Trello – niezbędne narzędzie do zwinnego zarządzania pracą zespołu

Trello to narzędzie, które może znacząco usprawnić zwinne zarządzanie pracą twojego zespołu. Dzięki intuicyjnym tablicom, listom i kartom, Trello pozwala na efektywne planowanie i śledzenie zadań. Wizualna organizacja pracy ułatwia zespołom przejście od pomysłu do realizacji.

Personalizacja i elastyczność

Możesz dostosować tablice Trello do specyfiki swojego zespołu. Dostępne są gotowe szablony dla różnych branż i potrzeb, co ułatwia szybkie rozpoczęcie pracy. Dzięki temu twój zespół może skupić się na realizacji zadań, zamiast tracić czas na konfigurację narzędzia.

Praktyczne funkcje

Trello oferuje funkcje, które wspierają codzienną pracę zespołu. Możesz przypisywać zadania konkretnym osobom, ustalać terminy, tworzyć listy kontrolne i oznaczać priorytety. Dzięki temu każdy członek zespołu wie, za co jest odpowiedzialny i jakie są oczekiwania.

Automatyzacja procesów

Narzędzie Butler w Trello pozwala na automatyzację powtarzalnych zadań. Możesz tworzyć reguły, które przyspieszą pracę i zredukują liczbę błędów. Na przykład, automatyczne przenoszenie kart do odpowiednich list po zakończeniu określonych działań.

Współpraca zdalna

W dobie pracy zdalnej, Trello staje się nieocenionym narzędziem. Umożliwia zespołom komunikację i współpracę niezależnie od miejsca, w którym się znajdują. Wszystkie informacje są dostępne w jednym miejscu, co eliminuje chaos komunikacyjny.

Integracje z innymi narzędziami

Trello integruje się z wieloma popularnymi aplikacjami, takimi jak Slack, Google Drive czy Jira. Dzięki temu możesz centralizować pracę zespołu i unikać przełączania się między różnymi platformami. To zwiększa efektywność i oszczędza czas.

Czy Trello jest dla ciebie?

Zastanów się, czy twój zespół potrzebuje narzędzia, które ułatwi organizację pracy i poprawi komunikację. Czy chcesz zwiększyć przejrzystość procesów i efektywność realizacji projektów? Jeśli tak, Trello może być odpowiedzią na te potrzeby.

Źródła:

Wyłącz SMBv1

Protokół Server Message Block (SMB) jest używany do udostępniania plików i usług wydruku między komputerami w sieci. Jednak wersja SMBv1 jest znana z krytycznych podatności, które mogą być wykorzystane przez złośliwe oprogramowanie. Dlatego zaleca się wyłączenie protokołu SMBv1 na wszystkich urządzeniach w sieci, aby zapewnić bezpieczeństwo sieci i chronić przed atakami.

Ryzyka związane z SMBv1:

  • WannaCry ransomware: W 2017 roku atak WannaCry wykorzystał luki w SMBv1, aby zaszyfrować pliki użytkowników i żądać okupu za ich odblokowanie.

  • Exploit „EternalBlue”: Pozwala na zdalne wykonanie kodu na komputerze docelowym, dając atakującemu pełną kontrolę nad zainfekowanym systemem.

Jak wyłączyć SMBv1:

Metoda 1

  1. Otwórz Edytor zasad grupy (Group Policy Editor).

  2. Przejdź do „Konfiguracja komputera” > „Szablony administracyjne” > „Windows.

  3. Znajdź i kliknij „SMB 1.0 (CIFS) File Sharing Support”.

  4. Wyłącz opcje „Włączanie klienta SMB 1.0/CIFS” i „Włączanie serwera SMB 1.0/CIFS”.

Metoda 2

W PowerShell z uprawnieniami administratora wpisz komendy

Sprawdzenie stanu SMBv1

Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Wyłącz SMBv1

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Włącz SMBv1

Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Alternatywy dla SMBv1:

  • SMBv2 i SMBv3: Nowsze wersje protokołu SMB, które mają poprawione bezpieczeństwo i wydajność.

  • Regularne aktualizacje systemów operacyjnych: Ważne jest, aby regularnie aktualizować systemy operacyjne, aby chronić się przed nowymi zagrożeniami.

Podsumowanie: Wyłączenie protokołu SMBv1 jest kluczowe dla zapewnienia bezpieczeństwa sieci i ochrony przed atakami złośliwego oprogramowania. Zaleca się zastosowanie nowszych wersji SMB oraz regularne aktualizacje systemów operacyjnych.

UŻYWANE OPROGRAMOWANIE MICROSOFT, CZY LEGALNE?

Odsprzedaż używanych licencji oprogramowania, takich jak Windows i Microsoft Office, jest tematem budzącym liczne wątpliwości prawne. Kluczowe znaczenie mają w tym kontekście orzeczenia Trybunału Sprawiedliwości Unii Europejskiej (TSUE), które kształtują interpretację przepisów dotyczących wyczerpania praw autorskich w Unii Europejskiej.

