Nowe wymagania dotyczące cyberbezpieczeństwa w samorządach czyli jak dyrektywa NIS2 i nowa KSC wpłyną na działalność JST. Szkolenie zgodne z rekomendacjami projektu „Cyberbezpieczny Samorząd”

W 2023 r. weszła w życie nowa dyrektywa NIS2 dotycząca zapewnienia odpowiedniego poziomu cyberbezpieczeństwa w krajach Unii Europejskiej, a w najbliższym czasie wejdzie w życie nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC).
Wprowadzane zmiany mają istotny wpływ na dotychczasowo stosowaną praktykę w jednostkach, wobec czego aktualizacja wiedzy kierowników i dyrektorów w tym obszarze ma kluczowe znaczenia dla zapewnienia skutecznej ochrony informacji w urzędzie oraz zgodności z aktualnymi wymaganiami w tym także RODO i KRI.
Dodatkowo, Najwyższa Izba Kontroli prowadzi kontrole w jst w całym kraju, które przynoszą bardzo zaskakujące wyniki np. dużego braku świadomości cyberzagrożeń wśród pracowników jst i to niezależnie od wielkości jednostki.
W związku z powyższym niezmiennie są aktualne pytania:
• Czy wdrażane przez JST zabezpieczenia faktycznie działają?
• Czy kadra zarządzająca zdaje sobie sprawę ze swojej roli w procesie ochrony informacji?
• Czy pracownicy wiedzą, jak zgłaszać incydenty i dlaczego to jest tak ważne?
Podczas proponowanego szkolenia:
• Krok po kroku, omówimy zagadnienia związane z cyberbezpieczeństwem w jst oraz jednostkach podległych i roli kadry zarządzającej w zakresie rekomendowanym w powyższym projekcie oraz dyrektywie NIS2 i planowanej ustawie o KSC.
• Przeanalizujemy występujące cyberzagrożenia i ich konsekwencje.
• Przypominamy procedury jakie w zakresie cyberbezpieczeńtwa powinny być wdrożone w jednostce oraz wskażemy na co w ich zapisach szczególnie zwracać uwagę.
• Zaprezentujemy zadania i obowiązki jednostek ze szczególnym uwzględnieniem zgłaszania incydentów.
Prezentowane zagadnienia prawne będziemy popierać licznymi przykładami z praktyki dla lepszego zobrazowania omawianych regulacji i zasad postępowania.

• Zapoznanie z głównymi wymaganiami formalno-prawnymi, jakie dotyczą cyberbezpieczeństwa w JST i jednostkach podległych wynikające z dyrektywy NIS2 i nowelizacji KSC oraz RODO i KRI.
• Zdobycie wiedzy z zakresu najnowszych zmian prawnych, w tym dyrektywą NIS2 i planowaną, nową KSC.
• Poznanie przykładowych cyberataków na JST oraz ich konsekwencji, a także dobrych praktyk minimalizowania tych konsekwencji.
• Poznanie roli kadry zarządzającej w zapewnieniu skutecznej ochrony informacji.
• Zdobycie informacji na temat wewnętrznych procedur dotyczących cyberbezpieczeństwa procedur i ich aktualizacji.
• Poznanie zasad nadzorowania procesów związanych z bezpieczeństwem informacji oraz zasad budowania „kultury” bezpieczeństwa w urzędzie.
• Zapoznanie z zasadami nadzorowania i zatwierdzania polityk bezpieczeństwa oraz skutecznego zarządzania ryzykiem i incydentami bezpieczeństwa w JST.
• Zapoznanie z najczęściej popełnianymi błędami w zakresie cyberbezpieczeństwa, które wskazywane są podczas kontroli np. NIK oraz testów i audytów bezpieczeństwa.

1. Wymagania dla JST i jednostek podległych wynikające z przepisów prawa:
• Ogólne Rozporządzenie o ochronie danych (RODO).
• Rozporządzenie Krajowe Ramy Interoperacyjności (KRI).
• Ustawa Krajowy System Cyberbezpieczeństwa (KSC).
2. Wymagania nowej dyrektywy NIS2 dla jednostek administracji publicznej.
• Co i w jakim stopniu dotyczy JST?
• JST jako podmiot kluczowy – obowiązki.
3. Wymagania nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa:
• JST jako podmiot kluczowy?
• Które obowiązki mogą być najtrudniejsze do zrealizowania?
• Jak bezkosztowo wzmocnić cyberbezpieczeństwo w JST „od ręki”?
4. Kontrole Najwyższej Izby Kontroli w JST:
• Omówienie głównych wniosków pokontrolnych.
• Uczmy się na błędach innych.
5. Zarządzanie zdarzeniami i incydentami bezpieczeństwa:
• Podstawowe zasady i oczekiwania.
• Rejestr incydentów jako praktyczne narzędzie ochrony informacji.
6. Zarządzanie ryzykiem bezpieczeństwa informacji w JST:
• Inwentaryzacja zasobów informacyjnych: Co? Kto? Jak? Gdzie?
• Przykładowe metodyki zarządzania ryzykiem.
7. Planowanie ciągłości działania:
• Rola kadry zarządzającej w zapewnieniu ciągłości operacyjnej w organizacji.
• Przygotowanie, zatwierdzanie i testowanie planów awaryjnych.
8. Wewnętrzne polityki bezpieczeństwa, procedury i instrukcje:
• Jak tworzyć dokumentację, aby była zrozumiała?
• Dlaczego użytkownicy nie przestrzegają wewnętrznego prawa?
9. Podstawy cyberhigieny dla każdego kierownika i pracownika, czyli o czym zawsze warto przypominać:
• Kopia bezpieczeństwa wg zasady „3-2-1”.
• Szyfrowanie danych w laptopie oraz pendrive’ów i dysków zewnętrznych.
• Blokowanie komputera.
• Fizyczna ochrona urządzeń mobilnych.
• Aktualizacja oprogramowania.
• Ochrona antywirusowa.
10. Przygotowanie urzędu do testów bezpieczeństwa:
• Nie ma lepszej metody sprawdzenia czy nasze zabezpieczenia działają, jak ich weryfikacja poprzez testy i audyty.
• Testy socjotechniczne jako wyzwanie „organizacyjne”.
11. Phishing – codzienne oszustwa i wyłudzenia informacji:
• Smishing /vishing.
• Ataki typu BEC (Business E-mail Compromise).
• A co zrobić, gdy już „coś się jednak kliknęło”? Czy to już „koniec świata”?
12. Ransomware jako wyjątkowo poważne zagrożenie dla każdego JST:
• Jak uchronić urząd przed atakiem?
• Czy można zapłacić okup cyberprzestępcom?
• Co robić po ataku?
13. Pytania i odpowiedzi. Dyskusja. Podsumowanie.

Kadra zarządzająca JST i jednostek podległych: sekretarze, dyrektorzy, kierownicy, pracownicy działów IT oraz inspektorzy ochrony danych (IOD) i pełnomocnicy ds. Bezpieczeństwa Informacji.

Audytor, trener, doradca. Specjalista w dziedzinie bezpieczeństwa informacji i cyberzagrożeń. Audytor wiodący normy ISO/IEC 27001. Członek Polskiego Towarzystwa Informatycznego. Prowadzi audyty, szkolenia i konsultacje z zakresu bezpieczeństwa informacji, cyberbezpieczeństwa oraz budowania kultury ochrony informacji.