Browsing Tag

ue

ochrona konsumentów

Zakaz geoblokowania w handlu elektronicznym

19 czerwca 2019
zakaz geoblokowania

Od grudnia 2018 roku obowiązuje unijne rozporządzenie w sprawie nieuzasadnionego blokowania geograficznego oraz innych form dyskryminacji klientów ze względu na przynależność państwową, miejsce zamieszkania lub miejsce prowadzenia działalności na rynku wewnętrznym[1] („Rozporządzenie”), ustanawiające unijny zakaz geoblokowania.

Cel rozporządzenia 

W wyniku wejścia w życie przepisów Rozporządzenia, osoba chcąca dokonać zakupu towaru lub usługi na terenie dowolnego kraju objętego Europejskim Obszarem Gospodarczym („EOG”), może oczekiwać takich samych warunków transakcji, jak osoba dokonująca zakupu na terenie innego państwa EOG, w tym kraju stanowiącego siedzibę przedsiębiorcy, np. przy zakupie noclegu w hotelu lub biletu na dowolne wydarzenie. Ponadto zabrania się sprzedawcom stosowania blokady w korzystaniu ze stron internetowych utworzonych dla odbiorców z innego kraju UE. W celu przekierowania użytkownika do konkretnej wersji językowej serwisu wymagana jest jego zgoda. Przedsiębiorca wciąż jest jednak uprawniony do ustalania różnych cen za ten sam produkt lub usługę. Nie może jednak zabronić klientowi korzystania ze strony internetowej kraju, w którym przewidziano niższe ceny. Mimo to wciąż istnieje ryzyko po stronie klienta, iż przedsiębiorca nie przewiduje dostawy na terenie jego państwa. Kupujący będzie wówczas zmuszony ustalić ze sprzedawcą inny sposób dostawy i odbioru towaru. Przepisy o geoblokowaniu obejmują również zakaz stosowania zróżnicowanych warunków transakcji płatniczych.

Wyłączenia stosowania Rozporządzenia

Niewątpliwym defektem Rozporządzenia jest ograniczenie jego stosowania do obszaru, który nie obejmuje usług audiowizualnych oraz utworów cyfrowych chronionych prawem autorskim. Wprowadzonego zakazu geoblokowania nie stosuje się zatem m.in. do transmisji wydarzeń sportowych, usług streamingu, tzw. usług on demand, gier komputerowych, czy e-booków. W marcu 2020 roku Komisja Europejska ma dokonać oceny zasadności objęcia zakazem również wyżej wymienionych usług. Istnieje zatem wysokie prawdopodobieństwo, iż powszechnie znane platformy, takie jak Netflix czy Spotify, również będą musiały zagwarantować jednakowy dostęp do udostępnianych użytkownikom materiałów we wszystkich krajach EOG.

Co prawda, obszar ten został objęty rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2017/1128 z dnia 14 czerwca 2017 r. w sprawie transgranicznego przenoszenia na rynku wewnętrznym usług online w zakresie treści, jednak w nieco innym zakresie. Rozporządzenie 2017/1128 ma bowiem na celu zapewnienie, że osoby korzystające w swoim państwie z usług online w postaci posiadania dostępu do filmów, wydarzeń sportowych, czy muzyki online, mogą korzystać z nich podczas podróży do innego kraju Unii Europejskiej, w taki sam sposób jak swoim miejscu zamieszkania. Regulacja obowiązująca od kwietnia 2018 roku, miała stanowić pierwszy krok w procesie znoszenia zjawiska geoblokowania na rynku online (o rozporządzeniu 2017/1128 pisaliśmy tu: [link]).

Organ odpowiedzialny w Polsce

Zgodnie z nowelizacją ustawy o ochronie konkurencji i konsumentów, organem odpowiedzialnym za stosowanie się do zasad wprowadzonych Rozporządzeniem na terenie Polski będzie Prezes Urzędu Ochrony Konkurencji i Konsumentów („Prezes UOKiK”). Prezesowi UOKiK nadaje się prawo wydania decyzji nakazującej przedsiębiorcy zaniechania bezprawnej praktyki oraz nakładającej obowiązek usunięcia jej skutków. Ponadto, w przypadku ograniczenia konkurencji przez przedsiębiorcę, Prezes UOKiK będzie mógł przeprowadzić postępowanie antymonopolowe. Przedsiębiorcy łamiący zakaz geoblokowania, mogą spodziewać się kar finansowych na poziomie 10% obrotów wykazanych za poprzedni rok. Prezes UOKiK będzie również uprawniony do poinformowania przewodniczącego Komisji Nadzoru Finansowego o prowadzonych postępowaniach.

