W listopadzie 2022 r. Rada Unii Europejskiej przyjęła nowe przepisy w obszarze cyberbezpieczeństwa: DORA i NIS2. Czy te akty prawne obowiązują bezpośrednio w Polsce? Czy dotyczą jednostek publicznych czy też innych podmiotów? Czy istnieje konieczność wdrożenia nowych wymogów w zakresie cyberbezpieczeństwa w zakresie DORA i NIS2?

O nowego roku, w przypadku gdy realizacja zadań określonych w ustawie o pomocy społecznej ma związek z przekazywaniem informacji za pomocą systemu teleinformatycznego, podmioty obowiązane do przekazywania tych informacji na podstawie ustawy muszą używać oprogramowania zgodnego z określonymi wymaganiami. Kosztami za to obciążone są instytucje pomocy społecznej. Jednakże niespełnienie nowych wymogów w zakresie np. uzyskania procedury zgodności ma wpływ na ciągłość pracy jednostki oraz zminimalizowanie zagrożenia dla cyberbezpieczeństwa. . Wymagania te wyznaczył minister właściwy do spraw zabezpieczenia społecznego.

Od 1 stycznia 2024 r. obowiązywać będzie nowe rozporządzenie w sprawie systemów teleinformatycznych stosowanych w jednostkach organizacyjnych pomocy społecznej. Warto sprawdzić, wymagania w zakresie struktury, funkcjonalności i aktualizacji takich systemów. Ma to znaczenie nie tylko ze względu na zmianę przepisów, ale również zapewnienie bezpieczeństwa danych przetwarzanych w tychże systemach.

Zapewnianie bezpieczeństwa danych w ramach organizacji jest procesem ciągłym, a ewentualne incydenty stanowią pewne wskazówki, jakie kierunki należy obrać w celu podwyższania poziomu bezpieczeństwa. Dlatego jedną z najistotniejszych kwestii związaną z działaniami związanymi z ewentualnymi cyberatakami jest wyciąganie wniosków z zaistniałych zdarzeń. Po wskazaniu obszarów, które powinny być poprawione, konieczne jest ustalenie czasu, w ramach którego dojdzie do wdrożenia nowych, udoskonalonych rozwiązań w zakresie bezpieczeństwa. Proces ten powinien zakończyć się ewaluacją, tzn. oceną, na ile udało się zrealizować założenia i jak przebiega stosowanie nowych zabezpieczeń.

Inspektorem ochrony danych może być osoba, która posiada kwalifikacje zawodowe, a w szczególności ma odpowiednią wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań. Przy czym musi to być poparte praktyką. Ponieważ obecnie w znacznym zakresie dane osobowe przetwarza się w systemach IT, to inspektorowi potrzebna jest znajomość praktyk w zakresie cyberbezpieczeństwa.

Każdy administrator danych osobowych ma obowiązek wdrażania odpowiednich środków bezpieczeństwa przetwarzania danych. Odpowiednich czyli jakich? RODO nie definiuje takich środków, ale przykładowo wskazuje m.in. pseudonimizację. Z kolei anonimizacja to jedna z metod usunięcia danych osobowych. Zarówno pseudonimizacja jak i anonimizacja są więc narzędziami ochrony danych osobowych. Pseudonimizacja i anonimizacja to pojęcie podobnie brzmiące, a mimo tego istotnie różnią się od siebie. Różnice te przedstawiamy w artykule. Dowiesz się z niego także, jakie są metody i techniki pseudonimizacji, jak i anonimizacji danych.

Przepisy dotyczące zabezpieczenia danych mają dość ogólny charakter. Wynika to z konieczności dopasowania przyjętych rozwiązań w zakresie cyberbezpieczeństwa do indywidualnych potrzeb danej organizacji. Można jednak przytoczyć przykładowe działania służące zapewnieniu ochrony przed cyberzagrożeniami.

Niektóre przepisy dotyczące cyberbezpieczeństwa odnoszą się tylko do określonych grup podmiotów, zwłaszcza do podmiotów publicznych. Natomiast ogólne rozporządzenie o ochronie danych (RODO) zobowiązuje do zabezpieczania informacji zarówno podmioty publiczne, jak i prywatne.

Pytanie:  Czy w zakresie stosowania podpisów elektronicznych oraz usługi e-doręczeń wymagana jest w jednostce samorządowej dodatkowa dokumentacja ochrony danych osobowych?

Prawną definicję cyberbezpieczeństwa możemy znaleźć w ustawie o krajowym systemie cyberbezpieczeństwa. Zgodnie z nią cyberbezpieczeństwo oznacza odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Posiadanie właściwego planu w zakresie cyberbezpieczeństwa stanowi konieczny warunek zabezpieczenia danych osobowych przetwarzanych w systemach informacyjnych. Jest to szczególnie istotne w kontekście obowiązków administratorów danych osobowych oraz inspektorów ochrony danych.