Wyczerpanie prawa do dystrybucji

Zgodnie z dyrektywą 2009/24/WE, pierwsza sprzedaż na terytorium Unii Europejskiej kopii programu komputerowego przez uprawnionego lub za jego zgodą wyczerpuje prawo do dystrybucji tej kopii w Unii. Oznacza to, że nabywca oryginalnej kopii oprogramowania może ją odsprzedać bez zgody pierwotnego właściciela praw autorskich. TSUE w wyroku z 3 lipca 2012 r. w sprawie C-128/11 (UsedSoft GmbH przeciwko Oracle International Corp.) potwierdził, że wyczerpanie prawa do dystrybucji dotyczy zarówno kopii na nośnikach fizycznych, jak i pobranych z internetu.

Odsprzedaż oprogramowania wraz z komputerem

W przypadku odsprzedaży używanego oprogramowania Windows 11 wraz z komputerem, sytuacja zależy od rodzaju licencji. Jeśli oprogramowanie zostało nabyte na podstawie licencji OEM (Original Equipment Manufacturer), która jest przypisana do konkretnego urządzenia, odsprzedaż takiego oprogramowania razem z komputerem jest zgodna z prawem. Licencje OEM są zazwyczaj nieprzenoszalne na inne urządzenia, ale mogą być przekazywane wraz z oryginalnym sprzętem.

Sprzedaż licencji Windows z używanym komputerem

Sprzedaż licencji Windows razem z używanym markowym komputerem, takim jak Lenovo czy Dell, jest legalna, pod warunkiem że licencja jest zgodna z warunkami producenta. W przypadku licencji OEM, które są dostarczane z nowymi komputerami, odsprzedaż jest dozwolona tylko razem z oryginalnym sprzętem. Natomiast licencje typu Retail, które są niezależne od sprzętu, mogą być odsprzedawane oddzielnie, o ile nie naruszają postanowień umowy licencyjnej.

Kopie zapasowe a odsprzedaż

Warto podkreślić, że odsprzedaż kopii zapasowych oprogramowania jest zabroniona. TSUE w wyroku z 12 października 2016 r. w sprawie C-166/15 (Ranks i Vasiļevičs) stwierdził, że sprzedaż kopii zapasowych bez zgody właściciela praw autorskich stanowi naruszenie tych praw. Kopie zapasowe mogą być tworzone wyłącznie na własny użytek i nie mogą być przedmiotem obrotu handlowego.

Podsumowanie

Odsprzedaż używanych licencji oprogramowania, takich jak Windows i Microsoft Office, jest możliwa w świetle prawa unijnego, pod warunkiem spełnienia określonych warunków. Kluczowe jest, aby odsprzedaż dotyczyła oryginalnej kopii oprogramowania wraz z licencją, a nie kopii zapasowej. W przypadku licencji OEM, odsprzedaż jest dozwolona tylko razem z oryginalnym sprzętem, do którego licencja jest przypisana. Zaleca się dokładne zapoznanie się z warunkami licencji oraz ewentualne skonsultowanie się z prawnikiem specjalizującym się w prawie autorskim i licencjonowaniu oprogramowania, aby uniknąć potencjalnych naruszeń prawa.

CZY AI ACT OBOWIĄZUJE W POLSCE ?

Akt o sztucznej inteligencji (AI Act) to rozporządzenie Unii Europejskiej, które wprowadza kompleksowe ramy regulacyjne dla systemów sztucznej inteligencji na terenie UE. Jako rozporządzenie, AI Act obowiązuje bezpośrednio we wszystkich państwach członkowskich, w tym w Polsce, bez konieczności implementacji do prawa krajowego.

Harmonogram wdrażania AI Act:

  • 1 sierpnia 2024 r.: AI Act został opublikowany i wszedł w życie, rozpoczynając okresy przejściowe dla poszczególnych przepisów.

  • 2 lutego 2025 r.: Wejdą w życie przepisy zakazujące stosowania szczególnie niebezpiecznych systemów AI na terenie UE.

  • 1 sierpnia 2025 r.: Zaczną obowiązywać przepisy dotyczące nadzoru nad sztuczną inteligencją, w tym określenie organów nadzoru rynku i organów notyfikujących, a także regulacje dotyczące modeli AI ogólnego przeznaczenia oraz sankcji za naruszenia AI Act.

  • 1 sierpnia 2026 r.: Wejdą w życie przepisy odnoszące się do systemów AI wysokiego ryzyka oraz związanych z nimi obowiązków.

  • 1 sierpnia 2027 r.: Ostateczny termin dla niektórych systemów wysokiego ryzyka będących elementem produktów podlegających osobnym normom.

W związku z powyższym, w 2025 roku w Polsce będą obowiązywać już pierwsze przepisy AI Act, zwłaszcza te dotyczące zakazanych praktyk w zakresie sztucznej inteligencji oraz nadzoru nad jej stosowaniem. Ministerstwo Cyfryzacji aktywnie pracuje nad dostosowaniem polskiego systemu prawnego do wymogów AI Act, aby zapewnić skuteczne wdrożenie i egzekwowanie nowych regulacji.

 

Czy zgodnie z AI ACT należy informować na stronie internetowej o fakcie  generowania teksu z użyciem narzędzi AI?

