W dobie wzrostu wartości danych osobowych oraz cyberzagrożeń napędzanych stałym postępem technologicznym (w tym m.in. w obszarze AI), sytuacją polityczno–gospodarczą na świecie oraz realnym ryzykiem cyberwojen, podmioty na rynku muszą realizować kolejne obowiązki prawne, których celem jest zapewnianie bezpieczeństwa.
Unijny ustawodawca dostrzegł konieczność harmonijnego podejścia do tej kwestii w całej Unii Europejskiej. Efektem tego jest RODO odnoszące się do tematyki ochrony danych osobowych, które obowiązuje już od 2018 roku oraz – druga już – dyrektywa dotycząca zapewnienia cyberbezpieczeństwa – NIS 2, z której wynikają dodatkowe obowiązki dla podmiotów działających w kluczowych do tego sektorach.
NIS2, czyli Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2), jest implementowana do polskiego porządku prawnego nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (dalej: UKSC). Jej poprzedniczką była Dyrektywa NIS1, jednakże zakres jej zastosowania i wynikające z niej obowiązki, były o wiele bardziej ograniczone niż to ma miejsce w przypadku NIS2.
Chcesz wykonać audyt RODO i przygotować firmą na NIS2?
Wybierz audyt RODO od ODO 24
Tytułem przypomnienia:
RODO odnosi się do bezpieczeństwa danych osobowych i dotyczy każdego podmiotu przetwarzającego w ramach swojej działalności dane osobowe.
NIS2 odnosi się do bezpieczeństwa systemów informatycznych oraz zapewniania ciągłości działania i dotyczy podmiotów kluczowych i ważnych wskazanych w znowelizowanej ustawie o krajowym systemie cyberbezpieczeństwa.
Nie każda firma podlegająca pod RODO, będzie podlegała pod NIS2, ale każda firma, która podlega pod NIS2, podlega też pod RODO.
W odniesieniu do podmiotów podlegających pod oba te reżimy naturalne jest pytanie, czy i jak można połączyć działania w ramach tych obszarów? Należy udzielić tu pozytywnej odpowiedzi i uznać to nie tylko za dopuszczalne, ale wręcz za praktyczne rozwiązanie, potrzebne dla zapewnienia spójności działań i ich efektywności.
Do elementów, które łączą RODO i NIS2 należą m.in.:
- podejście oparte na ryzyku, tj. konieczność szacowania ryzyka, prawdopodobieństwa jego wystąpienia i wagi (analiza ryzyka) oraz zarządzanie tym ryzykiem,
- konieczność wdrożenia – w oparciu o analizę ryzyka – odpowiednich środków technicznych i organizacyjnych, w tym m.in. obejmujących odpowiednie polityki,
- testowanie stosowanych środków zabezpieczających,
- analizowanie, obsługa, zgłaszanie incydentów,
- weryfikowanie i odpowiedzialność za wybór rzetelnych kontrahentów,
- odbywanie szkoleń,
- przeprowadzanie audytów.
Nawet jeśli organizacja sama formalnie nie połączy tych procesów, w praktyce i tak spotka się z sytuacjami wymagającymi „opieki” zarówno na gruncie RODO, jak i NIS2. Przykładem jest choćby współpraca z podmiotem zewnętrznym będącym np. dostawcą usługi chmurowej, który w związku z jej świadczeniem będzie miał dostęp do danych osobowych przetwarzanych przez organizację. Taki dostawca działa wówczas jako podmiot przetwarzający, więc wymaga stosownej weryfikacji na gruncie RODO (czy przetwarzanie odbywa się zgodnie z przepisami o ochronie danych osobowych i z poszanowaniem praw osób, których dane dotyczą), a z racji podlegania przez organizację pod NIS2 i UKSC, wymaga również weryfikacji na gruncie przepisów dotyczących cyberbezpieczeństwa (czy współpraca nie niesie zagrożeń dla bezpieczeństwa sieci, systemów informacyjnych organizacji).
