2 marca 2026 r. w Dzienniku Ustaw opublikowano nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wdraża do polskiego porządku prawnego dyrektywę NIS 2. Tym samym zakończył się etap prac legislacyjnych. Rozpoczął się 30-dniowy okres vacatio legis....

Dlaczego technologia nie obroni organizacji bez świadomych ludzi W całym cyklu dotyczącym NIS 2 przeszliśmy przez polityki, zarządzanie ryzykiem, incydenty, ciągłość działania, łańcuch dostaw i bezpieczeństwo techniczne systemów. Teraz dochodzimy do obszaru, który...

Ocena skuteczności środków bezpieczeństwa w NIS 2 – wytyczne ENISA w praktyce W poprzednich częściach serii NIS 2 skupialiśmy się na tym, jakie środki bezpieczeństwa należy wdrożyć: od polityk i zarządzania ryzykiem, przez incydenty i ciągłość działania, aż po...

Od wykrywania zagrożeń do zarządzania podatnościami czyli dlaczego NIS 2 nie kończy się na antywirusie W poprzednich wpisach tej serii przechodziliśmy przez architekturę, segmentację sieci, testy bezpieczeństwa i zarządzanie poprawkami.To wszystko prowadzi do jednego...

Bezpieczna sieć to nie firewall. To architektura decyzji W poprzednich wpisach serii NIS 2 skupialiśmy się na tym, jak bezpiecznie kupować systemy i jak je bezpiecznie wytwarzać.Teraz przechodzimy do momentu, w którym wszystkie te decyzje spotykają się w jednym...

Dlaczego „sprawdzamy” i „łatamy” zanim sprawdzi nas incydent W poprzednim wpisie serii NIS 2 pisaliśmy o bezpiecznej konfiguracji i zarządzaniu zmianą. O tym, jak ustalić bezpieczny stan bazowy systemów i jak go nie rozmontować każdą kolejną zmianą. Ten tekst idzie...

Bezpieczny stan bazowy to moment. Kontrola zmian to proces. W poprzednim wpisie z serii NIS 2 skupiliśmy się na bezpiecznych zakupach i bezpiecznym wytwarzaniu systemów. Pokazaliśmy, że bezpieczeństwo zaczyna się dużo wcześniej niż na etapie eksploatacji. Dziś idziemy...

Jak NIS 2 i ENISA redefiniują sposób kupowania i tworzenia systemów IT W NIS 2 bezpieczeństwo nie zaczyna się w momencie wdrożenia systemu ani przy pierwszym incydencie.Zaczyna się dużo wcześniej: na etapie decyzji zakupowych i projektowych. Rozdział 6 wytycznych...

W świecie NIS 2 organizacja nie kończy się na własnych systemach.O jej realnym poziomie bezpieczeństwa decydują także dostawcy: chmura, integratorzy, software house’y, operatorzy telekomunikacyjni, a nawet dostawcy niszowych komponentów IT. W rozdziale 5 wytycznych...

W świecie NIS 2 organizacja nie jest oceniana po tym, czy potrafi uniknąć incydentów.Jest oceniana po tym, jak szybko i skutecznie potrafi się podnieść, gdy te incydenty nastąpią. Wytyczne ENISA w rozdziale 4 „Business Continuity and Crisis Management” pokazują bardzo...

Cyberincydenty to dziś codzienność. Nie da się ich uniknąć, ale można nauczyć się nimi skutecznie zarządzać.Dyrektywa NIS 2 zmienia sposób, w jaki organizacje muszą reagować na incydenty bezpieczeństwa – od ich wykrywania, przez analizę, po raportowanie i wyciąganie...

Dyrektywa NIS 2 przynosi ze sobą nie tylko nowe obowiązki, ale i nowe oczekiwania wobec sposobu, w jaki organizacje rozumieją i zarządzają ryzykiem cyberbezpieczeństwa.Nie chodzi już o „robienie analizy ryzyka, bo trzeba”, lecz o stworzenie żywego systemu zarządzania...

Dyrektywa NIS 2 wprowadza nowy standard zarządzania cyberbezpieczeństwem w organizacjach.To już nie tylko kwestia IT, ale obowiązek kierownictwa, które odpowiada za wdrożenie systemowych zasad bezpieczeństwa.Jednym z kluczowych elementów nowego porządku prawnego jest...