Tak, zgodnie z założeniami AI Act (Artificial Intelligence Act), który jest obecnie procedowany w Unii Europejskiej, istnieje obowiązek informowania użytkowników o tym, że dany tekst, obraz, czy inne treści zostały stworzone przy użyciu narzędzi sztucznej inteligencji. Jest to część regulacji mających na celu zapewnienie transparentności w korzystaniu z AI.

Kluczowe aspekty w kontekście oznaczania treści:

  1. Obowiązek ujawniania: Zgodnie z projektem AI Act, w przypadku generowanych treści, szczególnie takich, które mogą być mylące lub które mogłyby zostać pomylone z treściami stworzonymi przez człowieka, należy jasno informować użytkowników, że zostały one wygenerowane za pomocą AI.

  2. Przykłady zastosowania:

    • Na stronie internetowej, jeśli publikujesz teksty wygenerowane przy pomocy narzędzi AI (np. ChatGPT), powinieneś zamieścić odpowiednią informację, np. w formie adnotacji, że tekst został opracowany przy użyciu sztucznej inteligencji.
    • W przypadku obrazów lub wideo generowanych przez AI, również należy to zaznaczyć.
  3. Cel regulacji:

    • Zapewnienie przejrzystości dla użytkowników.
    • Ochrona przed potencjalnym wprowadzeniem w błąd (np. w kontekście deepfake’ów czy treści fałszywych).
    • Ułatwienie użytkownikom rozróżniania treści generowanych przez człowieka od tych tworzonych przez AI.
  4. Konsekwencje braku oznaczenia: Jeśli przedsiębiorstwo lub osoba nie spełni wymogów dotyczących transparentności, mogą zostać nałożone kary administracyjne, zgodnie z wytycznymi AI Act.

W praktyce oznacza to, że w treściach zamieszczanych na stronie internetowej (np. w blogach, artykułach, opisach produktów) powinna znaleźć się informacja o wykorzystaniu narzędzi AI. Przykładowy zapis mógłby brzmieć:

„Ten tekst został wygenerowany przy użyciu narzędzia sztucznej inteligencji.”

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzia sztucznej inteligencji.

BEZPŁATNE ŹRÓDŁA Z GRAFIKĄ I ZDJĘCIAMI

PIXABAY

Zgodnie z informacjami zawartymi na stronie Pixabay, zdjęcia dostępne na tej platformie można używać bezpłatnie, zarówno do celów komercyjnych, jak i niekomercyjnych, bez konieczności podawania autora czy źródła. Jednakże, docenienie twórców poprzez dobrowolne przypisanie autorstwa jest mile widziane przez społeczność.

Należy jednak pamiętać, że niektóre treści mogą być objęte dodatkowymi prawami własności intelektualnej, takimi jak prawa do znaków towarowych czy prawa do wizerunku osób przedstawionych na zdjęciach. W takich przypadkach użytkownik jest odpowiedzialny za upewnienie się, czy posiada odpowiednie zgody lub licencje na wykorzystanie tych treści.

PEXELS

Korzystając ze zdjęć z Pexels na własnej komercyjnej stronie internetowej , nie ma obowiązku podawania autora ani źródła, ale jest to mile widziane. Należy jednak zachować ostrożność w przypadku treści zawierających rozpoznawalne znaki towarowe, logotypy czy wizerunki osób, aby upewnić się, że ich użycie jest zgodne z obowiązującym prawem.

Public Domain Collections

Zdjęcia z Public Domain Collections (domeny publicznej) można wykorzystywać komercyjnie bez konieczności uzyskiwania zgody autora, ponieważ nie są chronione prawami autorskimi. Nie ma obowiązku podawania źródła ani autora, ale może być to zalecane w celu docenienia pracy twórców.

Zasady:

  1. Brak ochrony prawnej – dzieła należą do domeny publicznej.
  2. Swobodne użycie – w celach komercyjnych i niekomercyjnych.
  3. Wyjątki – należy uważać na prawa do wizerunku osób, znaków towarowych i inne ograniczenia lokalnych przepisów.

Przykłady wyszukiwarek:

  1. Unsplash (unsplash.com)
  2. Picryl (picryl.com)
  3. Europeana (europeana.eu)
  4. Smithsonian Open Access (si.edu/openaccess)
  5. The New York Public Library Digital Collections (nypl.org)

Te wyszukiwarki zawierają wiele treści, które są w domenie publicznej lub mają licencje umożliwiające swobodne użycie.