Innym przykładem wymagającym działania na polu RODO i NIS2 jest analiza incydentów bezpieczeństwa. Te incydenty, które jednocześnie są naruszeniami ochrony danych będą wymagały procedowania w zgodzie z obiema regulacjami.
Odpowiedzialność
Zarówno na gruncie RODO, jak i NIS2 to na kierownictwie najwyższego szczebla działającym w imieniu administratora danych osobowych lub podmiotu objętego regulacją NIS2, spoczywa odpowiedzialność za zapewnienie i utrzymanie zgodności z przepisami. Dodatkowo na gruncie NIS2 przepisy wprost przewidują także osobistą odpowiedzialność członków zarządu. Na gruncie RODO taka odpowiedzialność może wynikać natomiast pośrednio z innych regulacji (np. prawa spółek, prawa pracy).
Kierownictwo podmiotu objętego obydwoma reżimami, dla zapewnienia zgodności z przepisami, musi identyfikować oba te obszary wśród swoich strategicznych zadań, alokować na nie odpowiednie zasoby – finansowe, infrastrukturalne i kadrowe, zapewnić wdrożenie i rzeczywiste funkcjonowanie odpowiednich polityk, procedur i zabezpieczeń, udział w szkoleniach oraz sprawować nad tym wszystkim nadzór.
Skala obowiązków może przytłoczyć, dlatego w dalszej części artykułu przedstawimy sposób działania pozwalający uporządkować zadania, które powinna podjąć organizacja, by przygotować się na wdrożenie NIS2.
Wyznaczenie osób odpowiedzialnych
Zarząd organizacji powinien wyznaczyć osobę z najwyższego kierownictwa, która będzie odpowiedzialna za nadzór nad obszarem NIS2 – jego wdrożeniem i realizacją wymagań. Dobrze, żeby zadziało się to możliwie najszybciej, by osoba ta od początku mogła „być” w tym procesie i sprawować nad nim pieczę. Jeśli zarząd nie zdecyduje się na wyznaczenie dedykowanej osoby z kadry zarządczej to odpowiedzialność za realizację obowiązków ponosi wówczas cały zarząd.
Wyznaczenie osoby z kadry kierowniczej nie oznacza, że jest ona odpowiedzialna za samodzielną realizację zadań na tym polu, co w praktyce byłoby wręcz niemożliwe z uwagi na mnogość zadań do zaopiekowania i konieczność posiadania do ich realizacji odpowiedniej fachowej wiedzy czy też z uwagi na wymogi prawne. W proces będą więc włączane inne osoby czy zespoły, np. IT, zespoły audytowe, osoby wyznaczone do kontaktu z innymi podmiotami, osoby do obsługi incydentów. Co ważne – przydzielenie zadań innym osobom nie przenosi odpowiedzialności z zarządu czy jego wyznaczonego członka. Dlatego też dobór osób powinien być przeprowadzony starannie, w sposób dający pewność, że wyznaczono osoby kompetentne i przygotowane merytorycznie, które sprostają zleconym zadaniom. Należy im przypisać konkretne role i odpowiedzialność za realizację określonych zadań, a zarząd (wyznaczony członek) powinien sprawować nad nimi nadzór.
Za konieczne należy uznać wprowadzenie procedury weryfikacyjnej, obejmującej m.in. raporty do zarządu od osób zaangażowanych w proces, w celu monitorowania wdrożenia i stanu przestrzegania wymogów NIS 2 i znowelizowanej UKSC. Celem jest „trzymanie ręki na pulsie” i wykazanie, że nadzór najwyższego kierownictwa rzeczywiście ma miejsce.
Takie podejście jest analogiczne do zasady rozliczalności obowiązującej na gruncie RODO. W obu tych porządkach prawnych istotna jest możliwość udowodnienia przestrzegania obowiązków prawnych przed właściwym organem. Na gruncie NIS2 wykazanie należytej staranności zarządu ma istotne znaczenie także z perspektywy jego osobistej odpowiedzialności.