Rada Ministrów przyjęła projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa wdrażający dyrektywę NIS 2. Mówimy o najbardziej znaczącej reformie bezpieczeństwa cyfrowego w Polsce od 2018 r. i kluczowym kamieniu milowym Krajowego Planu Odbudowy (C3.1...

Marketing bezpośredni pod lupą RODO i PKE Marketing bezpośredni pozostaje jednym z najczęściej stosowanych narzędzi sprzedażowych – od newsletterów i kampanii SMS po kontakt telefoniczny czy remarketing.Jednocześnie jest to obszar, w którym przepisy RODO i Prawa...

W poprzednich wpisach z serii omówiliśmy role administratora i procesora, ich obowiązki, znaczenie umowy powierzenia oraz zasady podpowierzenia danych. Na zakończenie przyjrzyjmy się temu, co w praktyce sprawia organizacjom największy problem – błędnemu stosowaniu...

W poprzednich częściach omówiliśmy obowiązki administratora, procesora oraz treść umowy powierzenia przetwarzania danych. Kolejnym istotnym elementem art. 28 RODO jest kwestia podpowierzenia danych, czyli sytuacji, w której procesor angażuje do współpracy kolejny...

Podstawą współpracy między administratorem a procesorem danych osobowych jest umowa powierzenia przetwarzania danych (ang. Data Processing Agreement – DPA). To właśnie art. 28 ust. 3 RODO precyzyjnie określa, co taka umowa musi zawierać. Choć dla wielu organizacji...

W poprzednich wpisach z serii wyjaśniliśmy, kim jest administrator i procesor oraz jakie obowiązki spoczywają na administratorze. Teraz czas przyjrzeć się bliżej drugiej stronie tej relacji – procesorowi danych osobowych. Procesor nie decyduje o celach przetwarzania –...

W poprzednim artykule wyjaśniliśmy różnice między administratorem a procesorem danych osobowych. To fundament, który pozwala poprawnie stosować przepisy RODO. Teraz czas przyjrzeć się bliżej temu, jakie obowiązki spoczywają na administratorze danych zgodnie z art. 28...

W kontekście ochrony danych osobowych jednym z najważniejszych zagadnień jest właściwe rozróżnienie ról: administratora danych i procesora (podmiotu przetwarzającego). To właśnie od tej podstawy zaczyna się stosowanie art. 28 RODO, który określa zasady współpracy...

W świecie ochrony danych osobowych często pojawiają się dwa terminy: pseudonimizacja i anonimizacja. Brzmią podobnie, oba odnoszą się do metod przetwarzania danych w taki sposób, by utrudnić identyfikację osoby fizycznej, jednak w praktyce oznaczają coś zupełnie...

Dane to dzisiaj jeden z najważniejszych zasobów każdej organizacji – niezależnie od branży czy wielkości. To właśnie one umożliwiają funkcjonowanie przedsiębiorstw, administracji publicznej czy instytucji non-profit. Księgowość, dokumentacja projektowa, bazy klientów,...

Wdrożenie dyrektywy NIS 2 do prawa krajowego to jedno z kluczowych wyzwań, przed jakimi stoją państwa członkowskie Unii Europejskiej. Nowe przepisy mają na celu podniesienie poziomu odporności na cyberzagrożenia, które w ostatnich latach rosną nie tylko pod względem...

Dlaczego samo hasło nie wystarczy? Przez lata hasła były podstawową metodą ochrony kont i systemów. Jednak praktyka pokazuje, że to za mało. Użytkownicy tworzą zbyt proste kombinacje („123456”, „qwerty”), często używają tych samych haseł w wielu miejscach, a do tego...

Wakacje to czas relaksu, oderwania od codziennych obowiązków i… niestety także okres wzmożonej aktywności cyberprzestępców. Podczas podróży częściej korzystamy z publicznych sieci Wi-Fi, dokonujemy płatności online w hotelach czy restauracjach, rezerwujemy bilety w...