ULUBIONE NARZĘDZIA AI INFORMATYKA

ChatBoty AI

gemini.google.com/app

chatgpt.com

copilot.microsoft.com

Tworzenie prezentacji

gamma.app

 

Rozmowa z historycznymi postaciami

character.ai

Czytanie tekstów

elevenlabs.io

Tworzenie awatarów

app.heygen.com/avatars

studio.d-id.com

Tworzenie muzyki

suno.com

Nauka programowania dla dzieci

scratch.mit.edu/

Tworzenie sprawdzianów i quizów

kahoot.com/pl/

Tworzenie materiałów edukacyjnych

pl.khanacademy.org/

napkin.ai

perplexity.ai

mylens.ai

Korekta gramatyczna tekstów

LanguageTool

Detektory AI i weryfikatory do kontroli tekstu

GPTZero i DetectGPT, Turnitin

PROCES TWORZENIA I ZARZĄDZANIA SYSTEMEM BEZPIECZEŃSTWA INFORMACJI SZBI

Współczesne organizacje coraz bardziej polegają na systemach informatycznych i cyfrowych zasobach, co sprawia, że ochrona informacji staje się kluczowym elementem zarządzania. Normy i przepisy prawa dostarczają kompleksowych wytycznych, które pozwalają na skuteczne zarządzanie systemem bezpieczeństwa informacji. Poniższy artykuł omawia kluczowe etapy tego procesu w oparciu o modelowy cykl życia systemu.

PROCES TWORZENIA I ZARZĄDZANIA SYSTEMEM BEZPIECZEŃSTWA INFORMACJI SZBI opracowany przez Witold Bzdęga

1. Faza identyfikacji

Pierwszy etap stanowi fundament każdego systemu bezpieczeństwa informacji. Celem jest zrozumienie zasobów organizacji, procesów oraz ryzyk, jakie jej zagrażają.

  • Zarządzanie aktywami

Każda organizacja powinna zidentyfikować swoje zasoby, takie jak dane, urządzenia, oprogramowanie czy infrastrukturę. Kluczowe jest stworzenie rejestru aktywów i przypisanie do nich właścicieli odpowiedzialnych za ich ochronę.

  • Zarządzanie procesami

Analiza procesów biznesowych pozwala zrozumieć, jak informacje są przetwarzane, przechowywane i przesyłane. Optymalizacja procesów może przyczynić się do zminimalizowania ryzyk.

  • Ocena środowiska biznesowego

Kluczowe jest zrozumienie kontekstu działania organizacji, w tym wymagań prawnych, regulacyjnych i oczekiwań interesariuszy. To pozwala na dopasowanie systemu bezpieczeństwa do specyfiki organizacji.

  • Ocena ryzyka

Identyfikacja zagrożeń i słabości, a także analiza ich wpływu i prawdopodobieństwa, pozwala zbudować profil ryzyka organizacji. W tym celu stosuje się metodyki takie jak analiza SWOT czy OCTAVE.

  • Strategia zarządzania ryzykiem

Na podstawie wyników oceny ryzyka tworzony jest plan zarządzania ryzykiem, który obejmuje środki zapobiegawcze, minimalizujące lub akceptujące ryzyko.

2. Faza ochrony

W tej fazie organizacja wdraża środki techniczne, proceduralne i organizacyjne, które mają na celu ochronę jej zasobów informacyjnych.

  • Szkolenia

Podstawowym elementem ochrony jest edukacja pracowników na temat zagrożeń, polityk i procedur bezpieczeństwa.

  • Kontrola dostępu

Skuteczne zarządzanie tożsamością i uprawnieniami użytkowników pozwala na ograniczenie dostępu do zasobów wyłącznie do osób upoważnionych.

  • Fizyczne bezpieczeństwo danych

Ochrona fizyczna obejmuje zabezpieczenie budynków, serwerowni oraz nośników danych przed nieautoryzowanym dostępem i zagrożeniami fizycznymi.

  • Proces i procedury ochrony informacji

Opracowanie i wdrożenie polityk oraz procedur, takich jak polityka czystego biurka czy szyfrowanie danych, zapewnia spójność działań ochronnych.

  • Technologia proaktywna

Wdrażanie narzędzi takich jak firewalle, systemy wykrywania intruzów (IDS) czy zaawansowane oprogramowanie antywirusowe minimalizuje ryzyko ataków.

3. Faza wykrycia

Nie można zapobiec wszystkim incydentom, dlatego istotne jest szybkie wykrywanie zagrożeń.

  • Proces i procedury wykrywania podatności

Regularne audyty bezpieczeństwa i testy penetracyjne pomagają w identyfikacji słabości systemu.

  • Rejestrowanie anomalii i zdarzeń

Automatyczne rejestrowanie nietypowych zdarzeń w systemach pozwala na szybką reakcję na potencjalne zagrożenia.

  • Ciągłe monitorowanie bezpieczeństwa

Systemy SIEM (Security Information and Event Management) zapewniają bieżącą analizę działań w sieci.

4. Faza reagowania

Skuteczna reakcja na incydenty ogranicza ich skutki i pozwala na szybkie przywrócenie normalnego funkcjonowania.

  • Plan reakcji na incydent

Organizacja powinna posiadać szczegółowy plan, który określa role, obowiązki i procedury w przypadku wystąpienia incydentu.

  • Komunikacja wewnętrzna i zewnętrzna

Jasne zasady komunikacji podczas incydentu minimalizują dezinformację i eskalację problemu.

  • Łagodzenie skutków incydentu – działania korekcyjne

Kluczowe jest szybkie ograniczenie szkód, na przykład poprzez izolowanie zainfekowanych systemów.

  • Analiza incydentu

Dokładne badanie przyczyn i skutków incydentu pozwala na lepsze przygotowanie na przyszłość.

