Uczelnie stoją w obliczu konieczności wdrożenia dwóch kluczowych dla cyberbezpieczeństwa aktów prawnych: rozporządzenia eIDAS 2.0, które znacząco zmienia przepisy o identyfikacji elektronicznej i usługach zaufania oraz dyrektywy NIS2 wprowadzającej nowe wymogi na rzecz wysokiego cyberbezpieczeństwa. Uczelnie są zobowiązane do podjęcia działań w celu ochrony swoich zasobów i danych, w szczególności danych osobowych studentów i pracowników.

Na ostatnim webinarium zaprezentowaliśmy narzędzia i usługi, które wspierają uczelnie w realizacji tego obowiązku. Omówiliśmy, jak wdrożyć na uczelni elektroniczne usługi zaufania zgodne z eIDAS oraz jak zadbać o cyberbezpieczeństwo w kontekście NIS2.

Webinarium organizowali wspólnie: PCG Academia (lider wśród rozwiązań IT dla uczelni), WEBCON (producent platformy lowcode WEBCON BPS), Signius (dostawca podpisów kwalifikowanych i e-pieczęci) oraz Obserwatorium.biz (firma doradcza specjalizująca się w budowaniu strategii cyfrowych).

W roli prelegentów wystąpili: Agnieszka Bocian z Signius, dr Miłosz Brakoniecki z Obserwatorium.biz oraz reprezentujący PCG Academia Eryk Wdowiak i Kamil Bielecki.

Co nowego wprowadza eIDAS 2 względem eIDAS 1?

Dyrektywy eIDAS dotyczą identyfikacji elektronicznej i usług zaufania. eIDAS 1 obejmuje środki i systemy identyfikacji elektronicznej oraz uwierzytelnianie online. eIDAS 2 wprowadza Europejskie Ramy Tożsamości Cyfrowej, rozszerzając zapisy o portfel cyfrowej tożsamości, Elektroniczne Potwierdzenie Atrybutów, Personal Identification Data oraz obowiązek akceptacji tych narzędzi przez banki i inne podmioty, np. administracji publicznej, w tym uczelnie.

Usługi zaufania określone w eIDAS 1 to podpis elektroniczny, pieczęć elektroniczna, konserwacja pieczęci i podpisu, walidacja i weryfikacja, znakowanie czasem oraz rejestrowane doręczenie elektroniczne. W 2. wersji rozporządzenia dochodzą do tego jeszcze kwalifikowany podpis w każdym portfelu, zapis do rejestru, wydawanie potwierdzeń atrybutów i archiwizacja.

Wspomniany portfel to Europejski Portfel Tożsamości Cyfrowej. Takim portfelem, po dostosowaniu do rozporządzenia, stanie się znana nam już aplikacja mObywatel. Portfel będzie środkiem identyfikacji elektronicznej akceptowanym w całej Unii. Oznacza to, że nasza uczelnia będzie też musiała akceptować portfele z innych krajów. Portfel umożliwi posługiwanie się certyfikatami atrybutów i rejestrów powiązanymi z np. wykształceniem, tytułami naukowymi czy uprawnieniami zawodowymi. Na podstawie portfela uczelnie będą mogły więc akceptować lub wydawać wszelkiego rodzaju poświadczenia związane z wykształceniem itd.

W eIDAS 2 wpisują się także doręczenia elektroniczne, które są usługą zaufania. Doręczenia te są od tego roku obowiązkowe: adres do e-Doręczeń muszą posiadać wszystkie uczelnie publiczne i niepubliczne, federacje podmiotów szkolnictwa wyższego i nauki oraz Polska Akademia Nauki i jej jednostki, np. instytuty naukowe.

Wymogi NIS 2 – jak wdrożyć w życie?

Dyrektywa NIS 2 została wprowadzona dla wzmocnienia poziomu bezpieczeństwa przetwarzania danych i zmniejszenia ryzyka cyberataków. Dr Miłosz Brakoniecki przybliżył proces wdrażania wymagań NIS2 na podstawie doświadczeń z wcześniej realizowanych projektów tego typu. Trzy fazy tego procesu prezentujemy w skrócie poniżej.