Podsumowanie

Pomimo istotnych luk we wprowadzonych przepisach, Komisja Europejska gwarantuje bieżącą weryfikację skutków ich wdrożenia oraz ewentualne rozszerzenie zakresu spraw objętych zakazem geoblokowania. Ograniczenia nałożone na przedsiębiorców w wyniku Rozporządzenia, gwarantują klientom na terenie EOG możliwość dokonywania zakupów online na korzystnych warunkach bez względu na obywatelstwo, miejsce dokonywania zakupu czy prowadzenia działalności. Ustanowiony zakaz należy zatem traktować jako istotny krok w procesie likwidowania barier w obszarze zakupów online na terenie EOG.

 

Przypisy

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/302 z dnia 28 lutego 2018 r. w sprawie nieuzasadnionego blokowania geograficznego oraz innych form dyskryminacji klientów ze względu na przynależność państwową, miejsce zamieszkania lub miejsce prowadzenia działalności na rynku wewnętrznym oraz w sprawie zmiany rozporządzeń (WE) nr 2006/2004 oraz (UE) 2017/2394 i dyrektywy 2009/22/WE.

1 Komentarz
nowe technologie prawo IT

Uber jako usługa transportowa – przełomowy wyrok TSUE

20 grudnia 2017
uber

W dniu 20.12.2017 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok, w którym stwierdził, że świadczona przez przedsiębiorstwo Uber usługa, umożliwiająca nawiązanie przez pasażerów kontaktów z właścicielami pojazdów, niebędącym zawodowymi kierowcami w celu wykonania przejazdu miejskiego, stanowi usługę w dziedzinie transportu. Oznacza to, że Państwa członkowskie mogą samodzielnie regulować warunki świadczenia usług przez Ubera, przy zapewnieniu poszanowania zasad ogólnych traktatu o funkcjonowaniu Unii Europejskiej. Oznacza to, że Uber będzie musiał dostosować się do warunków świadczenia usług transportowych panujących w każdym z państw członkowskich.

Stan faktyczny

Organizacja zawodowa zrzeszająca kierowców taksówek w Barcelonie – Elite Taxi wniosła pozew o stwierdzenie, że działalność prowadzona przez Uber System Spain, która to spółka jest powiązana z Uber Technologies (dalej łącznie jako: „Uber”), obejmuje czyny nieuczciwej konkurencji i oszukańcze praktyki. Swoje żądanie przedstawiciele Elite Taxi oparli na twierdzeniu, że ani Uber System Spain ani kierowcy pojazdów Ubera, którzy nie wykonują zawodowo działalności przewozowej, nie posiadają licencji ani pozwoleń wymaganych rozporządzeniem w sprawie usług taksówkowych świadczonych w aglomeracji Barcelony.

Sąd, do którego wniesiono powództwo uznał, że aby zbadać zasadność wniesionego powództwa należy wpierw ustalić, czy Uber powinien uzyskać pozwolenie administracyjne do prowadzenia świadczonych usług. W tym celu niezbędne było rozstrzygnięcie, czy świadczone przez tę spółkę usługi należy uznać za „usługi przewozowe”, „usługi społeczeństwa informacyjnego” bądź też połączenie obu rodzajów tych usług. Jeśli doszłoby do uznania, że Uber świadczy usługi, które podlegają dyrektywie w sprawie usług wewnętrznych (a nie transportowych) to prowadzonej działalności i stosowanych praktyk nie można byłoby uznać za nieuczciwe, czego żądali powodowie.

Uber w toku postępowania twierdził, że nie jest organizatorem usług transportu ani nie jest firmą taksówkarską, dostarczając jedynie aplikację, z której korzystają osoby zainteresowane, tj. kierowcy i pasażerowie.

