Cyberbezpieczeństwo w sektorze oświaty

Szkoły i przedszkola stają dziś przed koniecznością wdrażania skutecznych procedur ochrony informacji cyfrowych. Dbałość o bezpieczeństwo nie ogranicza się wyłącznie do danych osobowych – obejmuje również dokumentację dotyczącą zarządzania incydentami, zasady bezpiecznego korzystania z internetu, karty dostępowe oraz szybkie reagowanie na przypadki cyberprzemocy.

Prawo Unii Europejskiej definiuje „cyberbezpieczeństwo” jako zbiór działań niezbędnych do ochrony sieci i systemów informatycznych, ich użytkowników oraz innych osób przed zagrożeniami związanymi z bezpieczeństwem cyfrowym.

Natomiast „cyberzagrożenie” to każda potencjalna okoliczność, zdarzenie lub działanie, które może wyrządzić szkodę, spowodować zakłócenia lub w inny sposób negatywnie wpłynąć na sieci, systemy informatyczne, ich użytkowników oraz inne osoby.

Wszystkie sytuacje, w których wykorzystywane jest oprogramowanie lub elektroniczne przetwarzanie danych, są narażone na wystąpienie cyberzagrożeń.

Wszędzie tam, gdzie mamy do czynienia zwłaszcza z oprogramowaniem czy też elektronicznym przetwarzaniem jakichkolwiek danych, mogą zatem wystąpić cyberzagrożenia.

Aspekty prawne cyberbezpieczeństwa w szkole

Zapewnienie cyberbezpieczeństwa w placówkach edukacyjnych to znacznie więcej niż wdrożenie przepisów RODO. Instytucje te muszą również przestrzegać innych regulacji, które zobowiązują do ochrony wszelkich danych, nie tylko tych o charakterze osobowym. Ochronie podlegają m.in. dane dostępowe, takie jak karty wstępu do budynków, a także dane umożliwiające zarządzanie systemami technicznymi, np. przeciwpożarowymi. Dlatego niezwykle istotne jest, by szkoły i przedszkola zwracały uwagę na szeroki zakres przepisów

Przykałdowo dyrektywa NIS 2 wyznacza m.in. obowiązki tzw. podmiotów kluczowych i ważnych (PKW) w zakresie cyberbezpieczeństwa dla danych zarówno osobowych jak i innych niż osobowe.

Zaliczenie do jednej z kategorii PKW opiera się na skomplikowanym systemie klasyfikacji i samoidentyfikacji. W praktyce samorządowe jednostki budżetowe (w tym szkoły i przedszkola) zaliczone będą do kategorii podmiotów ważnych. W przypadku niepublicznych przedszkoli i szkół prawdopodobieństwo klasyfikacji do kategorii PKW jest natomiast bardzo niskie.

Przepisy ustanawiają m.in. obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji, prowadzenia związanej z nim dokumentacji i zgłaszania incydentów krytycznych. Podmiot ważny będący podmiotem publicznym powinien opracować system zarządzania bezpieczeństwem informacji zgodnie z załącznikiem nr 4 do uksc zm.

Przekazanie danych osobowych studentów przez uczelnie DGLP, a następnie przez DGLP do jednostek organizacyjnych PGLLP (Regionalnych Dyrekcji i nadleśnictw) stanowi operację przetwarzania danych osobowych w rozumieniu art. 4 pkt 2 RODO. Z uwagi na zakres samodzielności i odrębność zadań poszczególnych jednostek PGLLP, należy przyjąć, że każda z nich działa jako niezależny administrator danych osobowych w rozumieniu art. 4 pkt 7 RODO, a nie jako podmiot przetwarzający (procesor) na zlecenie uczelni.

Zapraszamy na webinar poświęcony dyrektywie NIS2 i UKSC. Program webinaru objemuje nastepujące kwestie:

Przedstawiamy program szkolenia:

1. Pojęcie incydentu i zasad jego zgłaszania na gruncie NIS 2

2.Pojęcie incydentu i zasad jego zgłaszania na gruncie projektu nowelizacji UKSC

3. Zgłaszanie incydentów UKSC a RODO

4.Organy nadzoru nad krajowym systemem cyberbezpieczeństwa

5. Środki nadzoru i kary przewidziane przez nowelizację ustawy UKSC dla podmiotów ważnych i kluczowych

6. Możliwość nakładania sankcji na osoby fizyczne będące kierownikami jednostek na gruncie nowelizacji projektu UKSC

• Dyrektywa NIS 2 i nowelizacja ustawy UKSC – obowiązki w zakresie zgłaszania incydentów oraz sankcje i środki nadzoru przewidziane przez nowelizację ustawy UKSC​

Zaloguj się do serwisu i pobierz najnowsze e-czasopismo

Przeczytasz w nim:

• NSA: ujawnianie przynależności sędziów narusza RODO - przełomowy wyrok,
• poradnik'25 - najważniejsze wytyczne UODO o naruszeniach danych osobowych,
• jak udokumentować przeprowadzenie badania trzeźwości pracowników,
• DPIA - jak uniknąć błędów przy ocenie skutków dla ochrony danych,
• lista sprawdzająca: przygotowanie do stosowania znowelizowanych przepisów o cyberbezpieczeństwie,
• obowiązki samorządów wynikające z dyrektywy NIS2 - kogo dotyczą nowe przepisy.