Organizacje powinny zastanowić się czy już wprowadzone lub dopiero wprowadzane przez nią procedury i rozwiązania, zarówno na gruncie RODO i NIS2, są dokumentowane w taki sposób, który wyczerpująco dowodzi realizacji obowiązków wynikających z przepisów tych aktów. Jeśli nie – powinny wprowadzić odpowiednie zmiany, by działania poparte były odpowiednią dokumentacją.
Nie ma formalnych przeszkód, by wyznaczony członek zarządu był osobą sprawującą nadzór także nad obszarem RODO – to zależy od tego, jak ułożony jest system ochrony danych osobowych w danym podmiocie. W praktyce jednak może to nie być częste rozwiązanie z uwagi na duży obszar do zaopiekowania, więc bardziej typowym scenariuszem wydaje się taki, gdzie system ochrony danych osobowych pozostaje oparty na całym zarządzie lub innej osobie będącej pełnomocnikiem ds. ochrony danych, bądź na inspektorze ochrony danych, jeśli został wyznaczony.
Organizacja powinna zatem upewnić się, jak kształtuje się u niej system ochrony danych i zapewnić rzeczywistą współpracę osoby sprawującej nadzór nad obszarem RODO i osoby sprawującej nadzór nad obszarem NIS2. Taka współpraca zarówno na etapie wdrażania NIS2, jak i jego funkcjonowania wydaje się niezbędnym elementem do zapewnienia bezpieczeństwa w obu tych obszarach.
Mapowanie procesów kluczowych dla ciągłości działania i wiążących się z nimi procesów przetwarzania danych osobowych
Przy wdrażaniu NIS2 istotne jest:
- ustalenie procesów, które są kluczowe w organizacji dla zapewnienia jej ciągłości działania,
- zidentyfikowanie systemów służących do świadczenia przez nią usług decydujących o klasyfikacji organizacji jako podmiot kluczowy lub ważny,
- jaki jest stan zabezpieczeń, a także
- ustalenie, czy i jakie dane osobowe oraz w jaki sposób i w jakich celach, są przetwarzane w tych systemach.
Systemy objęte NIS2 i UKSC, w których przetwarzane są dane osobowe, muszą być objęte regulacjami zarówno z reżimu RODO, jak i NIS2.
Efektem mapowania powinna być znajomość krytycznych procesów dla organizacji i obszarów, w których dodatkowe ryzyko pojawia się w związku z przetwarzaniem danych osobowych.
Mapując procesy dobrą praktyką jest przypisać im właściciela, dzięki czemu nie ma wątpliwości, kto jest odpowiedzialny za zarządzanie danym obszarem.
Jeśli organizacja ma już zmapowane procesy na gruncie RODO, to mogą one pomóc w ich ustaleniu na gruncie NIS2, gdyż w wielu przypadkach procesy te będą się na siebie nakładać.
Po zmapowaniu tego, co najważniejsze pod kątem NIS2 i RODO, kolejnymi krokami powinna być analiza ryzyka i audyt.
Analiza ryzyka
Jest to niezmiernie istotny krok, który w żadnym wypadku nie może być pominięty.
Celem RODO, jak i NIS2 jest zapewnianie bezpieczeństwa. Każda z tych regulacji działa w swoich ramach i żadna z nich nie wskazuje, jakie środki techniczne i organizacyjne powinny być wdrożone, by to bezpieczeństwo zapewnić. Pewnym wyjątkiem jest kwestia dokumentacji, ale o tym w dalszej części artykułu. W obu przypadkach mamy do czynienia z podejściem opartym na ryzyku, co oznacza, że organizacja na gruncie obu porządków prawnych musi dokonać analizy ryzyka, która jest tu kluczowa i stanowi punkt wyjścia dla ustanowienia odpowiednich zabezpieczeń.