  • Wnioski i działania korygujące na przyszłość

Wnioski z analizy powinny wpływać na aktualizację polityk i procedur bezpieczeństwa.

  • Poprawa planów reagowania

Stałe doskonalenie planów zapewnia skuteczniejszą reakcję w przyszłości.

5. Faza odzyskiwania

Ostatni etap koncentruje się na przywróceniu normalnego funkcjonowania organizacji po incydencie.

  • Plan ciągłości działania

Planowanie awaryjne obejmuje procedury zapewniające ciągłość działania kluczowych procesów.

  • Poprawa planów odzyskiwania

Doświadczenia zdobyte podczas incydentu powinny służyć do udoskonalenia planów na przyszłość.

  • Komunikacja wewnętrzna i zewnętrzna

KLUCZOWE AKTY PRAWNE DOTYCZĄCE INFORMATYZACJI I CYBERBEZPIECZEŃSTWA

Biurko w kancelarii prawnej z komputerem i książkami

Polskie normy prawne (stan na dzień 06.01.2025)

  1. Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne. Dz.U. 2024 poz. 307
  2. Rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Dz.U. 2024 poz. 773 

  3. Rozporządzenie Prezesa Rady Ministrów z dnia 14 września 2011 r. w sprawie sporządzania i doręczania dokumentów elektronicznych oraz udostępniania formularzy, wzorów i kopii dokumentów elektronicznych. Dz.U. 2018 poz. 180

  4. Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Dz.U. 2024 poz. 1077

  5. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Dz.U. 2019 poz. 1781
  6. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Dz.U. 2004 nr 100 poz. 1024

  7. USTAWA z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej. Dz.U. 2024 poz. 1725

  8. Ustawa z dnia 18 listopada 2020 r. o doręczeniach elektronicznych. Dz.U. 2020 poz. 2320
  9. Ustawa z dnia 21 listopada 2024 r. o zmianie ustawy o doręczeniach elektronicznych. Dz.U. 2024 poz. 1841
  10. Ustawa z dnia 28 kwietnia 2022 r. o zmianie niektórych ustaw w związku z rozwojem publicznych systemów teleinformatycznych. Dz.U. 2022 poz. 1002

  11. Ustawa z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej. Dz.U. 2023 poz. 1703

Europejskie normy prawne

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG). Document 32016R0679
  2. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW. Document 32016L0680
  3. Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance). Document 32022L2555
  4. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1183 z dnia 11 kwietnia 2024 r. w sprawie zmiany rozporządzenia (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej. Document 32024R1183
  5. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji) (Tekst mający znaczenie dla EOG). Document 32024R1689

O CO CHODZI W DYREKTYWIE NIS2 I JEJ ZNACZENIU DLA CYBERBEZPIECZEŃSTWA

Flaga UE

Do 17.10.2024 do krajowego porządku prawnego powinna zostać wdrożona dyrektywa NIS2 (Network and Information System Directive), czyli Druga Dyrektywa o Bezpieczeństwie Sieci i Systemów Informacyjnych. Jest to kontynuacja pierwszej dyrektywy NIS, która została wprowadzona w 2016 roku, a dyrektywa NIS2 została zaproponowana w celu dostosowania przepisów do zmieniających się zagrożeń i wyzwań w obszarze cyberbezpieczeństwa.

HARMONOGRAM

2016

2018

2020

2022

2025

NIS1

UKSC1

Projekt NIS2

NIS2

Projekt UKSC2

 

Powody ustanowienia NIS2

Po przeprowadzeniu audytu NIS 1 w krajach członkowskich uznano że :

  • Występują znaczne różnice w poszczególnych krajach w postępach z walką z cyberprzestępczością.

W kontekście działania na jednolitym rynku cyfrowym Unii Europejskiej, istnieje potrzeba harmonizacji przepisów dotyczących cyberbezpieczeństwa w celu zapewnienia spójności i skuteczności działań na poziomie europejskim. Główne cele dyrektywy NIS2 obejmują dostosowanie przepisów do zmieniających się zagrożeń i wyzwań w obszarze cyberbezpieczeństwa, poprawę współpracy i koordynacji między państwami członkowskimi oraz zwiększenie poziomu bezpieczeństwa sieci i systemów informatycznych.

  • Nastąpił lawinowy wzrost usług ICT.

Infrastruktura krytyczna, taka jak sieci energetyczne, systemy bankowe, transport publiczny czy opieka zdrowotna, staje się coraz bardziej narażona na cyberatak. Incydenty cybernetyczne mogą prowadzić do zakłóceń w funkcjonowaniu tych kluczowych usług, co ma poważne konsekwencje dla społeczeństwa i gospodarki.

  • Wraz z rozwojem następuje wzrost złożoności usług ICT.

W ciągu ostatnich kilku lat obserwujemy dynamiczny rozwój technologii cyfrowych, które stały się nieodłączną częścią naszego codziennego życia. Wraz z rozwojem Internetu, chmury obliczeniowej, sztucznej inteligencji i Internetu Rzeczy (IoT), nasze społeczeństwo jest coraz bardziej zależne od infrastruktury cyfrowej.

