W związku z nieustającym rozwojem technologicznym, postępującą informatyzacją oraz rosnącą liczbą zagrożeń w zakresie cyberbezpieczeństwa, unijni urzędnicy uznali, że dyrektywa dotycząca cyberbezpieczeństwa, potocznie nazywana „NIS”, wymaga zmian. Dlatego też Parlament Europejski przyjął dyrektywę NIS2, która weszła w życie na początku 2023 r., a jej implementacja w krajach członkowskich musi nastąpić do połowy października 2024 r. Zmienia ona dotychczasowe podejście do tego, jakie podmioty muszą stosować zaostrzone rygory związane z bezpieczeństwem informatycznym. Przedstawiamy podstawowe informacje związane z funkcjonowaniem dyrektywy NIS2, czyli to jakie podmioty obejmuje i jakie są ich podstawowe obowiązki.
Prezes UODO zwraca w swoich decyzjach szczególną uwagę na regularne przeglądy w kontekście już zaistniałych incydentów bezpieczeństwa. Stąd też, w przypadku kontroli organu nadzorczego urzędnicy również mogą nas poprosić o udowodnienie, że w przypadku aplikacji webowych takie przeglądy miały miejsce.
W zakresie przetwarzania danych na potrzeby aplikacji mobilnych należy zwrócić uwagę na kilka aspektów. Otóż co prawda administrator danych osobowych posiada pewną swobodę w zakresie kształtowania zabezpieczeń. Jednak nasze wymogi w tym zakresie musimy skonsultować z twórcami aplikacji. Adekwatne środki zabezpieczeń należy dobrać na podstawie wcześniej sporządzonej i udokumentowanej analizy ryzyka.
Akt o usługach cyfrowych ma bezpośrednie zastosowanie w krajach członkowskich UE od 17 lutego 2024 r. Każde z tych państw musi zapewnić jego skuteczne stosowanie w swoim porządku prawnym poprzez przyjęcie właściwych przepisów wewnętrznych. W związku z powyższym nowelizacji mają podlegać ustawa o świadczeniu usług drogą elektroniczną, Prawo telekomunikacyjne oraz „inne właściwe przepisy sektorowe”. Nowości jest m.in. określenie odpowiedzialności odszkodowawczej dostawcy usług pośrednich za szkody poniesione przez odbiorców usługi oraz doprecyzowanie zasad nakładania kar pieniężnych z tytułu naruszenia przepisów Aktu.
Polityka haseł to popularny dokument, który opisuje zasady posługiwania się hasłami jako środkiem bezpieczeństwa danych osobowych. Przepisy nie regulują kwestii, które powinny w niej się znaleźć. Wybór rozwiązań w polityce haseł zależy od samego administratora. Warto w tym zakresie posłużyć się rekomendacjami CNIL – francuskiego organu nadzorczego.
Zastosowanie Aktu o usługach cyfrowych Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 (dalej zwane Aktem o usługach cyfrowych lub Aktem) znajdzie zastosowanie do usług pośrednich, które są oferowane odbiorcom usługi (w tym firmom), którzy mają siedzibę lub znajdują się w Unii, niezależnie od miejsca siedziby dostawców usług pośrednich (dalej zwanych DPU).
Akt o usługach cyfrowych ma stanowić pierwszą na świecie regulacją cyfrową, która nakłada na firmy cyfrowe w całej Unii Europejskiej odpowiedzialność za treści zamieszczane na ich platformach. Niektóre przepisy aktu, dotyczące bardzo dużych platform i bardzo dużych wyszukiwarek internetowych, stosuje się już od 16 listopada 2022 r. (np. przepisy o obowiązkach sprawozdawczych, niezależnych audytach i prowadzeniu czynności sprawdzających). Natomiast od 17 lutego 2024 r. akt o usługach cyfrowych znajdzie bezpośrednie zastosowanie w polskim porządku prawnym. Warto wiedzieć, co oznacza on dla krajowych podmiotów.
Chociaż kody QR są ogólnie bezpieczne, mogą być wykorzystywane przez oszustów, głównie dlatego że wszystkie one wyglądają podobnie dla ludzkiego oka. Złośliwy kod QR może prowadzić do sfałszowanej strony internetowej zaprojektowanej w celu zainfekowania naszego urządzenia różnych typów złośliwego oprogramowania lub kradzieży takich danych jak dane logowania, informacje o karcie kredytowej czy hasła do WiFi. W jednym z incydentów oszuści dopuścili się cyberataku w postaci fałszywych kodów QR parkometrów, które wykorzystali do kradzieży pieniędzy za pośrednictwem stron phishingowych. W Polsce odnotowano na przykład próby podszywania się pod mandaty wystawiane przez Policję i Straże Miejskie.
W styczniu 2023 r. przedstawiono ostateczne brzmienie projektu ustawy dotyczącego ochrony sygnalistów. Znalazły się w nim także obowiązki w zakresie ochrony danych osobowych sygnalistów. Sprawdź, jakie rozwiązania zakresie RODO względem sygnalistów będziesz musiał wdrożyć w swojej organizacji.
Dyrektywa NIS2 ustanawia pewne obowiązki także dla tzw. podmiotów kluczowych i ważnych (PKW), do których mogą się zaliczać niektórzy administratorzy danych osobowych zarówno z sektora prywatnego, jak i publicznego, w tym także w samorządzie. Na co zatem uwagę powinny zwrócić osoby odpowiedzialne za cyberbezpieczeństwo jednostkach samorządowych w związku z dyrektywą NIS2?
04.03.2025
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
© Portal Poradyodo.pl