W procesach rekrutacyjnych pracodawcy gromadzą wiele informacji o osobach ubiegających się o zatrudnienie – od danych kontaktowych, przez przebieg kariery zawodowej, aż po szczegóły dotyczące wykształcenia, zainteresowań czy osiągnięć. Takie dane – nawet jeśli...

Czym są „cyfrowe duchy” w systemach IT? W miarę jak organizacje rosną, zmieniają strukturę i wdrażają coraz więcej narzędzi cyfrowych, wzrasta też liczba użytkowników, integracji i punktów dostępu. Niestety, wiele z tych elementów – kont użytkowników, kont...

Od lipca br. Urząd Ochrony Danych Osobowych (UODO) oficjalnie przeniósł swoją siedzibę. Nowy adres urzędu to: Urząd Ochrony Danych Osobowychul. Moniuszki 1A00-014 Warszawa To ważna zmiana, która powinna zostać odzwierciedlona we wszystkich dokumentach, gdzie...

W dobie transformacji cyfrowej dane osobowe są jednym z najcenniejszych zasobów organizacji – ale także jednymi z najczęściej nadużywanych i… przechowywanych zbyt długo. Zjawisko „cyfrowych śmieci” (ang. data debris) dotyczy zbiorów danych, które już dawno utraciły...

Jeszcze do niedawna rozpoznanie ataku phishingowego nie było trudne – wiadomości były naszpikowane błędami językowymi, podejrzanymi załącznikami i rażącym brakiem profesjonalizmu. Dziś to przeszłość. Wkraczamy w nową erę cyberzagrożeń, w której cyberprzestępcy sięgają...

W dobie cyfrowych zabezpieczeń, szyfrowania danych, zaawansowanych systemów detekcji zagrożeń i sztucznej inteligencji w cyberbezpieczeństwie łatwo zapomnieć o podstawach. Tymczasem wciąż najprostsze nawyki mogą uchronić organizację przed poważnym naruszeniem danych...

Realne przykłady i praktyczne porady Gdy mówimy o cyberbezpieczeństwie, wyobrażamy sobie firewalle, systemy antywirusowe, zaawansowane szyfrowanie czy monitoring sieci. Jednak często to nie technologia zawodzi — lecz człowiek. Social engineering, czyli socjotechnika,...

Wielu administratorów danych postrzega audyt RODO jako stresujące wydarzenie, które najlepiej odłożyć na później. Tymczasem dobrze zaplanowany i przeprowadzony audyt to nie tylko element zgodności z przepisami, ale przede wszystkim praktyczne narzędzie zarządzania...

W świecie coraz bardziej zależnym od danych i systemów IT, pytanie o to, kto ma dostęp do jakich informacji, przestaje być tylko kwestią techniczną. To fundamentalny temat dla bezpieczeństwa informacji, zgodności z przepisami oraz zaufania – zarówno wewnątrz...

W ochronie danych osobowych wiele elementów składa się na zgodność z przepisami – od rejestru czynności po analizę ryzyka. Jednym z podstawowych, a jednocześnie często bagatelizowanych obszarów są upoważnienia do przetwarzania danych osobowych. Wbrew pozorom, to nie...

Żądanie dostępu do danych osobowych to jedno z podstawowych praw osób, których dane są przetwarzane, wynikające z art. 15 RODO. Każdy ma prawo zapytać, czy i jakie dane są gromadzone na jego temat, otrzymać ich kopię i uzyskać szczegółowe informacje o ich...

Rola świadomości i procedur w reagowaniu na naruszenia bezpieczeństwa Wprowadzenie Każda organizacja, niezależnie od wielkości czy branży, jest narażona na potencjalne naruszenia bezpieczeństwa, które mogą obejmować zarówno dane cyfrowe, jak i informacje fizyczne....

Analiza typowych błędów i checklisty do weryfikacji Klauzula informacyjna RODO to jeden z fundamentów zgodnego z przepisami przetwarzania danych osobowych. Choć dla wielu organizacji to nadal tylko formalny dokument, jej poprawność ma realne znaczenie – zarówno dla...

Nie od dziś wiadomo, że człowiek jest najsłabszym ogniwem systemów bezpieczeństwa informacji. Nawet najlepiej zabezpieczona infrastruktura IT może okazać się bezradna w obliczu jednego kliknięcia w podejrzany link czy podania hasła na fałszywej stronie logowania....

