Nowe regulacje dotyczące cyberbezpieczeństwa w 2025 roku – co zmieni się dla firm i użytkowników

Wraz z nowymi przepisami dotyczącymi cyberbezpieczeństwa, organizacje otrzymują „okres karencji” na wprowadzenie niezbędnych zmian w celu osiągnięcia pełnej zgodności przed rozpoczęciem egzekwowania. Z perspektywy ochrony danych osobowych w 2025 roku, w pełni wejdzie w życie wiele nowych przepisów, co oznacza, że organizacje prawdopodobnie będą teraz podlegać różnym karom, jeśli nie będą gotowe i nie spełnią wszystkich stosownych wymagań. Dlatego w tym artykule przedstawimy najnowsze regulacje dotyczące cyberbezpieczeństwa, takie jak RODO 2025 i przeanalizujemy, jak wpłyną one na prywatność w Internecie.

W tym artykule omówimy pięć dużych przepisów dotyczących cyberbezpieczeństwa, które zostaną wprowadzone lub zmienione w 2025 r., a także kilka innych, bardziej niszowych przepisów, które również wchodzą w życie. Podsumowując, powinieneś uzyskać pełny obraz nadchodzącego krajobrazu cyberbezpieczeństwa, który ma się zmienić w 2025 r.

Ochrona danych osobowych 2025

Cyberbezpieczeństwo to złożona kwestia dla ekspertów w tej dziedzinie, a nowe prawa często dodatkowo utrudniają im pracę. Tak więc, widząc, co dzieje się z organizacjami, które nie przestrzegają przepisów, wskazujemy kilka kluczowych aspektów, które warto uwzględnić przy wyborze antywirusa i ochronie prywatności w Internecie.

5 przepisów cybernetycznych, na które należy się przygotować roku 2025

Poniższe ważne przepisy dotyczące cyberbezpieczeństwa, które mają wejść w życie w 2025 r., pochodzą z Europy i USA, a wszystkie mają na celu zwiększenie odporności cyfrowej, prywatności w Internecie i podniesienie poziomu cyberbezpieczeństwa.

1. Dyrektywa NIS 2

Dotyczy:

Znacznie szerszy zakres organizacji UE (w porównaniu z pierwotnym NIS) sklasyfikowanych jako niezbędne do funkcjonowania nowoczesnego społeczeństwa, w tym zarówno średnie, jak i duże przedsiębiorstwa w kluczowych sektorach publicznym i prywatnym.

Rozpoczęcie egzekwowania:

17 października 2024 r.

Zmiany te już obowiązują, więc jeśli Twoja organizacja nie wdrożyła jeszcze wszystkich niezbędnych środków, konieczne jest natychmiastowe działanie.

Dyrektywa NIS 2 stanowi aktualizację pierwotnej dyrektywy NIS opublikowanej w 2016 r. i ma na celu dalsze zwiększenie odporności cyberbezpieczeństwa infrastruktury krytycznej i kluczowych usług w całej UE dzięki obowiązkowym przepisom dotyczącym:

• Zgłaszanie incydentów.
• Zarządzanie ryzykiem stron trzecich.
• Kontrola dostępu.
• Szkolenia pracowników z zakresu cyberbezpieczeństwa.

NIS 2 nakłada także na kadrę zarządzającą obowiązek wdrożenia niezbędnych przepisów, gdyż dyrektywa zawiera również szczegółowe informacje na temat potencjalnych grzywien i odpowiedzialności w przypadku ich nieprzestrzegania.

2. Ustawa UE o odporności operacyjnej w obszarze cyfrowym (DORA)

Dotyczy:

Instytucje finansowe, dostawcy usług ICT (technologii informacyjno-komunikacyjnych) i inne podmioty uznawane za część krytycznej infrastruktury rynku finansowego, np. giełdy papierów wartościowych, centralne kontrahenty (CCP) i centralne depozyty papierów wartościowych, w UE.

Rozpoczęcie egzekwowania:

17 stycznia 2025 r.

Mając na celu poprawę odporności operacyjnej najważniejszych sektorów Europy, aby lepiej stawiać czoła zagrożeniom cybernetycznym i reagować na nie, kluczowe postanowienia ustawy DORA koncentrują się na następujących kwestiach:

• Poprawa zarządzania ryzykiem (w tym w odniesieniu do osób trzecich).
• Wymagania dotyczące zgłaszania konkretnych incydentów.
• Obowiązkowe testy odporności.

Biorąc pod uwagę złożoność i rygorystyczność ustawy DORA, stanowi ona decydujący krok UE w celu zapewnienia ciągłości usług po cyberatakach lub awariach informatycznych. Już teraz warto rozpocząć przygotowania, aby zapewnić pełną zgodność.

3. Ustawa UE o odporności cybernetycznej (CRA)

Dotyczy:

Producenci, importerzy i dystrybutorzy urządzeń podłączonych do sieci i oprogramowania na rynku UE

Rozpoczęcie egzekwowania:

11 grudnia 2027 r.