By uniknąć dublowania procesu można przeprowadzić wspólną dla RODO i NIS2 identyfikację aktywów i zagrożeń oraz ich ocenę. Analiza ryzyka na gruncie obu porządków nie jest tożsama, gdyż różni się przede wszystkim w zakresie skutków – RODO podchodzi do niej z perspektywy osób, których dane dotyczą, a NIS2 – z perspektywy biznesu, bezpieczeństwa organizacji i ciągłości działania. Niemniej przy uwzględnieniu tej różnicy wynikającej z punktu oceny ryzyka, sam przebieg procesu analizy ryzyka może pozostać wspólny.
W ramach analizy należy:
- zidentyfikować zasoby i dla każdego z nich wskazać zagrożenia oraz ocenić ryzyko,
- wskazać sposoby zabezpieczeń, odpowiednie do zidentyfikowanych zagrożeń.
Na podstawie wyników analizy należy:
- przygotować plan postępowania z ryzykiem.
Należy pamiętać, że analiza ryzyka to nie jest jednorazowy proces, lecz wymaga on stałej uwagi, regularnego przeglądu i aktualizowania, ilekroć zaistnieje taka potrzeba.
Organizacja powinna utrzymywać stałą adekwatność stosowanych środków bezpieczeństwa, musi więc reagować na zmieniające się procesy, stan wiedzy technicznej, zagrożenia i odpowiednio do nich dostosowywać zabezpieczenia.
Audyt wewnętrzny
Audyt to jeden z podstawowych mechanizmów oceny zgodności. Pozwala na ocenę stanu bezpieczeństwa organizacji – zidentyfikowanie zagrożeń, podatności, luk w systemach, zasobów krytycznych dla zapewnienia ciągłości działania, obszarów wymagających akcji, priorytetyzację zadań. Powinien on na gruncie NIS2 objąć przede wszystkim:
- ocenę stanu systemów informacyjnych wykorzystywanych w procesach wpływających na świadczenie usługi, w związku z którą organizacja została uznana za podmiot kluczowy lub ważny,
- ocenę stosowanych zabezpieczeń,
- przegląd obowiązujących polityk i procedur, w tym związanych z zarządzaniem ryzykiem, incydentami czy łańcuchem dostaw,
- znajomość procedur i przestrzeganie zasad cyberhigieny przez pracowników.
Właściwe może być zintegrowanie tego audytu z obszarem RODO. Jak już sygnalizowano wcześniej, w systemach informacyjnych mogą być przetwarzane dane osobowe. Należy potraktować je wówczas jako kluczowe aktywo tych systemów. Organizacja nie może skutecznie zarządzać ryzykiem bez uwzględnienia tego aspektu. Administrator musi wiedzieć, gdzie przetwarzane są dane osobowe, żeby je właściwie zabezpieczyć. Jeśli dane osobowe znajdują się w takich systemach, to siłą rzeczy organizacja nie uniknie pochylenia się nad wątkiem ich bezpieczeństwa i zgodności z prawem.
Objęcie wspólnym audytem obu wspomnianych obszarów pozwala na uniknięcie niepotrzebnego dublowania kosztów, ponownego angażowania kadry, generowania dodatkowych działań i dokumentów, a także niweluje możliwość niespójnych ustaleń czy nieefektywne zarządzanie ryzykiem.
W ramach integracji audytu z obszarem RODO, jego zakres powinien objąć także m.in. ocenę:
- zakresu przetwarzanych danych osobowych, ich niezbędności do celów, w których zostały zebrane, przestrzegania okresów retencji, praw osób, dostępu do danych jedynie przez uprawnione osoby w zakresie niezbędnym do realizacji ich zadań, zarządzania uprawnieniami,
- adekwatności stosowanych środków technicznych i organizacyjnych – czy spełniają one wymagania RODO i NIS2,
- czy przeprowadzona została analiza ryzyka (lub też w stosownych przypadkach DPIA), czy jest ona aktualna, czy podlega regularnym przeglądom,
- przeprowadzania testowania, mierzenia i oceniania stosowanych środków technicznych i organizacyjnych,
- objęcia szkoleniami kadry zarządczej i kadry podległej, sprawdzania stanu ich wiedzy, znajomości i przestrzegania obowiązujących polityk i procedur,
- znajomości sposobu postępowania w razie wystąpienia zdarzenia mogącego stanowić incydent bezpieczeństwa lub naruszenie ochrony danych osobowych,
- sposobu postępowania w razie podejmowania nowych współprac z kontrahentami lub kontynuacji dotychczasowych (weryfikacja dostawców, świadczeniobiorców, zawieranie umów powierzenia),
- sposobu dokumentowania realizacji obowiązków.
