Wdrożenia procedur cyberbezpieczeństwa – RODO, NIS2, ISO 27001

Kogo dotyczy NIS2 i KSC w edukacji?

Dyrektywa NIS2 oraz wdrażająca ją (lub jej nowelizacja) ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) wpro-wadzają nowe lub rozszerzone obowiązki dla wielu sektorów, w tym potencjalnie dla edukacji. Kluczowe jest zrozumienie, w jaki sposób te regulacje mogą objąć szkoły i przedszkola.

Publiczne szkoły i przedszkola mogą być uznane za operatorów usług istotnych (lub ważnych) Dyrektywa NIS2 znacząco rozszerza katalog podmiotów objętych regulacją w porównaniu do swojej poprzedniczki. Kluczowe kategorie to „podmioty kluczowe” (essential entities) oraz „podmioty ważne” (important entities).Sektor administracji publicznej: NIS2 wprost wskazuje podmioty administracji publicznej na szczeblu centralnym i regionalnym. W odniesieniu do administracji publicznej na szczeblu lokalnym, państwa członkowskie mają pewną swobodę w decydowaniu, które z tych podmiotów obejmą regulacją.
Potencjalne objęcie szkół: Publiczne szkoły i przedszkola, jako jednostki organizacyjne samorządu terytorialnego (gmin, powiatów), mogą zostać zakwalifikowane jako „podmioty kluczowe” lub „ważne” na mocy krajowych przepisów implementujących NIS2. Decyzja ta będzie zależeć od interpretacji i szczegółowych kryteriów przyjętych przez polskiego ustawodawcę, takich jak wielkość podmiotu, krytyczność świadczonych usług (np. zapewnienie ciągłości edukacji, zarządzanie danymi uczniów na dużą skalę).
Należy śledzić postępy prac nad nowelizacją ustawy o KSC, która określi precyzyjnie, które jednostki sektora edukacji będą podlegać nowym obowiązkom.