktywne działania, aby dostosować się do wymogów Dyrektywy NIS2 i Rozporządzenia DORA, jednocześnie uwzględniając dynamiczny rozwój technologii AI. Tylko kompleksowe podejście do tych wyzwań pozwoli na utrzymanie konkurencyjności i zapewnienie bezpieczeństwa operacyjnego w zmieniającym się środowisku cyfrowym.