Z dzisiejszego felietonu dowiesz się:
🥇 jak wyglądają terminy na dostosowanie niektórych aktów z obszaru technologii ❓
🥈 jakie propozycje szykuje nam Komisja Europejska i czy „zdażymy”❓
🥉 jak powinniśmy postąpić myśląc o #compliance i realizacji naszych celów biznesowych❓
Zanim przejdziemy jednak do meritum, to małe ogłoszenie!
Rozmawiając z moimi klientami często słyszę – 😱 „Michał, ja wiem, że nie potrafisz wróżyć, ale czy możemy spróbować określić kiedy „[tu wstaw dowolny akt prawny]” zacznie nas obowiązywać”? O tych „dowolnych aktach prawnych” pisałem m.in. tutaj.
No, a jak pytają mnie 🧐, to odpowiadam. Zazwyczaj jest to wiele mówiące – „nie wiem, czas pokaże, czas pokaże”. Jak się domyślacie mało kogo satysfakcjonuje taka odpowiedź. Przepisów, które w jakiś sposób kształtować mogą nasze podejście do zgodności i konkretnych decyzji biznesowych jest w zasadzie całkiem sporo, choć rzecz jasna nie wszystkie będą nas dotykać.
Przyjmijmy jednak, że będąc firmą o profilu lub apetycie technologicznym możemy chcieć zrozumieć „harmonogram” stosowania dla:
⚖️ AI Act, czyli rozporządzenia o sztucznej inteligencji,
🔐 NIS2 i krajowej implementacji w ramach ustawy o krajowym systemie cyberbezpieczeństwa, a może nawet i Cyberresilience Act,
🦾 Data Act i Data Governance Act, czyli aktów „o danych”,
🇪🇺 RODO w „uproszczonej” odsłonie i precyzującego niektóre aspekty związane z AI,
📹 EIDAS 2.0 i koncepcji portfeli biznesowych.
To takie absolutne minimum, ale jeżeli macie jeszcze jakieś „terminowe” wątpliwości, to jestem do Waszej dyspozycji. Generalnie w przestrzeni prawno-technologicznej mamy całkiem sporo perełek, które dotykają konkretnych sektorów (np. medycznego) czy obszarów. A do tego dochodzą plany i strategie, które Unia Europejska planuje wprowadzić lub nawet już wprowadza.
Za przykład może posłużyć nam chociażby rewizja Cybersecurity Act.
No to jak z tymi terminami?
Zacznijmy od tego, że:
🎯 zasadnicza część przepisów AI Act powinna zacząć obowiązywać od 2 sierpnia 2026 r. (a następna transza to już 2027 rok), a część [chociażby praktyki zakazane już obowiązuje od 2025 roku] ale…
🎯 przepisy NIS2 powinny być wdrożone do porządku krajowego już całkiem dawno, więc jesteśmy w tzw. niedoczasie i opóźnieniu, ale…
🎯 zasadnicza część przepisów Data Act i Data Governance Act, powinna zacząć obowiązywać albo już teraz, albo w 3. kwartale 2026 r., ale…
🎯 przepisy RODO obowiązują, więc nie ma jakiegoś jasnego terminu na „dostosowanie”, ale…
🎯 EIDAS2 to teoretycznie koniec tego roku, ale…
No i tutaj dochodzimy do sedna, czyli tych wszystkich „ale”.
Jest coś takiego jak Digital Omnibus Package (także tutaj dla AI Act) czyli propozycja zmian do wielu aktów prawnych, które Komisja Europejska chciałaby jak najszybciej wprowadzić, żeby ułatwić robienie biznesu technologicznego. I jednocześnie nas zabezpieczyć. Problem w tym, że ta propozycja wprowadzić ma nie tylko zmiany, ale także wydłużyć niektóre terminy na dostosowanie.
Nie byłoby może w tym nic nadzwyczajnego, gdyby nie fakt, że proces podejmowania takich ambitnych projektów – w sensie operacyjnym i prawnym – jest złożony i zazwyczaj trwa całkiem sporo. To przecież nie tylko „logika”, ale i polityka, która czasem możemy wywrócić stolik do góry nogami.
Co mówią „źródła”?
Źródła z Brukseli „mówią”, że jest duża presja na przyjęcie „omnibusa” szybko, jeszcze przed terminem wejścia w życie przepisów o systemach wysokiego ryzyka ⏳ z załącznika III, czyli 2 sierpnia tego roku. Gdy zapytałem „różnych źródeł”, czyli skorzystałem z dostępnych modeli językowych (tutaj zawsze ostrożnie!), to panowała raczej „zgoda” – jest to scenariusz może nie nierealny, ale jednak mało prawdopodobny.
