Prawa i przepisy regulujące bezpieczeństwo cybernetyczne

Wysiłki zmierzające do rozwiązania problemu cyberbezpieczeństwa można zaobserwować de facto od początku stosowania technologii informacyjno-komunikacyjnych. Stopniowo przyjmowano zalecenia, standardy i normy techniczne w tej dziedzinie, które zwykle określały minimalne wymagania gwarantujące pewien poziom bezpieczeństwa.

Istnieje wiele powodów, dla których warto przyjąć i wdrożyć zasady bezpieczeństwa cybernetycznego. Najczęstsze z nich to na przykład negatywne skutki ekonomiczne w przypadku udanego ataku cybernetycznego, podczas którego skradzione zostaną dane wrażliwe. Udany atak cybernetyczny może również zagrozić własnym operacjom i funkcjonowaniu organizacji, ponieważ dostęp do systemów komputerowych lub danych może być ograniczony np. przez oprogramowanie typu ransomware. Innym powodem wprowadzenia cyberbezpieczeństwa może być także utrata wiarygodności zaatakowanej organizacji itp.

Ostatnim, ale nie mniej ważnym powodem wdrażania bezpieczeństwa cybernetycznego jest przestrzeganie przepisów prawnych oraz wynikających z nich praw i obowiązków. Dla wielu podmiotów ten powód legislacyjny wynika z ustawy o bezpieczeństwie cybernetycznym, ale błędem jest zakładanie, że jest to jedyna norma prawna odnosząca się do kwestii bezpieczeństwa cybernetycznego.

Szczególnie w ostatnich latach nastąpił znaczny wzrost liczby aktów prawnych, głównie międzynarodowych, które koncentrują się na działaniach podmiotów (osób fizycznych, prawnych, państw i innych organizacji) w cyberprzestrzeni.

Dziedzina bezpieczeństwa cybernetycznego bardzo różni się od innych obszarów, w których standardowe zasady bezpieczeństwa są stosowane w świecie rzeczywistym. Różnica ta polega przede wszystkim na możliwości dynamicznego rozwoju i natychmiastowej zmiany cyberataków i zagrożeń (większość zagrożeń w świecie rzeczywistym pozostaje względnie stała), co może stwarzać pewne problemy w odniesieniu do prawodawstwa. Regulacja prawna w tej dziedzinie musi być z jednej strony na tyle ogólna, aby umożliwić skuteczną reakcję na częściowo negatywne zjawiska w cyberprzestrzeni bez konieczności szczegółowego ich określania, z drugiej zaś nie może być zbyt ogólnikowa, aby nie naruszać praw i uzasadnionych interesów osób fizycznych w stopniu większym niż jest to absolutnie konieczne.

Przed przystąpieniem do analizy obowiązujących i skutecznych przepisów prawnych w dziedzinie cyberbezpieczeństwa należy zauważyć, że nie tylko w Unii Europejskiej istnieje wyraźne dążenie do wdrożenia bardziej skutecznych instrumentów prawnych, które poprawiłyby jakość bezpieczeństwa cybernetycznego i umożliwiły odpowiednie reagowanie na zagrożenia i ataki cybernetyczne. Stopniowo usuwane są niespójności i braki w normach prawnych państw członkowskich UE i innych krajów, które zdecydowały się aktywnie uczestniczyć w rozwoju cyberbezpieczeństwa.

"Metody ochrony danych i systemów informatycznych są obecnie przedmiotem wielu badań naukowych, ale sama techniczna ochrona tych systemów i danych bez podstawy prawnej może okazać się nieskuteczna ze względu na niejasne określenie, jak daleko może sięgać taka ochrona. W tym kontekście w pełni widoczna jest niespójność prawa krajowego z prawem innych krajów. Rozwój technologii komputerowych i informatycznych, który decyduje o międzynarodowym charakterze cyberprzestępczości, sprawia, że skuteczna ochrona systemów komputerowych i danych jest nie do pomyślenia bez międzynarodowych lub ponadnarodowych ram prawnych, nie tylko między państwami członkowskimi UE, ale w skali globalnej."[1]

W tym rozdziale skoncentrujemy się na ramach prawnych dotyczących bezpieczeństwa cybernetycznego w UE i krajach partnerskich programu Erasmus+.