Zwieńczeniem audytu jest raport końcowy, który powinien trafić do najwyższego kierownictwa. Powinien on opisywać, jaki zakres tematyczny obejmował, według jakiej metodyki został przeprowadzony, zawierać ocenę stanu zgodności, zidentyfikowane ryzyka oraz wskazywać rekomendacje, sygnalizować obszary wymagające działań, z podkreśleniem tych do realizacji w trybie pilnym lub decyzji o akceptacji ryzyka.
Usuwanie ryzyk powinno odbywać się adekwatnie do ich powagi – im wyższe ryzyko, tym większy priorytet i tym szybciej powinno być ono usuwane.
Zaleca się przeprowadzanie audytu wewnętrznego raz do roku lub także po istotnym incydencie. Na gruncie UKSC – w odniesieniu do podmiotów kluczowych – przepisy przewidują przeprowadzenie co najmniej raz na 3 lata audytu bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, w związku z którą podmiot został uznany za kluczowy.
Należy mieć na uwadze, co wydaje się oczywistością, że audyt nie może być prowadzony przez osoby, które działają lub są decyzyjne w ramach audytowanego obszaru (nie może dojść do sytuacji „oceniania samego siebie”). Każdorazowo należy zapewnić obiektywizm audytorów. Należy więc powołać do komórki audytorskiej takie osoby, co do których nie będzie wątpliwości odnośnie ich niezależności i obiektywizmu, lub korzystać z zewnętrznych audytorów.
Dokumentacja / Procedury
Polityka i procedury ochrony danych osobowych mogą być przydatne przy tworzeniu dokumentacji dotyczącej obszaru cyberbezpieczeństwa. Jeśli organizacja nie posiada wdrożonej dokumentacji ochrony danych, to istnieje szansa, że jest to nieprawidłowość. Sytuacje, w których dokumentacja nie jest obowiązkowa dotyczyć mogą raczej małych firm, jednoosobowych działalności, bez pracowników i w których dane osobowe przetwarzane są w niewielkim zakresie, a procesy nie są złożone. RODO wskazuje, że wdrożenie przez administratora odpowiednich polityk ochrony danych powinno mieć miejsce, jeśli jest to proporcjonalne w stosunku do czynności przetwarzania. Polityki są więc składową stosowanych przez organizację środków technicznych i organizacyjnych, w celu zapewnienia przetwarzania zgodnego z RODO. Są też wypełnieniem zasady rozliczalności, tj. pozwalają administratorowi wykazać przed organem nadzorczym, że w organizacji obowiązują określone procedury. Wśród standardowych dokumentów w tym obszarze należy wymienić chociażby politykę ochrony danych osobowych, politykę bezpieczeństwa informacji, procedury m.in. dostępu do danych, nadawania, odbierania upoważnień, oceny i obsługi naruszeń, tworzenia kopii zapasowych, zarządzania hasłami, dostępu zdalnego, testowania stosowanych zabezpieczeń, metodykę przeprowadzania analizy ryzyka, oceny skutków dla ochrony danych (DPIA), wzory dokumentacji.