  • Po epidemii nastąpiło znaczące odmiejscowienie pracy.
  • Występuje masowe wdrożenie usług chmurowych.
  • Obserwuje się skokowy wzrost cyberzagrożeń.

Wraz z rozwojem technologicznym, zwiększa się także liczba cyberataków, zarówno pod względem ilości, jak i złożoności. Ataki cybernetyczne mogą być prowadzone przez różne podmioty, w tym przestępców internetowych, hakerów państwowych oraz aktywistów politycznych, co stanowi poważne zagrożenie dla bezpieczeństwa państw i społeczeństw.

 W konsekwencji konieczność reakcji na zmieniające się zagrożenia.

Istniejące przepisy dotyczące bezpieczeństwa sieci i systemów informatycznych często nie nadążają za dynamicznym rozwojem technologicznym i ewoluującymi zagrożeniami.

Konieczne stało się więc wprowadzenie nowych regulacji, które umożliwią skuteczną reakcję na zmieniające się zagrożenia oraz wzmocnią ochronę infrastruktury krytycznej.

Korzyści z wdrożenia NIS2

Wdrażanie dyrektywy NIS2 przez objęte podmioty zwiększy poziom cyberbezpieczeństwa dużej ilości danych oraz infrastruktury kluczowych usług publicznych. Skutecznie ograniczy ryzyko incydentów cyberbezpieczeństwa. Zwiększy odporność i zdolność do odbudowy infrastruktury po ataku. Zyskają obywatele. Wzrośnie zaufanie do podmiotów w UE.

PORADNIK, JAK I PO CO WDROŻYĆ WYMAGANIA PRZEPISÓW KRAJOWYCH RAM INTEROPERACYJNOŚCI

Biurko w kancelarii prawnej z komputerem i książkami

 

KRAJOWE RAMY INTEROPERACYJNOŚCI TO NIE RODO

Krajowe Ramy Interoperacyjności (KRI) to zbiór standardów i wytycznych, które mają na celu zapewnienie spójności i efektywności działania systemów teleinformatycznych w administracji publicznej. Ich wdrożenie jest kluczowe dla poprawy jakości usług publicznych, zwiększenia bezpieczeństwa informacji oraz ułatwienia współpracy między różnymi podmiotami administracji.

Pierwszym krokiem w procesie wdrażania KRI jest dokładne zapoznanie się z obowiązującymi przepisami prawnymi, w tym z Rozporządzeniem Rady Ministrów w sprawie Krajowych Ram Interoperacyjności. Dokument ten określa minimalne wymagania dla rejestrów publicznych, wymiany informacji w postaci elektronicznej oraz systemów teleinformatycznych. Zrozumienie tych wymogów pozwala na właściwe przygotowanie się do ich implementacji.

Kolejnym etapem jest przeprowadzenie analizy obecnego stanu systemów informatycznych w danej jednostce (PONIŻEJ GOTOWA AUTODIAGNOZA). Audyt bezpieczeństwa informacji, zgodnie z wytycznymi KRI, umożliwia identyfikację potencjalnych luk i obszarów wymagających poprawy. Regularne audyty są nie tylko zalecane, ale w wielu przypadkach obligatoryjne, co podkreśla ich znaczenie w utrzymaniu wysokiego poziomu bezpieczeństwa danych.

Wdrażanie KRI wiąże się również z koniecznością opracowania i aktualizacji dokumentacji dotyczącej polityki bezpieczeństwa informacji. Dokumenty te powinny precyzować procedury postępowania w sytuacjach kryzysowych, zasady dostępu do danych oraz inne istotne aspekty związane z ochroną informacji. Szczególną uwagę należy zwrócić na zgodność z normą PN-ISO/IEC 27005, która opisuje wytyczne dotyczące zarządzania ryzykiem w bezpieczeństwie informacji. Gov.pl

Szkolenie pracowników to kolejny kluczowy element wdrażania KRI. Personel powinien być świadomy znaczenia bezpieczeństwa informacji oraz znać procedury i zasady obowiązujące w organizacji. Regularne szkolenia podnoszą kompetencje pracowników i minimalizują ryzyko błędów ludzkich, które mogą prowadzić do naruszeń bezpieczeństwa.

Warto również zwrócić uwagę na techniczne aspekty wdrożenia KRI. Obejmuje to m.in. aktualizację oprogramowania, konfigurację systemów zgodnie z wytycznymi oraz implementację odpowiednich mechanizmów ochrony, takich jak firewalle czy systemy wykrywania intruzów. Wszystkie te działania mają na celu zapewnienie integralności, poufności i dostępności przetwarzanych informacji.

Wdrożenie KRI przynosi wiele korzyści. Przede wszystkim zwiększa poziom bezpieczeństwa informacji, co jest kluczowe w dobie rosnących zagrożeń cybernetycznych. Ponadto, ujednolicenie standardów w administracji publicznej ułatwia wymianę informacji między różnymi podmiotami, co przekłada się na sprawniejszą realizację zadań publicznych. Dodatkowo, spełnienie wymogów KRI może podnosić zaufanie obywateli do instytucji publicznych, które dbają o ochronę ich danych.

