Cyber prasówka #2 – DSA, AI i nowe portfele dla biznesu

Dzisiaj trochę więcej o nowych regulacjach na poziomie unijnym i krajowym, bo ostatnio dużo się w tej materii wydarzyło.

Systemowe ryzyka w sieci – pierwszy raport w oparciu DSA

Koniec z cyfrowym Dzikim Zachodem! Europejska Rada ds. Usług Cyfrowych (EDSB) i Komisja Europejska właśnie rzuciły światło na systemowe zagrożenia, jakie czekają na nas w sieci. Opublikowano przełomowy, pierwszy raport, oparty na Akcie o usługach cyfrowych (DSA), który staje się fundamentem nowej, bezpieczniejszej cyfrowej dekady.

Dokument, przygotowany na podstawie Art. 35 ust. 2 DSA, identyfikuje najważniejsze i najczęściej występujące ryzyka systemowe związane z gigantami internetu – bardzo dużymi platformami (VLOPs) i wyszukiwarkami (VLOSEs). Wśród nich?

• Nielegalne i niebezpieczne treści: Rozpowszechnianie materiałów pedofilskich (CSAM) oraz zalew niebezpiecznych podróbek (kosmetyków, zabawek, elektroniki), a nawet materiałów wybuchowych i substancji chemicznych.
• Zagrożenia dla najmłodszych: Ryzyka związane z ochroną małoletnich i pogarszający się dobrostan psychiczny użytkowników, w tym rosnące uzależnienie od mediów społecznościowych.

Raport podaje też konkretne sposoby na walkę z tymi plagami. Platformy wdrażają programy ochrony własności intelektualnej i – co ciekawe – wykorzystują zautomatyzowane narzędzia do wykrywania ukrytych treści, np. gdy do szyfrowania nielegalnych działań używane są… emotikony!

To dopiero początek. Ten raport to punkt startowy dla długofalowej strategii. Dzięki dostępowi do danych (Art. 40 DSA) i przyszłym badaniom, nasza wiedza o ryzykach systemowych będzie rosła, a przepisy Art. 34 i 35 DSA staną się coraz bardziej precyzyjne i oparte na twardych danych.

Pełen tekst raportu znajdziecie tutaj.

Cyfrowa dekada pod lupą – czy cele są aktualne?

Komisja Europejska nie zwalnia tempa. 25 listopada 2025 roku ogłoszono przegląd Programu Polityki Cyfrowej na 2030 rok (DDPP). Pytanie jest proste: czy cele cyfrowe przyjęte w 2022 roku nadal mają sens w obliczu generatywnej AI, zaostrzającej się rywalizacji technologicznej i zmieniających się priorytetów geopolitycznych?

W ramach przeglądu Komisja sprawdzi:

• Ambitność celów w obszarach infrastruktury cyfrowej, umiejętności, cyfryzacji usług publicznych i biznesu.
• Sposoby na przyspieszenie transformacji i uproszczenie zarządzania, aby zmniejszyć biurokrację.
• Zgodność polityki i finansowania, zwłaszcza w perspektywie końca wsparcia z Funduszu Odbudowy i nadchodzących Wieloletnich Ram Finansowych.
• Zaangażowanie lokalne, czyli rolę miast i regionów w dostarczaniu korzyści cyfrowych obywatelom i MŚP.

Konsultacje potrwają do 23 grudnia 2025 roku, a ich wyniki mają posłużyć do stworzenia raportu do 30 czerwca 2026 r. Być może zaowocuje to nawet nowymi propozycjami legislacyjnymi!

Cyfrowy Omnibus VII to rewolucja w AI, danych i prywatności

19 listopada 2025 roku to kolejna data, którą warto zapamiętać. Komisja Europejska przyjęła tzw. Cyfrowy Omnibus na temat AI oraz Cyfrowy Omnibus na temat danych, cyberbezpieczeństwa i prywatności. Cel? Uproszczenie cyfrowych przepisów i zredukowanie uciążliwych obowiązków administracyjnych.

Co nowego w Cyfrowym Omnibusie dot. AI?

Najważniejsza zmiana dotyczy harmonogramu. Obowiązki dla systemów wysokiego ryzyka AI zostają powiązane z dostępnością narzędzi pomocniczych, takich jak zharmonizowane standardy i wytyczne. Konsultacje publiczne trwają do 26 stycznia 2026.