Regulacje dotyczące zgłoszeń zewnętrznych Od 25 grudnia 2024 roku w Polsce zaczynają obowiązywać nowe przepisy regulujące ochronę sygnalistów w ramach zgłoszeń zewnętrznych. Ustawa o ochronie osób zgłaszających naruszenia prawa wprowadza zewnętrzne kanały zgłoszeń,...

Ochrona danych osobowych – wyzwanie współczesnych organizacji Ochrona danych osobowych to jedno z kluczowych wyzwań, przed którymi stoją współczesne firmy. Dynamiczny rozwój technologii oraz rosnąca liczba incydentów naruszenia bezpieczeństwa danych sprawiają, że...

Urząd Ochrony Danych Osobowych (UODO) opublikował zaktualizowaną wersję poradnika dotyczącego obowiązków administratorów danych osobowych związanych z naruszeniami ochrony danych. Nowe wydanie stanowi rozszerzenie poradnika z 2018 roku, który przez lata był...

Ochrona sygnalistów to istotny element prawodawstwa mającego na celu zapewnienie bezpieczeństwa osobom zgłaszającym naruszenia prawa. Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U poz. 928), która obowiązuje od 25 września 2024 roku, wprowadza...

Archiwalna strona UODO a Inspektorzy Ochrony Danych – co warto wiedzieć? Archiwalna strona Urzędu Ochrony Danych Osobowych (UODO) zostanie zamknięta do końca marca 2025 roku. To istotna zmiana, szczególnie dla Inspektorów Ochrony Danych (IOD), którzy dotychczas...

Numer księgi wieczystej jako dana osobowa – wyrok NSA potwierdza stanowisko UODO Numer księgi wieczystej to dana osobowa – tak jednoznacznie orzekł Naczelny Sąd Administracyjny (NSA) w wyroku z 28 stycznia 2025 roku. Orzeczenie to potwierdza wcześniejsze decyzje...

Jak globalizacja technologiczna wpływa na świat? Globalizacja technologiczna, z rozwojem sztucznej inteligencji (AI) na czele, staje się kluczowym czynnikiem kształtującym globalną politykę i gospodarkę. Stany Zjednoczone oraz Chiny rywalizują o dominację...

Co to jest Cyber Resilience Act (CRA) ? Cyber Resilience Act to nowe rozporządzenie Unii Europejskiej (UE), którego celem jest podniesienie poziomu cyberbezpieczeństwa produktów cyfrowych dostępnych na rynku wewnętrznym. Akt wprowadza jednolite zasady dotyczące...

W dzisiejszym świecie cyfryzacji, cyberzagrożenia są nieodłącznym elementem działalności każdej firmy. Niezależnie od jej wielkości, każda organizacja jest narażona na ataki, które mogą skutkować utratą danych, naruszeniem prywatności klientów, a także poważnymi...

Dyrektywa NIS 2 – nowe wyzwania dla państw członkowskich Dyrektywa NIS 2 zobowiązuje państwa Unii Europejskiej do wdrożenia regulacji mających na celu zwiększenie ochrony infrastruktury krytycznej. Jej nadrzędnym celem jest podniesienie poziomu bezpieczeństwa sieci i...

Europejska Rada Ochrony Danych (EROD) opublikowała w październiku 2024 r. nowe wytyczne, które wpływają na zasady współpracy między administratorami danych a podmiotami przetwarzającymi. Dokumenty te mają na celu ułatwienie interpretacji przepisów RODO, w...

Dyrektywa NIS2, będąca rozwinięciem unijnych regulacji dotyczących bezpieczeństwa sieci i informacji, wprowadza nowe, bardziej rygorystyczne standardy ochrony cyberprzestrzeni w całej Europie. Jej celem jest zapewnienie bezpieczeństwa zarówno dużym przedsiębiorstwom,...

Centrum Audytu Bezpieczeństwa z przyjemnością przedstawia analizę drugiego projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Nowe regulacje, które mają na celu implementację dyrektywy NIS 2, wprowadzają istotne zmiany w porównaniu do...