TSUE: Uber to usługa przewozowa

W ogłoszonym wyroku TSUE orzekł, że „usługę pośrednictwa stosowaną przez Uber, która polega na odpłatnym umożliwianiu nawiązania kontaktów przez aplikację na inteligentny telefon, między właścicielami pojazdów niebędącymi zawodowymi kierowcami a osobami chcącymi przebyć trasę miejską, należy uznać za usługę nierozerwalnie związaną z usługą przewozową, a tym samym za usługę wchodzącą w zakres „usług w dziedzinie transportu”, w rozumieniu prawa Unii. Tego rodzaju usługę należy zatem wyłączyć z zakresu zastosowania zasady swobodnego świadczenia usług w ogólności, a także z zakresu stosowania dyrektywy dotyczącej usług na rynku wewnętrznym i dyrektywy o handlu elektrycznym”.

TSUE uznał więc, że usługa świadczona przez Uber nie ogranicza się wyłącznie do pośrednictwa pomiędzy kierowcą a pasażerem. Wynika to z tego, że Uber – jako pośrednik – tworzy jednocześnie ofertę miejskich usług przewozowych, którą udostępnia za pomocą narzędzi informacyjnych i które organizuje tak, aby osoby chcące skorzystać z przejazdu mogły tego dokonać. TSUE podkreślił również, że Uber ma przy tym decydujący wpływ na warunki świadczenia usług przez kierowców.

TSUE stwierdził więc, że głównym elementem usług świadczonych przez Uber jest usługa przewozowa, w związku z czym należy ją traktować nie jako „usługę społeczeństwa informacyjnego”, ale jako „usługę w dziedzinie transportu”. Dyrektywa o handlu elektronicznym nie ma zatem zastosowania do usług świadczonych przez Uber, co wyłącza także możliwość stosowania dyrektywy dotyczącej usług na rynku wewnętrznym. Z tego też powodu usługa Uber nie powinna podlegać postanowieniom o swobodnym przepływie usług w ogólności, lecz wspólnej polityce w dziedzinie transportu. Oznacza to, że usługi transportowe, świadczone także przez Uber, powinny być regulowane przez każde Państwo Członkowskie z poszanowaniem ogólnych zasad Unii Europejskiej.

Konsekwencje

Wyrok TSUE należy uznać za przełomowy dla przedstawicieli organizacji zrzeszających taksówkarzy w poszczególnych Państwach Członkowskich. Co prawda zgodnie z informacją prasową Uber wskazuje, że wydane orzeczenie nie będzie miało wpływu na działalność przedsiębiorstwa, jednak wiele państw – w odpowiedzi na liczne protesty taksówkarzy – decyduje się na wprowadzenie regulacji, zakazujących świadczenia usług przewozowych bez licencji. W Polsce także trwają pracę nad nowelizacją ustawy o transporcie drogowym, aby nałożyć na kierowców UberPop obowiązek posiadania odpowiednich zezwoleń.

Co ciekawe, TSUE rozstrzygając opisywaną sprawę, w całości podzielił argumenty zawarte w wydanej w dniu 11.05.2017 r. opinii rzecznika generalnego – Macieja Szpunara (vide: http://curia.europa.eu/juris/document/document.jsf?text=&docid=190593&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=377245).

Źródło: https://curia.europa.eu/jcms/upload/docs/application/pdf/2017-12/cp170136pl.pdf

0 Komentarzy
własność przemysłowa znaki towarowe

Jurysdykcja wyłączna w UE a spory o ustalenie praw do znaku

23 października 2017
ustalenie praw do znaku

Jak wskazał Trybunał Sprawiedliwości w wyroku z dnia 5 października 2017 roku, spory o ustalenie praw wyłącznych do znaku towarowego nie podlegają jurysdykcji wyłącznej w rozumieniu art. 22 pkt. 4 rozporządzenia Bruksela I (rozporządzenie 44/2001). Zgodnie bowiem z dyspozycją przytoczonego przepisu jurysdykcję wyłączną w sprawach, których przedmiotem jest rejestracja lub ważność znaków towarowych mają sądy Państwa Członkowskiego, na którego terytorium wystąpiono albo nastąpiło zgłoszenie lub rejestracja prawa wyłącznego (albo na podstawie aktu prawa wspólnotowego / umowy międzynarodowej uznaje się, że zgłoszenie lub rejestracja nastąpiły).

