Dyrektywa NIS 2 i inne regulacje prawne w obszarze cyberbezpieczeństwa

W związku z cyfryzacją i elektronizacją, coraz więcej czynności i zadań realizowanych jest przez Internet. Jednocześnie wzrasta świadomość zarówno przedsiębiorców, jak i konsumentów, w obszarze cyberbezpieczeństwa, do czego przyczynia się z pewnością tworzenie unijnych (NIS 2 /DORA/ CRA) i krajowych ram prawnych w tym zakresie.

7 października 2024 roku opublikowana została nowa, druga wersja projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa (projekt UKSC), będący implementacją Dyrektywy NIS2. Zgodnie z zapowiedziami Ministerstwa Cyfryzacji przepisy dyrektywy NIS powinny zostać implementowane do polskiego porządku prawnego z początkiem 2025 r. Zgodnie z szacunkami Ministerstwa Cyfryzacji, nowelizacja ustawy o KSC dotyczyć będzie ponad 10 000 podmiotów w Polsce, w porównaniu do około 400 podmiotów (tzw. operatorów usług kluczowych), które podlegały ustawie o Krajowym Systemie Cyberbezpieczeństwa z 2018 roku.

Niezależnie do tego, od 17 stycznia 2025 r. obowiązuje rozporządzenie unijne DORA, które ustanowiło, szczegółowe regulacje w zakresie cyberbezpieczeństwa dla sektora finansowego. Nowe regulacje NIS2 oraz DORA to nie tylko nowy zakres podmiotów tworzących Krajowy System Cyberbezpieczeństwa, ale również bardziej restrykcyjne wymagania i obowiązki, a także odpowiedzialność finansowa przedsiębiorstwa oraz osobista członków zarządów za odpowiednie wdrożenie środków zarządzania ryzykiem. Wkrótce można się spodziewać także nowych regulacji z zakresu cyberbezpieczeństwa – nakładających obowiązki także na producentów, importerów i dystrybutorów produktów z elementami cyfrowymi (Cyber Resiliance Act).

Cel szkolenia

Celem szkolenia jest przedstawienie obecnych oraz przyszłych ram prawnych dotyczących obszaru cyberbezpieczeństwa, a także wskazanie optymalnej drogi do wdrożenia zgodności z tymi regulacjami.
Warsztat skupi się również na kwestiach regulacji tych zagadnień w umowach z dostawcami IT – nakreślone zostaną kluczowe postanowienia, które powinny zostać wprowadzone do umów, a także konsekwencje ich braku, zwłaszcza w obszarze odpowiedzialności i rozwiązywania umów. Ostatni blok zagadnień dotyczyć będzie odpowiedzialności karnej, administracyjnej i cywilnej w obszarze cyberbezpieczeństwa.

W ramach szkolenia omówione zostaną m.in.:

• przepisy oraz soft law regulujące zagadnienia z zakresu cyberbezpieczeństwa,
• kluczowe założenia nowych regulacji, które organizacja musi wdrożyć,
• zasady identyfikacji i rejestracji podmiotów kluczowych oraz ważnych zgodnie z najnowszą wersją projektu UKSC,
• normy ISO i inne standardy w kontekście wdrażania środków zarządzania ryzykiem,
• sposoby praktycznego konkretyzowania ogólnych wymogów oraz dobierania właściwych środków technicznych,
• możliwości wykorzystania doświadczeń z wdrażania RODO w kontekście NIS 2,
• metody unikania potencjalnych sankcji prawnych,
• obowiązki wynikające z NIS 2, UKSC i DORA dotyczące łańcucha dostaw,
• kwestie cyberbezpieczeństwa w umowach IT (dotyczących wdrożenia czy serwisu),
• zasady odpowiedzialności za naruszenie cyberbezpieczeństwa – kto i na jakich warunkach ją ponosi.

Szkolenie realizowane przy współpracy z:

Centrum Promocji Informatyki (CPI)

Firma edukacyjna działająca na rynku od 1992 r. Realizuje szkolenia, warsztaty, konferencje specjalistyczne z zakresu: prawa, finansów, informatyki i biznesu stosując nowoczesne metody szkoleniowe. Organizowane szkolenia to gwarancja wysokiej jakości i profesjonalizmu będącego wynikiem ponad 30-letniego doświadczenia.

Współadministratorami danych osobowych są Wydawnictwo C.H.Beck Sp. z o.o. i Centrum Promocji Informatyki Sp. z o.o. Dane przetwarzamy dla realizacji umowy, powiązanych obowiązków prawnych i organizacji szkolenia. Przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.