Jeśli więc organizacja nie ma wdrożonej dokumentacji ochrony danych, to należy dokonać analizy czy na pewno nie musi jej posiadać. Szczególnie istnienie obowiązku w tym zakresie powinny przenalizować te podmioty, które obejmuje regulacja NIS2 i UKSC. Przetwarzanie danych osobowych w systemach informatycznych przez podmioty kluczowe lub ważne generuje podwyższone ryzyko cybernetyczne, co w tym kontekście zdaje się przesądzać o tym, że wdrożenie polityk ochrony danych osobowych jest proporcjonalne w stosunku do czynności przetwarzania i niezbędne do zapewnienia rozliczalności.
Jeśli organizacja podlega pod NIS2 i nie ma dokumentacji ochrony danych, a powinna ją mieć, to warto opracować dokumentację, która od razu obejmie oba te obszary. Może to być dobre rozwiązanie, by – ponownie, jak już sygnalizowano wyżej – nie dublować procedur i efektywnie zarządzać tymi procesami.
Przykładowo:
Procedura nadawania uprawnień: może być tożsama dla systemów informacyjnych objętych NIS2, jak i innych systemów, więc wprowadzanie dwóch dokumentów dotyczących dwóch obszarów, ale zawierających te same wymogi wydaje się tu zbędną papierologią.
Weryfikacja kontrahentów: Ten aspekt jest elementarnym wymogiem na gruncie RODO (art. 28), ale też i na gruncie NIS2 i UKSC (art. 21). Oba porządki prawne wymagają, by podmioty będące dostawcami usług zapewniały odpowiednie bezpieczeństwo (bezpieczeństwo łańcucha dostaw). Wymagają one oceny dostawców zarówno na gruncie NIS2, jak i RODO (jeśli w grę wchodzi przetwarzanie danych osobowych na rzecz zleceniodawcy). Wspólna procedura w tym aspekcie powinna pozwolić na rzetelną i całościową weryfikację kontrahenta.
Zarządzanie incydentami: zdarzenia cybernetyczne mogą powodować naruszenia ochrony danych osobowych. Zintegrowanie procedury dotyczącej klasyfikowania zdarzeń i jednoczesna ich skoordynowana obsługa może być gwarancją należytego, spójnego i sprawnego procesu.
Jeśli organizacja ma już dokumentację ochrony danych osobowych, to może ona zostać włączona (po ewentualnym dostosowaniu) do większej polityki bezpieczeństwa informacji, która obejmować będzie obszar ochrony danych osobowych i obszar cyberbezpieczeństwa. Jak już wcześniej wspomniano, z obu tych aktów wynikają różne obowiązki i odnoszą się one do innego rodzaju ryzyk (RODO – do ryzyka dla osób, których dane dotyczą, NIS2 – do ryzyka dla biznesu i ciągłości działalności), niemniej regulacje te należy traktować jako współdziałające, symbiotyczne, stąd mogą one stanowić elementy jednej, wspólnej dokumentacji.
Integracja dokumentacji wymaga zapewnienia, by była ona wewnętrznie spójna. Należy też pamiętać, że o ile samo RODO nie narzuca, co konkretnie powinno się składać na dokumentację ochrony danych osobowych (są już jednak wypracowane w tym obszarze pewne standardy oparte przede wszystkim na stanowisku organu nadzorczego, doktryny, jak również konieczność posiadania pewnych dokumentów wynika bezpośrednio z przepisów, jak np. rejestr czynności przetwarzania, rejestr kategorii czynności przetwarzania, rejestr i dokumentacja naruszeń ochrony danych osobowych), to nowelizacja UKSC wymaga wdrożenia konkretnej, wymienionej w niej dokumentacji – normatywnej i operacyjnej.
W praktyce integracja dokumentacji z zakresu RODO i NIS2 może dotyczyć przede wszystkim sfery IT, procedury przeprowadzania analizy ryzyka, audytów, wdrażania środków bezpieczeństwa, weryfikacji kontrahentów, obsługi incydentów.