Tło sporu dla postępowania

Helmut Knipping, działając w imieniu należącej do niego niemieckiej spółki, w dniu 7 września 1979 r. zarejestrował w Urzędzie Własności Intelektualnej Państw Beneluksu (fr. Office Benelux de la Propriété intellectuale – w skrócie OBPI) słowno-graficzny znak towarowy, składający się z fantazyjnego oznaczenia utrzymanego w biało-czarnej kolorystyce oraz wyrażenia „Knipping”, pisanego czarną czcionką na białym tle. Podobnego rodzaju słowno-graficzny znak towarowy, wyróżniający się jedynie niebiesko-żółtą kolorystyką, został zarejestrowany w tym samym Urzędzie na rzecz holenderskiej spółki Hanssen.

Po śmierci Helmuta Knippinga w 1995 r. wszelkie prawa i obowiązki odziedziczyła w drodze sukcesji uniwersalnej jego córka Tanja-Prast Knipping, która w 2003 roku wystąpiła do OBPI o dokonanie wpisu jej osoby w rejestrze znaków towarowych jako właściciela znaku słowno-graficznego, wcześniej zarejestrowanego przez jej ojca.

Jednakże zdaniem spółki Hanssen (właściciela podobnego znaku towarowego o niebiesko-żółtej kolorystyce) sporne oznaczenie, tuż przed śmiercią jego właściciela, było przedmiotem wielu przesunięć majątkowych i jako takie w momencie otwarcia spadku nie podlegało dziedziczeniu przez spadkodawców zmarłego. W związku z tym spółka Hanssen, roszcząca sobie prawa do znaku, wystąpiła do sądu niemieckiego właściwego dla miejsca zamieszkania pozwanej (córki Knippinga) o ustalenie praw do znaku.

Wątpliwości co do jurysdykcji sądowej

W toku postępowania sądy niemieckie powzięły wątpliwość co do prawidłowej jurysdykcji sądowej. Szczególnie problematycznym okazało się dokonanie oceny, czy powództwo o ustalenie wytoczone przeciwko osobie formalnie zarejestrowanej jako właściciel praw do oznaczenia zawiera się w pojęciu „sprawy, której przedmiotem jest rejestracja lub ważność znaku towarowego” w rozumieniu art. 22 pkt. 4 rozporządzenia Bruksela I. W przypadku odpowiedzi twierdzącej, przedmiotowe postępowanie winno być rozpoznane przez sądy Państwa Członkowskiego, w którym znak został zarejestrowany lub zgłoszony – w niniejszej sprawie byłyby to więc sądy holenderskie z uwagi na fakt, iż siedziba OBPI znajduje się w Hadze. W związku z tym sąd niemiecki wystąpił do Trybunału ze stosownym pytaniem prejudycjalnym.

Ustalenie praw do znaku nie jest tożsame z jego rejestracją lub zgłoszeniem

Po pierwsze Trybunał zauważył, iż pojęcie „sprawy, której przedmiotem jest rejestracja lub ważność” praw wyłącznych ma charakter autonomiczny, co znaczy, iż powinno być stosowane w sposób jednolity we wszystkich Państwach Członkowskich, będących sygnatariuszami rozporządzenia Bruksela I (w tym również przez Polskę).

Jurysdykcja wyłączna jako wyjątek od zasad ogólnych nie może być interpretowana szerzej aniżeli wynika to z jej celu. Jak bowiem słusznie zauważył Trybunał, nie można doprowadzić do sytuacji, w której strony są całkowicie pozbawione swobody w wyborze sądu dla nich właściwego lub też sądy rozpoznające sprawę nie są dla żadnej ze stron sądami ich miejsca zamieszkania. W rezultacie tak dokonanej wykładni systemowej, przyjęto, iż jeżeli spór nie dotyczy ani ważności znaku towarowego, ani faktu dokonania zgłoszenia lub wpisu takiego oznaczenia do odpowiedniego rejestru, to a contrario nie można przyjmować, że taka sprawa jest objęta pojęciem „sprawy, której przedmiot stanowi rejestracja lub ważność znaku towarowego”.

