Cyberbezpieczeństwo i nowe technologie

Najnowsza unijna dyrektywa dotycząca bezpieczeństwa sieci i informacji (NIS2) znacząco rozszerza krąg podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Obejmuje nie tylko operatorów infrastruktury krytycznej, ale też wiele średnich i dużych firm z sektorów takich jak m.in. transport, finanse, zdrowie, infrastruktura cyfrowa czy usługi cyfrowe. NIS2 nakłada szereg wymogów – od regularnej analizy ryzyka i wdrażania adekwatnych środków technicznych, po obowiązek zgłaszania poważnych incydentów w ciągu 24 godzin. Co istotne, dyrektywa wprowadza dotkliwe kary finansowe za nieprzestrzeganie wymogów (sięgające nawet 10 mln euro lub 2% globalnego obrotu). Pomagamy firmom ustalić, czy podlegają pod NIS2 i jak spełnić nowe obowiązki (szkolenia, audyty, dokumentacja), zanim dyrektywa zostanie zaimplementowana do prawa krajowego (co nastąpi w 2024/2025 roku).

Akt o Sztucznej Inteligencji to pionierskie unijne rozporządzenie, które wprowadzi kompleksowe ramy prawne dla AI. Regulacja opiera się na podejściu opartym na ryzyku – systemy AI zostaną podzielone na cztery kategorie: o niedopuszczalnym ryzyku (zakazane, np. systemy społeczne scoringowe obywateli), wysokiego ryzyka (np. AI w ochronie zdrowia, transporcie, rekrutacji pracowników – dopuszczalne, ale pod ścisłymi warunkami), ograniczonego i minimalnego ryzyka. AI Act określa obowiązki dostawców i użytkowników AI – dla systemów wysokiego ryzyka będą to m.in. wymogi dotyczące dokumentacji technicznej, zarządzania danymi, przejrzystości działania algorytmu, rejestracji w specjalnej bazie UE, oceny zgodności oraz nadzoru człowieka nad AI.

Dostawcy będą musieli dokonywać oceny zgodności swoich rozwiązań zanim trafią one na rynek, a użytkownicy (np. firmy wdrażające AI u siebie) – stosować się do wytycznych eksploatacyjnych i monitorować działanie systemu. Za naruszenie przepisów AI Act przewidziano bardzo wysokie kary (do 30 mln euro lub 6% globalnego obrotu).

Nasz zespół już teraz doradza klientom, jak przygotować się do tych zmian: identyfikujemy stosowane przez nich systemy AI, kwalifikujemy je do odpowiednich kategorii ryzyka oraz opracowujemy plan dostosowania do nowych regulacji (polityki AI, procedury nadzoru, oceny skutków etc.).

Akt w sprawie danych to świeże unijne rozporządzenie, które ma zrewolucjonizować podejście do danych nieosobowych w gospodarce. Jego celem jest zapewnienie sprawiedliwego dostępu do danych i wsparcie gospodarki opartej na danych. Data Act wprowadza m.in. zasady, na podstawie których użytkownicy urządzeń i usług będą mieli prawo dostępu do danych przez nie generowanych – np. właściciel inteligentnej maszyny przemysłowej uzyska dostęp do danych z jej czujników, które dotychczas były dostępne tylko dla producenta.

Regulacja ułatwi także wymianę danych między firmami (B2B) oraz między firmami a sektorem publicznym (B2G) w sytuacjach nadzwyczajnych (np. klęski żywiołowe – administracja publiczna będzie mogła zażądać danych istotnych dla reagowania na kryzys). Data Act zakazuje nadużywania przewagi kontraktowej w umowach dotyczących udostępniania danych – tzw. klauzule nieuczciwe (odbierające prawa do danych słabszej stronie) będą z mocy prawa nieważne.

Istotnym elementem jest też ułatwienie zmiany dostawców usług chmurowych – rozporządzenie nakazuje dostawcom ułatwienie przenoszenia danych klienta do innej chmury (portability) i stopniowe eliminowanie opłat za wyjście. Nasz zespół pomaga zrozumieć nowe obowiązki Data Act i wykorzystać je jako szansę – np. doradzamy producentom urządzeń IoT, jak przygotować się do udostępniania danych użytkownikom, a użytkownikom tych urządzeń, jak skutecznie egzekwować swoje nowe prawa.

Ogólne rozporządzenie o ochronie danych osobowych obowiązuje od 2018 r., ale nadal stanowi wyzwanie dla wielu firm. W dobie ekspansji nowych technologii (AI, Big Data, profilowanie, marketing internetowy) zapewnienie zgodności z RODO wymaga ciągłych starań. Wspieramy klientów w bieżącym utrzymaniu zgodności z RODO – od audytów ochrony danych, przez opracowanie wymaganej dokumentacji (polityki prywatności, rejestry czynności), po reakcje na incydenty (naruszenia ochrony danych) i kontakt z organem nadzorczym.