• Nowe terminy: Obowiązki z Załącznika III zaczną obowiązywać 6 miesięcy po ich potwierdzeniu, a z Załącznika I – 12 miesięcy później. Najpóźniej ma to nastąpić odpowiednio 2 grudnia 2027 r. i 2 sierpnia 2028 r.
• Centralizacja nadzoru: Biuro ds. AI przy Komisji przejmie centralną odpowiedzialność za nadzór nad niektórymi systemami wysokiego ryzyka, zwłaszcza tymi opartymi na modelach GPAI (AI ogólnego przeznaczenia), a także systemami zintegrowanymi z największymi platformami (VLOPs/VLOSEs).
• Edukacja cyfrowa: Wymóg zapewnienia AI literacy spada z dostawców i użytkowników na… Komisję i państwa członkowskie! To oni mają promować edukację i wspierać szkolenia, a Komisja wyda w tym celu kompleksowe wytyczne.

Data, Cyber, Privacy – uproszczenie reguł

Drugi strumień Omnibusa koncentruje się na konsolidacji obowiązków w zakresie cyberbezpieczeństwa, danych i prywatności. Przedłużono też terminy wdrożenia, aby dać firmom i władzom czas na spokojne dostosowanie się.

• Konsolidacja danych: Trzy akty prawne (o swobodnym przepływie danych nieosobowych, DGA i Otwartych Danych) zostaną scalone w Data Act, tworząc jeden spójny system i eliminując nakładające się na siebie wymogi.
• Wyjaśnienia RODO: Dane nie są uznawane za osobowe, jeśli podmiot nie może rozsądnie zidentyfikować jednostek. Dozwolone staje się przetwarzanie danych osobowych na potrzeby rozwoju AI w ramach prawnie uzasadnionego interesu, z wyjątkiem wrażliwych danych, gdy zastosowano techniczne zabezpieczenia.
• Zgłaszanie naruszeń: Zgłaszanie naruszeń organom i osobom fizycznym będzie konieczne tylko wtedy, gdy istnieje wysokie ryzyko dla praw i wolności. Termin na zgłoszenie naruszenia organom wydłużono do 96 godzin.
• Koniec z cookie-barem (prawie): Przepisy dotyczące plików cookie zostaną w pełni ujednolicone z RODO, zastępując obecny podział z dyrektywą e-Privacy. Zgoda nadal będzie wymagana dla bardziej inwazyjnego śledzenia, ale nie dla celów niskiego ryzyka lub ściśle niezbędnych. Nowość: Dostawcy przeglądarek (którzy nie są MŚP) będą musieli zapewnić techniczne środki do automatycznego zarządzania zgodami i sprzeciwami, co otwiera drogę do centralnych mechanizmów zarządzania cookie (np. przez przeglądarkę).
• Jeden punkt zgłaszania incydentów: ENISA stworzy ujednolicony interfejs do raportowania incydentów (NIS2, DORA, eIDAS, CER, RODO). Firmy będą zgłaszać raz, a władze same rozprowadzą informację, eliminując wielokrotne zgłoszenia!

European Business Wallet – cyfrowy portfel dla firm

W ramach pakietu cyfrowego, Komisja ogłosiła również inicjatywę European Business Wallet (EBW). To zharmonizowane cyfrowe rozwiązanie, które ma usprawnić operacje i zmniejszyć biurokrację dla firm w całej UE.

EBW to coś więcej niż cyfrowy dowód tożsamości. Umożliwi firmom:

• Bezpieczną identyfikację i uwierzytelnianie.
• Wymianę danych z pełnym skutkiem prawnym.
• Wydawanie, przechowywanie i prezentowanie elektronicznych zaświadczeń o atrybutach.
• Korzystanie z kwalifikowanych podpisów i pieczęci elektronicznych.
• Tworzenie i zarządzanie pełnomocnictwami.

Kluczem jest „zasada równoważności” – działania wykonane za pomocą EBW będą miały taką samą moc prawną, jak te wykonane osobiście lub na papierze. System będzie ściśle powiązany z European Digital Identity Wallets (EUDIW) dla osób fizycznych i zapewni pełną interoperacyjność. Co istotne, jednoosobowi przedsiębiorcy będą mogli używać swojego EUDIW do dostępu do usług zaufania EBW.

Nowe obowiązki czekają również sektor publiczny – organy będą musiały akceptować podstawowe funkcje EBW w ciągu 24 miesięcy i same nabyć portfel do wymiany dokumentów. Dostawcy EBW będą musieli mieć siedzibę w UE, a za naruszenia grożą wysokie kary, do 2% rocznego światowego obrotu.