Nowe wymagania dotyczące cyberbezpieczeństwa w samorządach, czyli jak dyrektywa NIS2 i nowa KSC wpływają na działalność JST

Kto ponosi odpowiedzialność za stan cyberbezpieczeństwa w urzędzie? Czy wdrażane przez jst zabezpieczenia faktycznie działają? Czy kadra zarządzająca zdaje sobie sprawę ze swojej roli w procesie ochrony informacji? Czy pracownicy wiedzą, jak zgłaszać incydenty i dlaczego to jest tak ważne?
Czym jest zapewnienie ciągłości działania i zarządzanie incydentami?

• W 2023 r. weszła w życie nowa dyrektywa NIS2 dotycząca zapewnienia odpowiedniego poziomu cyberbezpieczeństwa w krajach Unii Europejskiej, a w najbliższym czasie wejdzie w życie nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) jako krajowa implementacja dyrektywy. Wprowadzane zmiany mają istotny wpływ na dotychczasowo stosowaną praktykę w jednostkach, wobec czego aktualizacja wiedzy kierowników i dyrektorów, a szczególnie najwyższego kierownictwa jednostek samorządu terytorialnego oraz osób zajmujących na co dzień ochroną informacji i cyberbezpieczeństwem w tym obszarze ma kluczowe znaczenia dla zapewnienia skutecznej ochrony informacji w urzędzie oraz zgodności z aktualnymi wymaganiami w tym także RODO i KRI. Warto pamiętać, że w projekcie nowej ustawy KSC, to najwyższe kierownictwo ponosi odpowiedzialność za wdrożenie środków cyberbezpieczeństwa nawet jeśli te zadania deleguje na innych. A to będzie bardzo ważna zmiana w codziennej ochronie zasobów informacyjnych urzędów. Dodatkowo Najwyższa Izba Kontroli prowadzi kontrole w jst w całym kraju, które przynoszą bardzo zaskakujące wyniki np. dużego braku świadomości cyberzagrożeń wśród pracowników jst i to niezależnie od wielkości jednostki.
• Podczas proponowanego szkolenia:
- Krok po kroku omówimy zagadnienia związane z cyberbezpieczeństwem w jst oraz jednostkach podległych i roli kadry zarządzającej w zakresie rekomendowanym w powyższym projekcie oraz dyrektywie NIS2 i planowanej ustawie o KSC.
- Przeanalizujemy występujące cyberzagrożenia i ich konsekwencje.
- Przypominamy procedury, jakie w zakresie cyberbezpieczeńtwa powinny być wdrożone w jednostce oraz wskażemy, na co w ich zapisach szczególnie zwracać uwagę.
- Zaprezentujemy zadania i obowiązki jednostek ze szczególnym uwzględnieniem zgłaszania incydentów.
- Prezentowane zagadnienia prawne będziemy popierać licznymi przykładami z praktyki dla lepszego zobrazowania omawianych regulacji i zasad postępowania.

• Poznasz główne wymagania formalno-prawne, jakie dotyczą cyberbezpieczeństwa w jst i jednostkach podległych wynikające z dyrektywy NIS2 i nowelizacji KSC oraz RODO i KRI.
• Dowiesz się, jak istotną rolę kadry zarządzającej w zapewnieniu skutecznej ochrony informacji.
• Poznasz zasady skutecznego zarządzania ryzykiem i incydentami bezpieczeństwa w jst.
• Dowiesz się, jak skutecznie nadzorować procesy związane z bezpieczeństwem informacji oraz jak budować kulturę bezpieczeństwa w urzędzie.
• Poznasz sposoby skutecznego zwiększania świadomości cyberzagrożeń wśród pracowników.
• Zapoznasz się z przykładowymi cyberatakami na jst oraz ich konsekwencjami, a także dobrymi praktykami minimalizowania tych konsekwencji.
• Dowiesz się, jakie są najczęstsze błędy popełniane przez jst w zakresie cyberbezpieczeństwa, które wskazywane są podczas kontroli np. NIK oraz testów i audytów bezpieczeństwa.

1. Wymagania nowej dyrektywy NIS2 dla jednostek administracji publicznej.
2. Wymagania nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa:
• JST jako Podmiot Kluczowy?
• Które obowiązki mogą być najtrudniejsze do zrealizowania?
• Jak bezkosztowo wzmocnić cyberbezpieczeństwo w jst „od ręki”?
3. Kontrole Najwyższej Izby Kontroli w jst :
• Omówienie głównych wniosków pokontrolnych.
• Uczmy się na błędach innych.
4. Zarządzanie incydentami bezpieczeństwa:
• Podstawowe zasady i oczekiwania.
• Rejestr incydentów jako praktyczne narzędzie ochrony informacji.
5. Zarządzanie ryzykiem bezpieczeństwa informacji w jst:
• Inwentaryzacja zasobów informacyjnych: Co? Kto? Jak? Gdzie?
• Przykładowe metodyki zarządzania ryzykiem.
6. Planowanie ciągłości działania:
• Rola kadry zarządzającej w zapewnieniu ciągłości operacyjnej w organizacji.
• Przygotowanie, zatwierdzanie i testowanie planów awaryjnych.
7. Wewnętrzne polityki bezpieczeństwa, procedury i instrukcje:
• Jak tworzyć dokumentację, aby była zrozumiała?
• Dlaczego użytkownicy nie przestrzegają wewnętrznego prawa?
8. Podstawy cyberhigieny dla każdego kierownika i pracownika, czyli o czym zawsze warto przypominać na każdym szkoleniu:
• Kopia bezpieczeństwa wg zasady „3-2-1”.
• Szyfrowanie danych w laptopie oraz pendrive’ów i dysków zewnętrznych.
• Blokowanie komputera.
• Fizyczna ochrona urządzeń mobilnych.
• Aktualizacja oprogramowania.
• Ochrona antywirusowa.
9. Przygotowanie urzędu do testów bezpieczeństwa:
• Nie ma lepszej metody sprawdzenia czy nasze zabezpieczenia działają jak ich weryfikacja poprzez testy i audyty.
• Rodzaje testów.
• Testy socjotechniczne jako wyzwanie „organizacyjne”.
10. Pytanie/Odpowiedzi/Dyskusja.

Kadra zarządzająca jst (w tym najwyższe kierownictwo podmiotu): prezydenci, burmistrzowie, wójtowie, starostowie, sekretarze, dyrektorzy, kierownicy, pracownicy działów IT oraz inspektorzy ochrony danych (IOD) i pełnomocnicy ds. bezpieczeństwa informacji.

Audytor, trener, doradca. Specjalista w dziedzinie bezpieczeństwa informacji i cyberzagrożeń. Audytor wiodący normy ISO/IEC 27001. Członek Polskiego Towarzystwa Informatycznego. Prowadzi audyty, szkolenia i konsultacje z zakresu bezpieczeństwa informacji, cyberbezpieczeństwa oraz budowania kultury ochrony informacji.