Tak więc, gdy żaden aspekt postępowania nie łączy się z problemem ważności, rejestracji lub zgłoszenia oznaczenia do rejestru, nie podlega ono jurysdykcji sądów, na których terytorium czynności rejestracji lub zgłoszenia praw wyłącznych dokonano.

Wnioski dla praktyki

Mimo, iż Rozporządzenie Bruksela I zostało w 2015 roku zastąpione rozporządzeniem Bruksela I bis (rozporządzenie nr 1215/2012), to jej postanowienia dotyczące jurysdykcji wyłącznej w sprawach, których przedmiotem jest rejestracja, ważność lub zgłoszenie znaków towarowych, nie uległy znaczącej zmianie (art. 24 pkt. 4).  Stąd też, argumentacja podjęta w wyroku Trybunału powinna znaleźć zastosowanie także na gruncie sporów o ustalenie praw własności intelektualnej (patentów, znaków towarowych, wzorów przemysłowych, wzorów użytkowych) powstałych po wejściu w życie przepisów rozporządzenia Bruksela I bis.

Właściciele znaku towarowego lub osoby uprawnione – lecz niewpisane formalnie do odpowiedniego rejestru, wytaczając spory o ustalenie praw, które w żaden sposób nie łączą się z problematyką rejestracji, ważności lub zgłoszenia oznaczenia, powinni występować z odpowiednim powództwem przed sąd właściwy miejscowo według zasad ogólnych, tj. miejsca zamieszkania dla pozwanego.

0 Komentarzy
własność przemysłowa znaki towarowe

Nowy rodzaj znaków unijnych. Czym są towarowe znaki certyfikujące?

21 sierpnia 2017
znaki certyfikujące

Znaki certyfikujące a ich istota

Z dniem 1 października 2017 roku w obowiązującym na terytorium Unii Europejskiej systemie znaków towarowych pojawi się nowy ich rodzaj, tj. unijne znaki certyfikujące. Zmiana ta jest wynikiem wejścia w życie w dniu 23 marca 2016 roku Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2015/2424 zmieniającego rozporządzenie w sprawie wspólnotowego znaku towarowego (rozporządzenie zmieniające).

Zgodnie z dyspozycją art. 74a Rozporządzenia zmieniającego, unijnym znakiem certyfikującym nazywamy znaki towarowe, które spełniają kumulatywnie poniższe warunki:

  • są zarejestrowane jako unijne znaki towarowe,
  • pozwalające odróżnić certyfikowane przez właściciela towary lub usługi od ich niecertyfikowanych odpowiedników, ze względu na
  • materiał, sposób produkcji, jakość, dokładność lub inne właściwości.

Unijne znaki certyfikujące mogą być rejestrowane na rzecz każdej osoby prawnej (np. Polskie Centrum Akredytacji) lub fizycznej, która następnie upoważnia zainteresowane podmioty do używania przedmiotowego znaku towarowego. Korzystanie przez upoważnionego przedsiębiorcę z oznaczenia certyfikującego oznacza, że towary lub usługi przez niego świadczone spełniają określone w Regulaminie używania, a wyznaczone przez właściciela,  standardy.

W związku z tym, że Regulamin używania odgrywa istotną rolę w procedurze akredytacji, ustawodawca europejski postanowił podkreślić jego szczególną wagę dla zasad używania unijnych znaków certyfikujących w obrocie gospodarczym, poprzez liczne artykuły regulujące między innymi treść Regulaminu. Co więcej, przepisy Rozporządzenia zmieniającego zakreślają również obowiązek właściciela znaku do przedłożenia Regulaminu w procedurze rejestracji znaku towarowego (w terminie dwóch miesięcy od daty zgłoszenia).

Znaki certyfikujące a Regulamin

Zgodnie z Rozporządzeniem zmieniającym, w treści Regulaminu właściciel znaku certyfikującego winien wskazać:

  • osoby uprawnione do używania znaku,
  • właściwości, które mają być certyfikowane znakiem,
  • sposób badania określonych właściwości przez organ certyfikujący,
  • sposób nadzoru (kontroli) nad podmiotami używającymi znaku,
  • warunki używania znaku,
  • sankcje za naruszenie warunków używania.