Współczesne zarządzanie informacją oraz danymi osobowymi to wyzwanie, przed którym staje każda organizacja, niezależnie od branży czy wielkości. Z jednej strony rosną oczekiwania klientów i partnerów biznesowych, którzy liczą na pełne bezpieczeństwo danych, z drugiej...

Niedawny cyberatak na sieć Super-Pharm, który doprowadził do wycieku danych klientów, jest jednym z wielu incydentów, które unaoczniają, jak istotna staje się ochrona danych osobowych w erze cyfrowej. Przypadek ten, w którym wykorzystano lukę w zewnętrznym systemie...

Dlaczego szkolenia z RODO są kluczowe dla każdej firmy? Zgodnie z badaniem przeprowadzonym na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów, aż 81% firm z sektora MŚP (mikro, małych i średnich przedsiębiorstw) szkoli swoich pracowników z zakresu ochrony...

W dzisiejszym świecie cyberbezpieczeństwo staje się kluczowym elementem ochrony danych osobowych. Niestety, nawet najbardziej zaawansowane instytucje nie są wolne od zagrożeń, czego dowodem jest incydent, który miał miejsce 4 października 2024 roku w Wojewódzkim...

Nowa rzeczywistość prawna od 25 września Od 25 września 2024 roku obowiązuje część przepisów ustawy o ochronie sygnalistów, co wprowadza konkretne zobowiązania dla pracodawców, szczególnie w firmach zatrudniających powyżej 50 pracowników. Wymóg wdrożenia kanału do...

16 września 2024 r. Wojewódzki Sąd Administracyjny (WSA) wydał wyrok oddalający skargę złożoną przez Morele.net przeciwko decyzji Prezesa Urzędu Ochrony Danych Osobowych (UODO) z dnia 17 stycznia 2024 r. Decyzja ta nałożyła na spółkę karę w wysokości ponad 3,8 mln...

W erze masowego przetwarzania danych przez korporacje, takie jak Google, Facebook (Meta) czy Microsoft szczególne obawy budzi kwestia ochrony danych osobowych. Wraz z rozwojem sztucznej inteligencji, w tym modeli AI, takich jak PaLM 2, pojawia się szereg zagrożeń...

Ochrona sygnalistów staje się jednym z kluczowych obszarów, na które przedsiębiorcy muszą zwrócić uwagę w nadchodzących latach. Wraz z wejściem w życie ustawy o ochronie sygnalistów 25 września 2024 r., polski system prawny dołącza do unijnego porządku prawnego,...

Sygnaliści i nowe regulacje prawne w Polsce Wraz z podpisaniem przez prezydenta Andrzeja Dudę ustawy o sygnalistach, która wejdzie w życie 25 września tego roku, Polska oficjalnie dołączyła do grona państw członkowskich Unii Europejskiej, które wdrożyły przepisy...

Korzyści z posiadania kanału zgłoszeniowego w systemie SaaS w ramach ustawy o sygnalistach Podstawa prawna wdrożenia Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii...

Czy szkolenie pracowników jest konieczne? W ramach krótkiego przypomnienia dyrektywa unijna w zakresie ochrony osób zgłaszających przypadki naruszenia prawa Unii, tzw. sygnalistów zaczęła obowiązywać od 17 grudnia 2019 r. Miała ona wejść w życie już w grudniu...

Kilka słów o OpenAI Jest to organizacja badawcza założona w 2015 roku przez Elona Muska, Grega Brockmana, Ilyę Sutskevera, Wojciecha Zarembę, Sama Altmana i Johna Schulmana. Główną misją organizacji jest „sprawić aby ogólna sztuczna inteligencja (AGI – Artificial...

Wprowadzenie Dyrektywa NIS 2 i jej rola w zapewnieniu bezpieczeństwa cyfrowego w Unii Europejskiej staje się coraz bardziej istotna w obliczu narastających zagrożeń cybernetycznych. Wprowadzenie nowego prawodawstwa ma w założeniach wzmocnienie bezpieczeństwa cyfrowego...

Jakie są założenia ustawowe? Ustawa o ochronie sygnalistów, uchwalona w czerwcu 2024 roku, wprowadza szczegółowe regulacje dotyczące zgłaszania naruszeń prawa przez osoby związane z organizacjami publicznymi i prywatnymi. Ustawa ma na celu zapewnienie skutecznej...