Przyjęta 10 października 2024 r. ustawa CRA UE ma zostać wkrótce podpisana i opublikowana. Egzekwowanie rozpocznie się 20 dni po publikacji, a jej postanowienia będą stopniowo stosowane, aż do momentu, gdy pełna zgodność będzie oczekiwana 26 miesięcy po publikacji.

W związku z tym organizacje zajmujące się „produktami z elementami cyfrowymi” będą musiały zacząć od:

• Przyjęcia wymaganych obecnie zasad cyberbezpieczeństwa na etapie projektowania.
• Podniesienia standardów programów reagowania na incydenty i zarządzania lukami w zabezpieczeniach.
• Tworzenia wykazu materiałów oprogramowania (SBOM).
• Wprowadzania środków wspierających wymaganą przejrzystość i wsparcie cyklu życia.
• Planowanie niezależnych ocen wymaganych dla produktów o wysokim ryzyku.

4. Ustawa UE o sztucznej inteligencji

Dotyczy:

Dostawcy i użytkownicy systemów AI w sektorze publicznym i prywatnym.

Rozpoczęcie egzekwowania:

Oficjalnie weszło w życie 1 sierpnia 2024 r., ale egzekwowanie będzie odbywać się etapami, a etap 1 nastąpi w 2025 r.

Ustawa UE o sztucznej inteligencji, kładąc nacisk na bezpieczeństwo, prawa podstawowe i przejrzystość, ma na celu wzmocnienie odpowiedzialnego rozwoju i wykorzystania sztucznej inteligencji w UE poprzez:

• Całkowity zakaz stosowania niebezpiecznych systemów sztucznej inteligencji (np. systemów oceniania społecznego i nadzoru biometrycznego w czasie rzeczywistym).
• Klasyfikowanie wszystkich innych systemów AI według ryzyka.
• Wprowadzanie środków mających na celu spełnienie wymogów bezpieczeństwa odpowiednich dla kategorii Twojego systemu.

Aby zapewnić zgodność z nowym prawem, należy już teraz rozpocząć tworzenie struktury zarządzania organizacyjnego. Powinna ona obejmować solidne środki zarządzania ryzykiem związanym ze sztuczną inteligencją i kontroli jakości, a także protokół dotyczący przejrzystości systemów sztucznej inteligencji.

5. Ustawa o zgłaszaniu incydentów cybernetycznych dla infrastruktury krytycznej (CIRCIA)

Dotyczy:

Podmioty wyznaczone jako część amerykańskiej infrastruktury krytycznej (zgodnie z definicją zawartą w dyrektywie politycznej prezydenta Obamy z 2013 r.)

Rozpoczęcie egzekwowania:

Agencja ds. bezpieczeństwa cybernetycznego i infrastruktury bezpieczeństwa (CISA) ma do marca 2025 r. termin na ustalenie ostatecznych przepisów ustawy.

Zgodnie z ustawą CIRCIA podmioty działające w takich sektorach jak opieka zdrowotna, transport, komunikacja oraz energetyka i gospodarka wodno-kanalizacyjna będą podlegać wymogom ustawy, w tym rygorystyczne terminy zgłaszania incydentów:

• Incydenty cyberbezpieczeństwa: w ciągu 72 godzin.
• Płatności za oprogramowanie ransomware: w ciągu 24 godzin.

Oczekuje się, że CISA w pewnym momencie opublikuje dalsze wytyczne dotyczące standardów bezpieczeństwa w ramach CIRCIA, jednak na razie organizacje wspierające amerykańską infrastrukturę krytyczną będą musiały przynajmniej rozpocząć przygotowania do wzmocnienia swoich procedur, aby móc sprostać wymaganiom dotyczącym raportowania.

Rozporządzenie w sprawie cyberbezpieczeństwa NYDFS

Mimo że rozporządzenie NYDFS dotyczące cyberbezpieczeństwa jest nieco bardziej specjalistyczne niż te, o których wspominaliśmy wcześniej — dotyczy ono instytucji finansowych posiadających licencję, zarejestrowanych lub upoważnionych do prowadzenia działalności w stanie Nowy Jork — jego zmienione wymagania z pewnością nadal zasługują na uwagę w kontekście dbania o prywatność w Internecie.

Zawierają one postanowienia dotyczące:

• Obowiązkowych niezależnych audytów, zarządzanie dostępem uprzywilejowanym oraz systemy wykrywania i reagowania na zagrożenia w punktach końcowych dla firm „klasy A”
• Wymagane coroczne testy penetracyjne, skanowanie podatności i ocena ryzyka.
• Podpisane roczne certyfikaty zgodności od głównego dyrektora ds. bezpieczeństwa informacji (CISO) każdej organizacji i najwyższego rangą dyrektora wykonawczego organizacji.
• Bardziej rygorystyczne zasady dotyczące haseł, w tym uwierzytelnianie wieloskładnikowe (MFA) w przypadku dostępu zdalnego i dostępu do informacji niepublicznych oraz ograniczenia dotyczące kont uprzywilejowanych.
• Rozszerzone obowiązki sprawozdawcze.
• Roczne testy wdrożonych planów ciągłości działania i odzyskiwania po awarii.