Podsumowując, wdrożenie Krajowych Ram Interoperacyjności to proces wymagający zaangażowania na wielu płaszczyznach – od analizy i planowania, przez szkolenia, po techniczne dostosowanie systemów. Jednakże korzyści płynące z tego przedsięwzięcia, zarówno w kontekście bezpieczeństwa informacji, jak i efektywności działania administracji publicznej, są nieocenione.

 

JAKIE SĄ ZAGROŻENIA DLA INSTYTUCJI, KTÓRE BAGATELIZUJĄ BEZPIECZEŃSTWO INFORMACJI

Bagatelizowanie bezpieczeństwa informacji przez instytucje publiczne wiąże się z wieloma poważnymi zagrożeniami, które mogą skutkować zarówno stratami finansowymi, jak i utratą zaufania społecznego. Oto najważniejsze z nich:

  1. Utrata lub wyciek danych wrażliwych
    Instytucje publiczne przetwarzają ogromne ilości danych osobowych, w tym informacje wrażliwe dotyczące obywateli, takie jak dane zdrowotne, finansowe czy socjalne. Wyciek takich informacji może prowadzić do naruszenia prywatności obywateli, a instytucja może ponieść konsekwencje prawne oraz wizerunkowe.
  2. Ataki cybernetyczne
    Bagatelizowanie bezpieczeństwa zwiększa ryzyko skutecznych ataków cybernetycznych, takich jak ransomware, phishing czy DDoS. Takie ataki mogą paraliżować działanie urzędów, powodować utratę danych oraz wymuszać wysokie koszty na przywrócenie działania systemów.
  3. Narażenie na kary finansowe
    Nieprzestrzeganie przepisów dotyczących ochrony danych, takich jak RODO czy Krajowe Ramy Interoperacyjności, może skutkować wysokimi karami finansowymi. W Polsce Urząd Ochrony Danych Osobowych (UODO) może nakładać surowe sankcje na instytucje, które nie dbają o bezpieczeństwo informacji.
  4. Dezinformacja i manipulacja danymi
    Brak odpowiednich zabezpieczeń może umożliwić cyberprzestępcom manipulację danymi przechowywanymi w systemach publicznych, co może prowadzić do chaosu i podważenia wiarygodności instytucji publicznych.
  5. Utrata zaufania społecznego
    Ujawnienie wycieków danych lub innych incydentów związanych z bezpieczeństwem może poważnie zaszkodzić reputacji instytucji publicznej. Obywatele mogą stracić zaufanie do urzędu, co utrudni współpracę i realizację zadań publicznych.
  6. Paraliż infrastruktury krytycznej
    Instytucje publiczne często zarządzają kluczową infrastrukturą, taką jak sieci energetyczne, wodociągi czy transport publiczny. Brak odpowiednich zabezpieczeń może prowadzić do przerw w działaniu tych systemów, co z kolei wpływa na bezpieczeństwo i jakość życia obywateli.
  7. Szpiegostwo i kradzież informacji
    Niedostateczna ochrona danych może ułatwić działalność grup szpiegowskich lub konkurencyjnych podmiotów, które mogą wykorzystać uzyskane informacje do szkodzenia interesom narodowym lub lokalnym.
  8. Problemy operacyjne i utrata danych
    Awaria systemów teleinformatycznych spowodowana brakiem regularnych audytów czy zabezpieczeń może prowadzić do trwałej utraty danych. Tego typu sytuacje mogą być kosztowne i czasochłonne w naprawie. Brak ewidencji i rejestrów może prowadzić do nadużyć ze strony pracowników. Instalacji nielegalnego oprogramowania.
  • odpowiedzialność karna za nielegalne oprogramowanie – art. 278 §2 KK;
  • odpowiedzialność karna za paserstwo art. 293 § 1 KK;
  • zwrot dofinansowania z środków UE – dyrektywa 2004/48/WE Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004r. w sprawie egzekwowania praw własności intelektualnej uprawnia kontrolerów do sprawdzania projektów i audytu legalności oprogramowania w ciągu 5 lat od zakończenia inwestycji.

 

  1. Narażenie na odpowiedzialność osobistą pracowników
    W przypadku zaniedbań w zakresie ochrony danych, odpowiedzialność może być przypisana konkretnym osobom w instytucji, co może skutkować konsekwencjami zawodowymi i prawnymi.
  • odpowiedzialność administracyjna, w art. 102 ustawy o ochronie danych osobowych, m.in. w wysokości do 100.000 zł w odniesieniu do takich jednostek sektora finansów publicznych jak np. gminy, szkoły, szpitale, uczelnie bądź w wysokości do 10.000 zł dla jednostek sektora finansów publicznych takich jak: biblioteki, domy kultury, muzea itp.
  • odpowiedzialność cywilnoprawna, każda osoba, która poniosła szkodę majątkową lub niemajątkową uprawniona jest do dochodzenia odszkodowania lub zadośćuczynienia – również w wyniku naruszenia przepisów dot. ochrony danych osobowych, zgodnie z art. 82 ust. 1 RODO
  • odpowiedzialność karna – uję­tą przez polskiego prawodawcę w art. 231 1 Kodeksu karnego, w przypadku gdy funkcjonariusz publiczny, który, przekraczając swoje uprawnienia lub nie dopełniając obowiązków, działa na szkodę interesu publicznego lub prywatnego, podlega karze pozbawienia wolności do lat 3.