Ustalając ostateczny kształt dokumentacji należy mieć na uwadze, kto końcowo będzie uprawniony do dostępu do tej dokumentacji, gdyż uzasadnione może być częściowe ograniczenie wglądu do niej przez pracowników. Grono osób, które zasadnie może mieć potrzebę dostępu do dokumentacji będzie szersze w zakresie jej formalno-prawnej części i analogicznie bardziej ograniczony dostęp będzie do dokumentacji technicznej, IT.
Te obszary tematyczne, które będą przeznaczone wyłącznie dla określonego grona osób należy wyodrębnić do oddzielnych dokumentów (załączników), tak by z łatwością podzielić dokumentację na część dostępną dla całej kadry, jak i część dostępną tylko dla osób, które realizują określone zadania (szczególnie dokumentacja IT, np. zarządzanie kopiami bezpieczeństwa, plany ciągłości działania).
Zgodnie ze znowelizowaną UKSC podmiot kluczowy lub podmiot ważny jest obowiązany do ustanowienia nadzoru nad dokumentacją dotyczącą bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, zapewniającego m.in. dostępność dokumentów wyłącznie dla osób upoważnionych, zgodnie z realizowanymi przez nie zadaniami.
Dokumentacja musi być formalnie przyjęta przez uprawnione do tego osoby. Zaleca się, by odbyło się to stosowną uchwałą. Wdrożenie dokumentacji powinno być zakomunikowane pracownikom, a sama dokumentacja powinna być dostępna dla personelu organizacji – z zastrzeżeniem wyjątku, o którym wspomniano powyżej.
W kontekście dokumentacji i wdrożenia NIS2 wydaje się również konieczne zweryfikowanie rejestru czynności przetwarzania, w związku z np. nowymi czynnościami przetwarzania danych osobowych realizowanymi w celach utrzymywania cyberbezpieczeństwa, w zakresie informacji o odbiorcach danych, stosowanych systemach i środkach technicznych i organizacyjnych.
Szkolenia pracowników
W związku z funkcjonowaniem RODO organizacja powinna prowadzić regularne szkolenia dla pracowników z obszaru ochrony danych osobowych – zarówno wstępne (po podjęciu pracy/współpracy), jak i tzw. „odświeżające”, tj. regularne, zasadniczo coroczne szkolenia utrwalające i pogłębiające wiedzę. Również na gruncie NIS2 konieczne jest szkolenie pracowników, w szczególności w zakresie zasad cyberhigieny, rodzajów cyberzagrożeń, sposobów reagowania na incydenty, świadomości skutków naruszenia zasad bezpieczeństwa informacji.
Dobrym rozwiązaniem może być więc połączenie szkoleń z zakresu RODO z tematyką dotyczącą cyberbezpieczeństwa. Obszary te bowiem się przenikają i cyberbezpieczeństwo ma bezpośrednie przełożenie na ochronę danych osobowych przetwarzanych przez organizację.
Potrzeby szkoleniowe powinny być dobrze zidentyfikowane, odpowiadać potrzebom organizacji, stanowić rzeczywistą wartość dodaną w postaci wiedzy przyswojonej przez pracownika, którą umie wykorzystać ją w swojej pracy – wówczas będą one środkiem organizacyjnym, który faktycznie przekłada się na bezpieczeństwo organizacji i jej zasobów.
Na gruncie NIS2 istnieje bezwzględny wymóg odbywania szkoleń także przez kierownika podmiotu kluczowego lub ważnego oraz osobę, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa. Szkolenie musi być odbywane co roku i obejmować tematykę związaną z wykonywaniem obowiązków, które zostały wymienione w nowelizacji UKSC.
Zarówno RODO, jak i NIS2 wymagają rozliczalności. Udział w szkoleniach powinien być udokumentowany. Co więcej, efektywność szkoleń i znajomość zasad cyberhigieny powinna być testowana, a więc organizacja powinna dokonywać sprawdzenia poziomu wiedzy pracowników, np. poprzez testy wiedzy, praktyczne rozwiązywanie problemów, symulacje incydentów. Na okoliczność przeprowadzenia takich sprawdzeń organizacja również powinna posiadać dowody.