Kilka lat temu czytelnik zdziwiłby się, gdyby tematem numeru były wymagania dotyczące zarządzania energią. Prąd ma być i można się tylko zastanawiać, jak się zabezpieczyć przed awarią. Zasady się jednak zmieniły, a efektywność energetyczną IT wskazywałem niedawno jako produkt roku 2022. Co jednak z innymi wymaganiami?

Gdyby podróże w czasie były możliwe, ten sam czytelnik rzucony w przełom tysiącleci po kilku rozmowach z prawnikami ze zdumieniem odkryłby, że poznał już wszystkich specjalistów w Polsce. W owych pięknych czasach jedynie prawo autorskie miało znaczenie dla branży, a powszechnie uważano, że dział regulacyjny Telekomunikacji Polskiej jest liczebnie większy niż wszystkie działy prawne polskiego IT. Co zapewne było prawdą. Od tego czasu poziom wód w Zatoce Informatyków rośnie bardzo szybko, a liczba prawników TMT (Telecom, Media, Technology) to już setki osób.

Tamę otworzyło rodo, ale w ślad za nim poszły kolejne akty prawne – na poziomie unijnym uchwalone zostały m.in. Cybersecurity Act, dyrektywa NIS (Network Infrastructure Security), rozporządzenie Free Flow of Data, potem DMA, DSA, DGA, a ostatnio DORA i dyrektywy CER i NIS2. Do tego dodano ogromne zmiany w prawie telekomunikacyjnym wynikające z uchwalenia Europejskiego Kodeksu Łączności Elektronicznej. W ciągu następnych miesięcy przed nami jeszcze co najmniej E-evidence (chodzi o sformalizowanie w UE procesu żądania dostępu do danych przez właściwe organy ścigania – tekst jest już uzgodniony) i Data Act, które już obecnie, ze względu na rozbudowane wymagania, nazywane jest rodo dla danych nieosobowych. Wreszcie AI Act, który w świetle szaleństwa wokół ChatGPT będzie budził żywe zainteresowanie nie tylko wąskiego grona informatyków i prawników, ale także polityków. A jak mawiał Mark Twain: „Niczyje zdrowie, wolność ani mienie nie są bezpieczne, kiedy obraduje parlament”

Materia wcale nie była i nie jest taka prosta. Cybersecurity Act praktycznie nie jest stosowany. Przygotowanie i wdrożenie ustawy o krajowym systemie cyberbezpieczeństwa (inaczej uksc – transpozycja dyrektywy NIS na grunt prawa polskiego) trwało długo, a jej, ekhm, skuteczność spowodowała, że już mamy dyrektywę NIS2. Co nie przeszkadza, by już niemal od dwóch lat procesować nowelizację uksc dostosowaną do NIS1. Zmiana prawa telekomunikacyjnego (obecnie pod nazwą PKE, prawo komunikacji elektronicznej) miała nastąpić nie później niż w grudniu 2021 r., a dopiero teraz jest w Sejmie. A kontrowersje wokół zapisów ciągle występują. Wdrożenie tej wielkiej fali dyrektyw, rozporządzeń, ustaw i innych aktów prawnych będzie długie, bolesne i zagrożone wieloma karami. Zarówno bowiem europejski, jak i polski ustawodawca jest przekonany, że jak nie ma zagrożenia karą, to nikt się zapisami prawa przejmować nie będzie.

Tu trzeba dodać, że Unia Europejska jest dumna ze swojego regulacyjnego działania. Liczne akty prawne mają stanowić wkład Starego Kontynentu w światową informatykę. Wygląda bowiem na to, że w obszarze technologii – z wyjątkiem nielicznych nisz – wysoko wywiesiliśmy białą flagę. Kto uważa inaczej, niech przeczyta unijny dokument strategiczny o Digital Decade 2030 – parę rytualnych zaklęć, trochę myślenia życzeniowego i żadnej próby podjęcia na serio rękawicy w starciu z Ameryką i Azją. Mamy pozamiatane, więc teraz pokażmy – tak jak pokazaliśmy w przypadku rodo – jak należy uregulować cyberprzestrzeń. Bo rzeczywiście rodo stanowiło drogowskaz dla reszty świata w dziedzinie ochrony danych osobowych. Choć oczywiście możemy, a nawet powinniśmy, przedyskutować, czy spowodowało jedynie wprowadzenie pewnych procedur, czy też RZECZYWIŚCIE jego skutkiem jest lepsze zabezpieczenie danych. A nawet jeśli rodo niezaprzeczalnie opancerzyło nasze dane, to czy koszt był wart aktualnego rezultatu? A czy rodo – w tym roku minie pięciolecie stosowania – dobrze zabezpiecza przed atakami sponsorowanymi przez państwa i przed współczesną przestępczością zorganizowaną? Czy dobrze ukierunkowaliśmy nasze wysiłki?

Przed nami fala regulacji IT – pracochłonna i kosztowna. Towarzyszyć jej będzie konieczność dostosowania się i odpowiedniego raportowania. To samo wydarzenie będzie zgłaszane do kilku regulatorów i będzie obwarowane wymaganymi formularzami oraz czasem reakcji. Cała nadzieja w AI. À propos, testowaliście ChatGPT?

Michał Jaworski – autor od niepamiętnych czasów związany z polskim oddziałem firmy Microsoft.