Doradzamy w trudnych kwestiach, takich jak przekazywanie danych do państw trzecich (np. po wyroku Schrems II), wykorzystanie chmur obliczeniowych, monitorowanie pracowników czy retencja danych. Pomagamy również w szkoleniu personelu z zasad bezpieczeństwa informacji. Z nami możesz mieć pewność, że Twoja firma jest na bieżąco z interpretacją przepisów i wytycznymi UODO, co minimalizuje ryzyko kar (które – przypomnijmy – sięgają do 20 mln euro lub 4% obrotu rocznie, w zależności co wyższe).

Smart kontrakty to inaczej „inteligentne umowy” – czyli programy komputerowe, które automatycznie wykonują pewne czynności po spełnieniu określonych warunków, najczęściej działające w oparciu o technologię blockchain. Ich potencjał jest ogromny – mogą zautomatyzować wykonanie umów w takich branżach jak fintech (np. automatyczna wypłata odszkodowania ubezpieczeniowego), logistyka (śledzenie i potwierdzanie dostaw) czy energetyka (rozliczenia w sieciach smart grid).

Jednak smart contracts rodzą też wyzwania prawne: tradycyjne prawo kontraktów nie nadąża za brakiem jednej, fizycznej jurysdykcji dla blockchain – trudno ustalić, czyjemu prawu podlega umowa działająca globalnie i samoczynnie. Pojawiają się problemy z egzekwowalnością – co jeśli kod zawiera błąd, albo jedna ze stron twierdzi, że umowa (samokodująca się) jest nieważna?

Nasz zespół analizuje zastosowanie smart kontraktów w kontekście obowiązującego prawa – wskazujemy, jak zapewnić zgodność inteligentnych umów z przepisami (np. włączenie mechanizmu „oracle” do rozstrzygania sporów lub klauzul umożliwiających interwencję człowieka). Pomagamy przy projektach opartych o smart contracts, przygotowując hybrydowe kontrakty łączące elementy tradycyjnej umowy z automatycznym wykonaniem w kodzie. Dzięki temu innowacje technologiczne Klienta mogą bezpiecznie funkcjonować w ramach systemu prawnego.

Oferujemy także usługi z pogranicza prawa i informatyki śledczej. Cyberśledztwa polegają na ustalaniu sprawców i okoliczności incydentów komputerowych – np. włamań do systemów, wycieków danych, oszustw internetowych czy kradzieży kryptowalut. Współpracujemy z doświadczonymi biegłymi z zakresu informatyki śledczej, aby zabezpieczyć dowody cyfrowe (logi systemowe, kopie dysków, ślady w sieci) w sposób zgodny z wymogami procesowymi.

Pomagamy także w odzyskiwaniu utraconych danych oraz analizie powłamaniowej (post-incident review) – tak aby wyciągnąć wnioski i ulepszyć zabezpieczenia na przyszłość. Nasze działania mogą obejmować ścisłą współpracę z organami ścigania w celu pociągnięcia cyberprzestępców do odpowiedzialności. Dla klientów biznesowych prowadzimy wewnętrzne dochodzenia w przypadku podejrzenia nadużyć pracowniczych lub sabotażu informatycznego. Wszystko to odbywa się przy zachowaniu najwyższej dyskrecji i dbałości o interes prawny Klienta.

Pomagamy syndykom mas upadłości oraz wierzycielom w tropieniu składników majątku dłużników ukrytych w kryptowalutach. Dzięki naszym kontaktom i narzędziom analitycznym potrafimy zidentyfikować portfele kryptowalut powiązane z dłużnikiem, prześledzić historię transakcji i wskazać miejsca (giełdy, kantory), gdzie aktywa te mogą zostać spieniężone.

Współpracując z międzynarodową siecią partnerów, jesteśmy w stanie pomóc w lokalizacji rachunków bankowych i innych aktywów finansowych dłużników poza granicami kraju. Przygotowujemy wnioski o pomoc prawną do zagranicznych organów i doradzamy, jak skutecznie zabezpieczyć wykryte za granicą składniki majątku (w tym odzysk z rajów podatkowych).

W przypadkach podejrzenia, że dłużnik wyprowadził majątek z użyciem cyberprzestępczości (np. kradzież środków z własnej spółki, ransomware na firmowe dane), organizujemy specjalistyczne zespoły łączące prawników i forensic IT. Ich zadaniem jest ustalenie, co się stało, zabezpieczenie dowodów i wskazanie możliwości prawnych odzyskania utraconych środków.