Oczywiście nie można wykluczyć, że się uda i wtedy wszyscy będziemy świętować. Tylko tutaj ważna uwaga – nawet jeżeli czas na dostosowanie nie zostanie przesunięty, to do egzekwowania i realizacji określonych założeń (np. piaskownice regulacyjne) potrzebować będziemy ustawy. Wydaje się, że strona rządowa raczej czeka na dalsze kroki Unii Europejskiej z jej przyjęciem (w sumie słusznie), więc nawet w scenariuszu, gdzie w Brukseli 🇧🇪 nie uda się przyjąć pakietu, raczej nie grożą nam kary.
Nie oznacza to, że nie powinniśmy się dostosować. Powinniśmy, bo to jednak stan niezgodności. Tyle tylko, że karą może być ostracyzm, a nie poważne kary finansowe.
NIS2, czyli sagi #cyberbezpieczeństwa ciąg dalszy
Obszar cyberbezpieczeństwa w legislacji to (nie)wdzięczny temat. Niby wszyscy wiedzą, że trzeba się chronić przed atakami, że trzeba budować odporność, ale dopóki nie wydarzy się jakiś f**kup lub przepisy nie wprowadzą obowiązku i sankcji, to traktujemy to z dużym dystansem.
NIS2 jako dyrektywa powinna być zaimplementowana do porządku prawnego już dawno, ale nadal nie doczekaliśmy się przyjęcia ustawy. Dobra wiadomość jest taka, że przyjął ją Sejm i w lutym pewnie zrobi to Senat. Problemy są jednak dwa:
🎯 co zrobi Prezydent, który ustawę może zawetować?
🎯 co z kolejnymi propozycjami zmian do NIS2, Cybersecurity Act i dostosowaniem do Cyberreslience Acrt?
No właśnie, a to tylko początek góry 🗻 lodowej. Zmiany, które wprowadzono w trakcie prac sejmowych sprowadzają się do:
- wydłużenia terminu na dostosowanie z 6 do 12 miesięcy,
- nałożenia moratorium na kary na okres 24 miesięcy – dostosować się musisz, ale nie grozi Ci sankcja,
- obniżono poziom odpowiedzialności osobistej osób odpowiedzialnych za te kwestie w organizacjach.
Konsekwencja jest taka, że dla wielu podmiotów to nadal stan dużej niepewności. Choć czują podskórnie, że muszą się dostosować, to jednak motywacja nie jest „zabójcza”.
Co z regulacjami „danowymi”?
Krótko. Z jednej strony Digital Omnibus, a z drugiej brak ustaw wdrażających rozwiązania instytucjonalne. Nie ma więc ani narzędzi do wykorzystania potencjału, np. w zakresie pośrednictwa danych, ani pewności czy obowiązujące terminy będą obowiązujące.
Tyczy się to także RODO i proponowanych zmian, w tym odnoszących się do uporządkowania kwestii wykorzystania danych osobowych na potrzeby trenowania.
A portfele tożsamości cyfrowej?
Niby na koniec 2026 r. powinniśmy być gotowi w zakresie udostępniania możliwości skorzystania z dobrodziejstw eIDAS2.0, czyli przede wszystkim Europejskich Portfeli Tożsamości Cyfrowej. Niby, bo różnie to wygląda w poszczególnych krajach. Do tego dochodzą pomysły Komisji Europejskiej w zakresie portfeli biznesowych, które mają duży potencjał.
Tutaj więc czas pokaże, choć wierzę, że akurat w Polsce uda się to przeprowadzić sprawnie.
No to co robić, Michale?
Moim zdaniem nie ma co czekać. Nie dlatego, że chętnie w tym pomogę ❗️ Te akty prawne, o których piszę w pierwszej części felietonu to nasza zdolność do odpierania zagrożeń cyfrowych oraz lepszej realizacji celów biznesowych.
AI Act daje nam podstawy do budowania AI Governance (oraz Data Governance!!!), a NIS2 wraz z CRA wzywa do poukładania kwestii związanych z cyberbezpieczeństwem. Jeżeli zaplanujemy sobie jakiś sensowy harmonogram na najbliższe 12-24 miesięcy, to jesteśmy wygrani. Raz, że sukcesy będziemy osiągać wraz z kamieniami milowymi, a dwa nie skonsumujemy całego budżetu od razu.
Tym samym, warto spojrzeć na te akty także z tej perspektywy. A jeżeli nie, to może jednak lepiej być gotowym w tym stanie niepewności?