 

  1. Rosnące koszty naprawy po incydentach
    Brak prewencji w postaci odpowiednich zabezpieczeń często skutkuje wyższymi kosztami związanymi z reagowaniem na incydenty. Naprawa szkód, odzyskanie danych czy odbudowa reputacji jest zazwyczaj bardziej kosztowna niż wcześniejsze inwestycje w bezpieczeństwo.

Instytucje publiczne muszą traktować bezpieczeństwo informacji jako priorytet, ponieważ bagatelizowanie tego obszaru niesie ryzyko nie tylko dla nich samych, ale także dla obywateli i całego państwa.

 

KTO MA OBOWIĄZEK STOSOWANIA ZABEZPIECZEŃ ZGODNIE Z KRI?

 

Art.  2.  [Zakres podmiotowy USTAWA z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne]

  1. Z zastrzeżeniem ust. 2-4, przepisy ustawy stosuje się do realizujących zadania publiczne określone przez ustawy:

1) organów administracji rządowej, organów kontroli państwowej i ochrony prawa, sądów, jednostek organizacyjnych prokuratury, a także jednostek samorządu terytorialnego i ich organów,

2) jednostek budżetowych i samorządowych zakładów budżetowych,

3) funduszy celowych,

4) samodzielnych publicznych zakładów opieki zdrowotnej oraz spółek wykonujących działalność leczniczą w rozumieniu przepisów o działalności leczniczej,

5) Zakładu Ubezpieczeń Społecznych, Kasy Rolniczego Ubezpieczenia Społecznego,

6) Narodowego Funduszu Zdrowia,

7) państwowych lub samorządowych osób prawnych utworzonych na podstawie odrębnych ustaw w celu realizacji zadań publicznych,

8) uczelni,

9) federacji podmiotów systemu szkolnictwa wyższego i nauki,

9a) instytutów badawczych,

9b) instytutów działających w ramach Sieci Badawczej Łukasiewicz,

9c) jednostek organizacyjnych tworzonych przez Polską Akademię Nauk,

10) Polskiej Komisji Akredytacyjnej,

11) Rady Doskonałości Naukowej

– zwanych dalej „podmiotami publicznymi”.

 

SZYBKA ŚCIEŻKA WDROŻENIA KRI

Wykonaj poniższą autodiagnozę aby określić mocne i słabe obszary SZBI w twojej organizacji. Wyciągnij wnioski, zrób analizę ryzyka, opracuj plan naprawczy, szczegółowo opisz działania korygujące, określ przedział czasowy w jakim uzupełnisz braki, wykonaj audyt KRI. Gotowe. 😊

Chętnie pomogę, Witold Bzdęga tel. 606648004

AUTODIAGNOZA

Przykład.

KRI.§19 ust. 2 pkt 7– Zabezpieczania techniczne oraz organizacyjne

Czy zaprojektowano i wdrożono zabezpieczania techniczne oraz organizacyjne ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami?

Czy dostęp do pomieszczeń jest zabezpieczony poprzez bariery fizyczne (drzwi z zamkiem itp.)?

Czy monitorujemy dostęp do pomieszczeń z infrastrukturą krytyczną?

Czy rejestrujemy dostęp do pomieszczeń z infrastrukturą krytyczną?

Czy mamy zainstalowany alarm? Czujniki zalania, pożaru, dymu, temperatury?

Czy mam zasilanie awaryjne (ups/agregat)?

Czy posiadamy środki ochrony przeciwpożarowej?

Czy mamy umowę na ochronę osób i mienia?

Czy monitory są ustawione w sposób uniemożliwiający dostęp do danych osobom trzecim?

Czy jest rejestr kluczy?

Czy jest rejestr wydanych i odebranych kluczy/ automat na karty RFID?

Czy prowadzi się działania związane z monitorowaniem dostępu do informacji ?

Czy prowadzi się działania związane z monitorowaniem ruchu osobowego w podmiocie?

 

KRI.§19 ust. 2 pkt 8 – Przetwarzanie mobilne i praca na odległość

Czy opracowano i wdrożono regulamin pracy mobilnej i zdalnej?

Czy zaszyfrowano wszystkie mobilne nośniki danych?

Czy są zinwentaryzowane i przypisane do osób?

Czy komputery mobilne mają zaszyfrowane dyski?

Czy prowadzony jest rejestr udostępniania komputerów mobilnych?

Czy kierownictwo zapewniło odpowiednie środki?

Czy wyznaczono osobę lub zespół odpowiedzialny za ewidencje i kontrolę urządzeń mobilnych?

Czy udokumentowano proces?

Jeśli chcesz dostać kompletny dokument z autodiagnozą napisz e-mail. 

Źródła:

USTAWA z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne

ROZPORZĄDZENIE RADY MINISTRÓW z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych

W przypadku pytań pozostaje do dyspozycji.