Wstęp
Druga połowa 2024 r. to dla polskich organizacji czas wzmożonej pracy w zakresie implementacji nowych przepisów. Wrzesień upływał pod znakiem przygotowywania się do wdrożenia procedur zgodnie z ustawą o ochronie sygnalistów, zaś 17 października to termin wdrożenia przez Polskę dyrektywy NIS 2 (Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wspólnego poziomu cyberbezpieczeństwa na terytorium Unii – Network and Information Systems Directive 2). Celem implementacji wspólnotowych przepisów jest podniesienie poziomu bezpieczeństwa infrastruktury informatycznej, podyktowane przede wszystkim rozwojem cyfryzacji, a co za tym idzie potrzebą zbudowania odporności na coraz szerzej oddziałującą cyberprzestępczość.
Nowe obowiązki przedsiębiorców zobowiązanych do wdrożenia dyrektywy
Dyrektywa NIS 2 rozszerza katalog sektorów objętych obowiązkiem wdrożenia nowych regulacji w zakresie cyberbezpieczeństwa. Wskazuje aż 11 sektorów (m.in. energetyka, bankowość, administracja publiczna, żywność, gospodarka wodna), zaś spośród nich wskazane są podmioty kluczowe (np. przedsiębiorstwa użyteczności publicznej), a także podmioty istotne (np. dostawcy centrów danych, firmy przewozowe). Przedsiębiorcy zobowiązani do dostosowania swoich infrastruktur do nowych wymagań, po raz kolejny muszą dokonać audytu bezpieczeństwa danych – nie tylko osobowych, ale i gospodarczych. Cyberbezpieczeństwo stanowi bowiem najważniejszą potrzebę organizacji, bez której zaspokojenia nie jest możliwe jej prawidłowe funkcjonowanie. Kluczowe staje się zatem dostosowanie poziomu bezpieczeństwa sieci i systemów teleinformatycznych w zakresie zarządzania, określenia środków zarządzania ryzykiem w cyberbezpieczeństwie, realizacji obowiązków w zakresie zgłaszania incydentów oraz stosowania europejskich programów certyfikacji bezpieczeństwa.
NIS 2 a RODO
Jak już wspomniano, wdrożenie dyrektywy NIS 2 to położenie nacisku na zapewnienia bezpieczeństwa danych w szerszym znaczeniu, niż tylko dane osobowe. Niemniej jest to dobry moment na wykonanie przeglądów procedur, które zapewniają kontrolę nad dostępem do danych osobowych:
1. Zarządzanie upoważnieniami do przetwarzania danych osobowych – sprawdzenie procesu wydawania, weryfikacji i odbierania upoważnień;
2. Zarządzanie uprawnieniami do przetwarzania danych – elektroniczny proces wnioskowania o przyznanie uprawnień (np. do pracy w systemach informatycznych) z zachowaniem zdefiniowanej indywidualnie ścieżki akceptacji wniosków, kontrola bieżących uprawnień do programów lub zasobów;
3. Zarządzanie czynnościami przetwarzania danych osobowych – w oparciu o prowadzony rejestr czynności przetwarzania, rejestr kategorii czynności przetwarzania i rejestr umów
powierzenia (w tym wykazanie środków bezpieczeństwa przy każdej z ewidencjonowanych czynności);
4. Analiza ryzyka z oceną skutków przetwarzania danych osobowych – sporządzana do zewidencjonowanych czynności, uwzględniająca zagrożenia, podatności i zabezpieczenia;
5. Rejestr incydentów/naruszeń – rejestrowanie i procesowanie incydentów bezpieczeństwa oraz ich ocena pod kątem kwalifikacji jako naruszenie, które należy zgłosić do organu nadzorczego i podmiotów danych.
Wskazane obszary to najczęściej poruszane tematy z naszymi Klientami – zarówno na etapie rozeznania rynku przed wyborem narzędzia, jak i podczas szkoleń powdrożeniowych w pracy w systemie RODOprotektor.