Faza I – Rozpocznij budowę bezpieczeństwa Twojej organizacji:

  • Audyt procesów – zaplanuj bezpieczeństwo.
  • Ankieta samooceny – ustal podstawowe obowiązki dot. bezpieczeństwa.
  • Analiza ryzyka – ustal, dlaczego niektóre obszary wymagają ochrony.
  • Polityka bezpieczeństwa – określ reguły postępowania w Twojej organizacji.
  • Szkolenie bezpieczeństwa dla personelu.

Faza II – Praca wg indywidualnych potrzeb zidentyfikowanych w fazie I; w jej efekcie uzyskasz:

  • wiedzę na temat stosowania praktyk bezpieczeństwa w Twojej organizacji,
  • pogrupowane kategorie informacji wg poziomu bezpieczeństwa,
  • wypracowane procedury wspierające ochronę informacji,
  • raport z przeglądu umów z kontrahentami pod kątem zasad bezpieczeństwa,
  • wiedzę, w jaki sposób zabezpieczyć obieg dokumentów,
  • sposoby na zmniejszenie obiegu papierowych dokumentów.

Faza III – Przygotuj organizację do certyfikacji ISO27001:

  • monitorowanie i weryfikacja wdrożonego systemu bezpieczeństwa,
  • audyt precertyfikacyjny pod kątem przygotowania do certyfikacji,
  • wsparcie przy przeprowadzeniu audytu certyfikacyjnego.

 Wsparcie uczelni we wdrażaniau eIDAS 2 i NIS2 przez Signius

W zakresie usług zaufania, stworzenia polityk cyberbezpieczeństwa, analizy ryzyka i doboru środków zarządzania ryzykami uczelnie wspiera Signius. Proces wdrożenia wymagań bezpieczeństwa danych, zarówno wynikających z eIDAS 2, jak i NIS2, przebiega w pięciu głównych krokach.

Pierwszym krokiem jest audyt cyberbezpieczeństwa w każdej jednostce, tj. audyty w zakresie bezpieczeństwa informacji (ISO270001) i ciągłości działania (ISO22301) czy audyt systemów identyfikacji elektronicznej i usług zaufania. W przypadku NIS2 przeprowadzane są dodatkowo testy bezpieczeństwa i monitoring infrastruktury. Kolejnym krokiem w obu przypadkach jest projektowanie procesów infrastruktury technologicznej na podstawie wcześniejszych audytów.

Następnie niezbędne jest wdrożenie odpowiednich technologii. W zakresie eIDAS mówimy o platformach do zdalnego podpisywania podpisem kwalifikowanym i zaawansowanym, kwalifikowanej pieczęci elektronicznej oraz zdalnej weryfikacji tożsamości. Natomiast w obszarze objętym NIS2 są to wprowadzenie polityki cyberbezpieczeństwa, pogłębiona analiza ryzyka i dobór środków zarządzania ryzykiem, monitoring bezpieczeństwa systemów i aplikacji, szyfrowanie i zabezpieczanie dokumentów, bezpieczna wymiana danych w sieci przez wdrożenie PKI oraz zabezpieczenia wiadomości email.

Potem konieczne jest wsparcie i utrzymanie tych technologii, co stanowi krok czwarty. Ostatnią kwestią jest zaś rozwój infrastruktury i szkolenia kadry, w tym m.in. stworzenie strategii rozwoju cyberbezpieczeństwa.

Przykłady wdrożeń i integracji na uczelniach

Na webinarze poznaliśmy też wdrożenia platformy do e-podpisów i/lub pieczęci kwalifikowanej na przykładzie realizacji dla Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie oraz Uniwersytetu Jana Kochanowskiego w Kielcach. Platformy są zgodne z WCAG oraz dostosowywane do brandingu uczelni. W przypadku UJK rozwiązania te zostały zintegrowane przez PCG Academia z platformą elektronicznego zarządzania dokumentacją WEBCON BPS oraz z systemem dziekanatowym Uczelnia 10, wdrożonymi wcześniej przez PCG.

Prezentację systemu na żywo przeprowadził Kamil Bielecki. Zobaczyliśmy, jak krok po kroku wygląda obieg dokumentu elektronicznego w WEBCON BPS przez wszystkie etapy od stworzenia dokumentu. Widzieliśmy też, jak w praktyce działa integracja z Signius: podpisanie dokumentu podpisem kwalifikowanym i opieczętowanie przy użyciu pieczęci kwalifikowanej.

Serdecznie zapraszamy na konsultacje w zakresie omawianych rozwiązań!

Dane kontaktowe: