NIS2 i eIDAS 2.0 w polskich uczelniach. Wyzwania i obowiązki

NIS2 wprowadza kilka ważnych regulacji, m.in. kary finansowe oraz indywidualną odpowiedzialność członków zarządu. Na stronie Ministerstwa Infrastruktury możemy przeczytać, że NIS2 zwiększa zakres dotychczasowej dyrektywy NIS o m.in. administrację publiczną, sektor żywności, ścieki czy przemysł. Z kolei eIDAS 2.0 dotyczy Europejskiego Portfela Tożsamości Cyfrowej.

Odpowiedzi na nasze pytania udzielili Agnieszka Bocian, Project & Business Development Manager (SIGNIUS) oraz Grzegorz Kaźmierczak, specjalista ds. cyberbezpieczeństwa i radca prawny (ESYSCO).

Obowiązki i wyzwania

Oskar Klimczuk, CyberDefence24: Jakie obowiązki nakłada eIDAS 2.0 oraz NIS2 na polskie uczelnie publiczne?

Agnieszka Bocian: Konieczność wdrożenia wymagań wynikających z dyrektywy NIS2 obowiązuje w szczególności w zakresie stworzenia polityk cyberbezpieczeństwa, dokonania pogłębionej analizy ryzyka i doboru środków zarządzania ryzykiem. Z kolei rozporządzenie eIDAS 2.0 wprowadza Europejskie Ramy Tożsamości Cyfrowej, w szczególności w zakresie bezpieczeństwa przechowywania i udostępniania danych osobowych oraz dokumentów cyfrowych.

Jakie będą największe wyzwania w implementacji eIDAS 2.0 oraz NIS 2 przez polskie uczelnie?

Agnieszka Bocian: Według naszej oceny, jednym z największych wyzwań w implementacji wymagań eIDAS 2.0 oraz NIS 2.0 przez polskie uczelnie będzie przede wszystkim znalezienie odpowiednich podwykonawców, którzy posiadają wystarczającą wiedzę merytoryczną oraz doświadczenie w zakresie tych regulacji i rozwiązań technologicznych, spełniających ich wymagania. Podwykonawcy powinni nie tylko znać przepisy prawne, ale także rozumieć ich praktyczne zastosowanie w kontekście środowiska akademickiego, by skutecznie i kompleksowo przeprowadzić cyfrową transformację uczelni i wspierać uczelnie w realizacji tych wymagań.

Grzegorz Kaźmierczak: Sporym wyzwaniem dla polskich uczelni będzie dostosowanie systemów i procedur do nowych, bardziej rygorystycznych wymogów cyberbezpieczeństwa. Konieczne będzie przeprowadzenie m.in. kompleksowej oceny dojrzałości, identyfikacja luk oraz wdrożenie skuteczniejszych mechanizmów zarządzania ryzykiem. Stąd wybór odpowiednich podwykonawców, którzy kompleksowo i profesjonalnie zajmą się tymi aspektami jest naszym zdaniem kluczowe.

Agnieszka Bocian: Kolejnym wyzwaniem będzie wyznaczenie odpowiednich osób na uczelniach, które będą odpowiedzialne za wdrożenie wymagań eIDAS 2.0 oraz NIS 2.0. Krótkie szkolenie to za mało, aby móc skutecznie wprowadzać zmiany i utrzymywać je w zgodzie z przepisami. Niezbędne będzie wyznaczenie osób posiadających już odpowiednią wiedzę i kwalifikację, jak również inwestowanie w systematyczne podnoszenie kwalifikacji tych pracowników, którzy będą zajmować się implementacją i późniejszym utrzymaniem rozwiązań związanych z tymi regulacjami. Należy pamiętać, że brak odpowiednich działań może skutkować nie tylko sankcjami finansowymi i osobistą odpowiedzialnością kadry zarządzającej, ale także utratą zaufania partnerów oraz zwiększonym ryzykiem cyberataków.

Wejście w życie i nakłady finansowe

Kiedy wspomniane rozporządzenia będą obowiązywały?

Agnieszka Bocian: eIDAS 2.0 oraz NIS 2.0 są już obowiązujące na poziomie Unii Europejskiej, a państwa członkowskie dostosują swoje przepisy do wymogów dyrektyw. Rozporządzenie eIDAS 2.0 weszło w życie w maju 2024 roku, jednak jego wdrożenie odbywa się stopniowo, ponieważ wymaga dostosowania krajowych systemów identyfikacji elektronicznej i podpisów kwalifikowanych.

NIS2 musiał zostać wdrożony do października 2024 roku, ale regulacje są jeszcze dopracowywane. Uczelnie już teraz powinny przygotowywać się do ich wdrożenia, inwestując w systemy bezpieczeństwa i rozwiązania cyfrowe, obejmujące m.in. opracowanie polityk cyberbezpieczeństwa, przeprowadzanie analiz ryzyka oraz wdrażanie odpowiednich narzędzi do zarządzania ryzykiem. W przypadku niewłaściwego stosowania tych przepisów, mogą zostać nałożone sankcje - zarówno finansowe, jak i administracyjne.

Jakie nakłady finansowe przeznaczono na wsparcie uczelni w realizacji obowiązków wynikających z eIDAS 2.0 i NIS2?

Agnieszka Bocian: Zgodnie z decyzją Ministerstwa Nauki i Szkolnictwa Wyższego, ponad 100 polskich uczelni uzyskało dodatkowe środki finansowe na wsparcie w realizacji obowiązków wynikających z dyrektywy NIS2 oraz rozporządzenia eIDAS, na łączną kwotę 200 mln zł. Wysokość dofinansowania różni się w zależności od uczelni, a maksymalna kwota dofinansowania przypadająca na 1 uczelnię to 5 mln zł.

Warto podkreślić, że nie wszystkim uczelniom przyznane zostały subwencje. Przykładem są uczelnie medyczne, które muszą pokryć koszty wdrożenia wymagań dyrektyw z własnego budżetu.

Cechy systemów

Jakie cechy musi posiadać system, aby spełnić wymogi NIS2 i eIDAS 2.0?

Grzegorz Kaźmierczak: Systemy muszą być z pewnością bezpieczne, odporne na cyberzagrożenia oraz certyfikowane. Każdy z tych aktów kładzie nacisk na nieco inną sferę i ma inne wymagania. Kluczowe jest to, by uczelnie dobrały systemy indywidualnie, tak by zarówno spełniały one wymagania tych norm prawnych, jak i potrzeby indywidualne danej uczelni.

Czy uczelnie już wykorzystują rozwiązania z zakresu cyberbezpieczeństwa, spełniające wymagania NIS 2 i eIDAS 2.0?

Grzegorz Kaźmierczak: Tak, wiele uczelni, w tym uniwersytety i politechniki, już wdrażają rozwiązania z zakresu cyberbezpieczeństwa, które spełniają wymagania NIS2 i eIDAS 2.0. Przykłady takich działań to wdrożenie platform do podpisów elektronicznych, stosowanie rozwiązań do pieczętowania dokumentów związanych z obsługą studentów oraz instalacja narzędzi HSM (Hardware Security Module) do zapewnienia bezpiecznego szyfrowania danych.

Dziękujemy za rozmowę.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].