W polskim systemie prawnym istnieją analogiczne regulacje prawne, normujące problem znaków akredytacyjnych. Zgodnie bowiem z art. 137 PWP: „organizacji posiadającej osobowość prawną, która sama nie używa znaku towarowego, może być udzielone prawo ochronne na znak przeznaczony do używania przez przedsiębiorców stosujących się do zasad ustalonych w regulaminie znaku przyjętym przez uprawnioną organizację i podlegających w tym zakresie jej kontroli (wspólny znak towarowy gwarancyjny)”.

Znaki certyfikujące a regulacja polska

Polska regulacja wykazuje wiele podobieństw do jej unijnego odpowiednika. Obie instytucje (tj. wspólny znak gwarancyjny oraz unijny znak certyfikujący) umożliwiają odpowiednim podmiotom gospodarczym rejestrację tych oznaczeń, których funkcją ma być zapewnienie odbiorcy/konsumenta o charakterystycznych właściwościach, cechujących dane towary lub usługi (bez względu na ich źródło pochodzenia). Oba rodzaje znaków akredytacyjnych mogą być zarejestrowane przez odpowiednie organizacje posiadające osobowość prawną, które jednocześnie nie mogą ich używać we własnej działalności gospodarczej. Jednakże unijny znak certyfikujący – w odróżnieniu od znaku gwarancyjnego – umożliwia osobom fizycznym dokonanie odpowiedniego zgłoszenia.

Na koniec należy wskazać, iż Rozporządzenie zmieniające w sposób bardziej szczegółowy, aniżeli polska ustawa, określa proceduralne aspekty dotyczące rejestracji, używania, naruszenia oraz wygaśnięcia unijnego znaku certyfikującego.

Pomimo że w polskim systemie prawnym istnieje analogiczny do unijnych znaków certyfikujących rodzaj oznaczeń, to wdrożenie omawianego Rozporządzenia zmieniającego należy ocenić pozytywnie. Wprowadzenie na poziomie europejskim ujednoliconych przepisów w zakresie znaków akredytacyjnych, zniweluje wszelką niepewność przedsiębiorców co do prawa obowiązującego w poszczególnych Państwach Członkowskich w tym przedmiocie.

0 Komentarzy
cyberbezpieczeństwo prawo IT

Czy implementacja dyrektywy NIS poprawi cyberbezpieczeństwo w UE?

17 października 2016

Gwałtowny rozwój technologii informacyjnych sprzyja zwiększeniu efektywności komunikacji, powstawaniu innowacji oraz ułatwieniu świadczenia usług, ale także rodzi ogromne niebezpieczeństwa związane z atakami na sieci informatyczne. Skalę problemu ilustruje „2016 Security Report” przygotowany przez Check Point Software Technologies Ltd, zgodnie z którym w przeciętnym przedsiębiorstwie co 4 sekundy ściągane jest nieznane złośliwe oprogramowanie, co 32 minuty dane wrażliwe wysyłane są poza serwery przedsiębiorstwa, a straty przedsiębiorstw związane z utratą danych wzrosły w ostatnich 3 latach o 400 %. W samym 2015 roku wykryto prawie 144 miliony (!) rodzajów nowego złośliwego oprogramowania. Nie ulega zatem wątpliwości, że niezbędne jest skonstruowanie narzędzi zapewniających globalne cyberbezpieczeństwo.

Z tego względu w dniu 06.07.2016 r. Parlament Europejski przyjął dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (2016/1148/UE, dalej jako: „Dyrektywa NIS”). Dyrektywa NIS została przyjęta jako odpowiedź na zagrożenia związane z cyberbezpieczeństwem na terytorium Unii Europejskiej – wcześniej bowiem kwestia ta nie została w odpowiedni sposób uregulowana. Wprawdzie przyjmowane były takie dokumenty, jak np. dyrektywa dotycząca ataków na systemy informatyczne (2013/40/UE) czy dyrektywa w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (2008/114/WE), jednak nie ujednolicały one w odpowiednim stopniu przepisów oraz strategii państw członkowskich w zakresie cyberbezpieczeństwa. Wdrożenie Dyrektywy NIS ma natomiast stanowić „całościowe podejście na poziomie Unii, obejmujące wymogi dotyczące budowania i planowania wspólnych minimalnych zdolności, wymianę informacji, współpracę oraz wspólne wymogi w zakresie bezpieczeństwa dla operatorów usług kluczowych i dostawców usług cyfrowych”.