O ile celem tego prawa jest poprawa bezpieczeństwa i odporności nowojorskich instytucji finansowych na zagrożenia cybernetyczne, jest ono już w pewnym stopniu skuteczne, o tyle egzekwowanie konkretnych wymagań dotyczących kontroli dostępu i uwierzytelniania wieloskładnikowego (MFA) zacznie obowiązywać od maja 2025 r. i listopada 2025 r.

Inne ważne przepisy dotyczące bezpieczeństwa i prywatności, które mają wpływ na rok 2025

W 2025 r. wejdzie w życie kilka ustaw stanowych dotyczących ochrony danych osobowych, w tym:

Ustawa Delaware Personal Data Privacy Act (DPDPA): Uznawana za jedno z najbardziej rygorystycznych praw dotyczących ochrony danych osobowych w USA, ustawa ma wejść w życie 1 stycznia 2025 r. (choć ustawa umożliwi przedsiębiorstwom wdrożenie powszechnych mechanizmów rezygnacji w 2026 r.).

Ustawa o ochronie danych konsumentów w stanie Iowa: Opisywana jako „przyjazna dla biznesu” ustawa wchodzi w życie 1 stycznia 2025 r. i zawiera postanowienia dotyczące ochrony praw konsumentów i obowiązkowej przejrzystości.

Ustawa Maryland Online Data Privacy Act (MODPA): Przyznaje konsumentom w stanie Maryland możliwość dostępu, poprawiania lub usuwania swoich danych, a także rezygnacji z ukierunkowanej reklamy lub sprzedaży danych osobowych. Ustawa wchodzi w życie 1 października 2025 r.

Ustawa o ochronie danych osobowych konsumentów w Minnesocie (MCDPA): Ustawa MCDPA wejdzie w życie 31 lipca 2025 r. wraz z nowymi ograniczeniami dotyczącymi tego, co organizacje mogą robić z danymi osobowymi mieszkańców Minnesoty.

Ustawa o ochronie danych w Nebrasce (NDPA): Ustawa NDPA, która ma wejść w życie 1 stycznia 2025 r., zawiera istotne obowiązki, które muszą spełnić przedsiębiorstwa, w tym dokumentowanie polityki prywatności i innych solidnych zabezpieczeń przed niewłaściwym wykorzystaniem danych.

Ustawa o ochronie prywatności w stanie New Hampshire (NHPA): Ustawa ta ma na celu umożliwienie konsumentom kontroli nad ich danymi osobowymi poprzez ustalenie szczegółowych wymagań dotyczących sposobu, w jaki organizacje przetwarzają te dane. Ma ona wejść w życie 1 stycznia 2025 r.

Ustawa o ochronie danych osobowych w stanie New Jersey (NJDPA): Rozporządzenie to wchodzi w życie 15 stycznia 2025 r. i ma zastosowanie do organizacji prowadzących działalność na terenie stanu lub produkujących produkty i świadczących usługi skierowane do osób zamieszkałych w stanie New Jersey.

Ustawa o ochronie danych osobowych i bezpieczeństwie w Teksasie (TDPSA): Chociaż weszła ona w życie 1 lipca 2024 r., „okres karencji” dla organizacji na pełne dostosowanie się do niej — przewidziany w celu umożliwienia konsumentom skorzystania z wbudowanych mechanizmów rezygnacji — kończy się 1 stycznia 2025 r.

Ustawa o ochronie informacji w stanie Tennessee (TIPA): Ustawa wchodzi w życie 1 lipca 2025 r. i dotyczy organizacji prowadzących działalność gospodarczą w stanie Tennessee lub jego mieszkańcami oraz kontrolujących lub przetwarzających dane osobowe co najmniej 175 000 konsumentów.

Przygotowanie się na krajobraz cyberbezpieczeństwa w 2025 r.

Zabezpieczenie organizacji przed cyberzagrożeniami i ochrona danych w 2025 r. to wystarczająco trudne zadania, a konieczność jednoczesnego poruszania się po coraz bardziej złożonym krajobrazie regulacyjnym może sprawić, że sprawy będą wydawać się o wiele bardziej zniechęcające. Jak zauważyliśmy, rok 2025 będzie znaczący pod względem egzekwowania nowych przepisów, więc organizacje — jeśli jeszcze nie zaczęły rozumieć swoich obowiązków — muszą rozpocząć działania na rzecz zgodności już teraz.

Dobrym początkiem jest ocena luk w odniesieniu do każdego standardu lub struktury, którym podlega Twoja organizacja. Dlatego warto przeprowadzić testy odpowiedniego systemu antywirusowego, który spełni wszelkie kryteria związane z nowymi regulacjami i RODO w 2025 roku. Dlatego zachęcamy Cię do sprawdzenia możliwości, które zapewniają systemy z linii Bitdefender GravityZone oraz do kontaktu z nami.