1. Obecne ramy prawne w obszarze cyberbezpieczeństwa.
   • Regulacje unijne, w tym:
     • dyrektywa NIS,
     • RODO,
     • Akt o cyberbezpieczeństwie.
   • Regulacje krajowe, w tym:
     • ustawa o krajowym systemie cyberbezpieczeństwa.
   • Soft law, wytyczne i normy.
2. Przyszłe ramy prawne w obszarze cyberbezpieczeństwa.
   • Regulacje unijne, w tym:
     • NIS 2 i CER,
     • DORA,
     • CRA.
   • Regulacje krajowe, w tym:
     • Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z 3 października 2024 r.
3. Nowy zakres podmiotowy krajowego systemu cyberbezpieczeństwa.
   
   • Kogo dotyczą nowe regulacje NIS2 i krajowego systemu cyberbezpieczeństwa?
   • Relacja dyrektywy NIS2 do innych regulacji z zakresu cyberbezpieczeństwa.
   • Kim są pomioty ważne i kluczowe w rozumieniu dyrektywy NIS2?
   • Identyfikacja i rejestracja podmiotów kluczowych i podmiotów ważnych wg. projektu UKSC.
4. Środki zarządzania ryzykiem jako podstawa zapewnienia cyberbezpieczeństwa w organizacji.
   
   • Podstawowe środki zarządzania ryzykiem w cyberbezpieczeństwie zgodnie z NIS.
   • Ogólne zasady stosowania środków zarządzania ryzykiem.
   • Jak oceniać czy stosowane środki są „odpowiednie”?
   • Normy ISO oraz inne normy a wdrażanie środków zarządzania ryzykiem.
   • Jak konkretyzować w praktyce ogólne wymogi i dobierać właściwe środki techniczne?
5. Cyberbezpieczeństwo łańcucha dostaw.
   • Incydenty w łańcuchu dostaw – znaczenie cyberbezpieczeństwa.
   • Obowiązki wynikające z NIS2, DORA oraz UKSC dotyczące łańcucha dostaw.
   • Dobre praktyki w zakresie cyberbezpieczeństwa łańcucha dostaw – regulacje wewnętrzne i kontraktowe.
   • Kiedy, jak i jakich dostawców weryfikować w zakresie cyberbezpieczeństwa, aby wypełnić wymagania wynikające z NIS2?
   • Bezpieczeństwo łańcucha dostaw a Prawo zamówień publicznych.
6. Cyberbezpieczeństwo w umowach.
   
   • Rodzaje umów w zakresie cyberbezpieczeństwa:
     • NDA,
     • umowy outsourcingu,
     • umowy na pentesty,
     • umowy IT: wdrożenia, serwis, licencje ze wsparciem technicznym.
   • Jakie kwestie warto wziąć pod uwagę na różnym etapie współpracy z dostawcą:
     • przygotowanie i negocjacje umowy,
     • realizacja umowy.
   • Zasady odpowiedzialności wynikające z przepisów i możliwość ich modyfikacji w umowie.
7. Odpowiedzialność za naruszenie cyberbezpieczeństwa.
   
   • Rodzaje odpowiedzialności za naruszenie cyberbezpieczeństwa:
     • odpowiedzialność administracyjna,
     • odpowiedzialność karna,
     • odpowiedzialność pracownicza,
     • odpowiedzialność cywilna.
   • Krajowy system cyberbezpieczeństwa:
     • uprawnienia organu właściwego ds. cyberbezpieczeństwa,
     • nadzór i kontrola,
     • wysokość i podstawy do nałożenia kar,
     • na kogo może zostać nałożona kara?
   • Inne podstawy odpowiedzialności administracyjnej – RODO i regulacje sektorowe.
   • Odpowiedzialność karna:
     • przestępstwa przeciwko ochronie informacji,
     • tryb ścigania i aspekty dowodowe.
   • Odpowiedzialność pracownicza:
     • sposób regulacji odpowiedzialności w umowie i regulacjach wewnętrznych,
     • zakres odpowiedzialności i tryb jej egzekwowania.
   • Odpowiedzialność cywilna:
     • za co odpowiada dostawca IT?
     • roszczenia odszkodowawcze i kary umowne,
     • znaczenie norm i przepisów branżowych,
     • case studies – wyłączenie odpowiedzialności,
     • cyberpolisy.