Zakres podmiotowy Dyrektywy NIS obejmuje dostawców usług cyfrowych (takich jak wyszukiwarki, usługi oferowane w chmurze) oraz operatorów tzw. usług kluczowych, czyli operatorów z sektorów: energetyki (energia elektryczna, ropa naftowa, gaz), transportu (lotniczego, kolejowego, wodnego, drogowego), bankowości, rynków finansowych, służby zdrowia, zaopatrzenia w wodę pitną i jej dystrybucję. Dyrektywa NIS rozkłada prawa i obowiązki związane z cyberbezpieczeństwem pomiędzy podmioty prywatne i publiczne. Akt ten ma na celu osiągnięcie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych w UE, poprzez m.in. usprawnienie przekazu informacji o pojawiających się zagrożeniach pomiędzy państwami UE oraz podmiotami sektora krytycznego oraz ujednolicenie standardów ochrony.

Cele dyrektywy mają zostać osiągnięte poprzez:

  • ustanowienie obowiązków dla państw członkowskich dotyczących przyjęcia krajowej strategii cyberbezpieczeństwa;
  • utworzenie sieci Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. CSIRT);
  • stworzenie grupy współpracy zapewniającej strategiczną współpracę oraz wymianę informacji;
  • ustanowienie wymogów dotyczących bezpieczeństwa sieci i informacji oraz zgłaszania incydentów;
  • ustanowienie obowiązków dotyczących wyznaczania przez państwa członkowskie organów krajowych, punktów kontaktowych oraz CSIRT, którym powierzone zostaną zadania związane z cyberbezpieczeństwem.

Szczególną rolę we wdrażaniu dyrektywy będzie odgrywać Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA), której zadaniem jest koordynowanie współpracy pomiędzy państwami członkowskimi w zakresie cyberbezpieczeństwa.

Co najistotniejsze, na mocy postanowień Dyrektywy NIS państwa członkowskie obowiązane są zapewnić, aby operatorzy usług kluczowych, a także dostawcy usług cyfrowych (a zatem także podmioty prywatne), zgłaszali właściwemu organowi krajowemu lub CSIRT incydenty związane z bezpieczeństwem ich sieci informatycznych. Wyznaczone organy krajowe powinny dysponować odpowiednimi narzędziami pozwalającymi na weryfikację, czy podmioty te rzeczywiście wywiązują się ze swoich obowiązków. Łatwo bowiem wyobrazić sobie sytuację, w której np. banki niechętnie będą zgłaszały ataki na swoje sieci informatyczne, obawiając się utraty dobrej reputacji.

Dyrektywa NIS weszła w życie w sierpniu 2016 r. Od tego momentu państwa członkowskie mają 21 miesięcy na implementację jej postanowień do przepisów prawa krajowego oraz 6 miesięcy na określenie dostawców kluczowych usług. Ministerstwo Cyfryzacji RP obecnie pracuje nad projektem ustawy o krajowym systemie bezpieczeństwa oraz nad projektem strategii cyberbezpieczeństwa dla RP. Chociaż pozytywnie należy ocenić próbę kompleksowego uregulowania kwestii cyberbezpieczeństwa wśród krajów Unii Europejskie, w obecnej chwili trudno jest przewidzieć, czy wdrożenie dyrektywy w ustawodawstwo państw członkowskich rzeczywiście będzie efektywne i wpłynie na wzrost cyberbezpieczeństwa oraz, przede wszystkim, czy podmioty prywatne będą należycie wypełniać obowiązki z niej wynikające. Chociaż nie ulega wątpliwości, że kroki podejmowane przez UE są słuszne i niezbędne, to jednak wydaje się, że skala wyzwań związanych z cyberbezpieczeństwem oraz stały wzrost zagrożeń przewyższają możliwości legislacyjne zarówno w skali krajowej, jak i na poziomie międzynarodowym.

Artykuł został wcześniej opublikowany na: http://biznesalert.pl/ocipinska-implementacja-dyrektywy-nis-poprawi-cyberbezpieczenstwo-ue/.

0 Komentarzy