Zaktualizowane Standardy Cyberbezpieczeństwa Chmur Obliczeniowych, opublikowane w kwietniu 2025 r. (SCCO 2025), znacząco podnoszą poprzeczkę w zakresie bezpiecznego korzystania z rozwiązań chmurowych przez jednostki samorządu terytorialnego.
Choć może się wydawać, że dokument adresowany jest głównie do zespołów IT, jego wdrożenie wymaga również zaangażowania wójtów, burmistrzów, sekretarzy czy skarbników. Przestrzeganie nowych wytycznych wpływa bowiem nie tylko na poziom ochrony danych osobowych mieszkańców, ale także na dostępność środków z programów cyfryzacji i ryzyko sankcji w razie zaniedbań.
SCCO nie mają mocy aktu prawnego, lecz stanowią oficjalny zbiór wytycznych dla zapewnienia bezpieczeństwa systemów opartych na chmurze w administracji publicznej. Choć ich adresatem są przede wszystkim organy administracji rządowej, rekomendacje obejmują również samorządy – zwłaszcza wtedy, gdy jednostki podpisują umowy z dostawcami usług chmurowych w różnych modelach (SaaS, IaaS czy PaaS), zarządzają newralgicznymi informacjami i zasobami, takimi jak dane osobowe mieszkańców czy infrastruktura krytyczna, uczestniczą we wspólnych projektach z administracją centralną (np. w ramach Wspólnej Infrastruktury Informatycznej Państwa) lub planują wykorzystanie środków publicznych i dofinansowań na cele cyfryzacyjne.
Tegoroczna edycja SCCO 2025 przynosi wiele aktualizacji mających wpływ na sposób korzystania z usług chmurowych w jednostkach administracji publicznej. Na szczególną uwagę zasługują poniższe kwestie.
Po pierwsze, zmodyfikowano metodologię zarządzania środkami bezpieczeństwa. Zamiast sztywnej priorytetyzacji wdrażania kontroli, SCCO 2025 promują podejście oparte na analizie ryzyka, pozwalające na dostosowanie rozwiązań do aktualnych potrzeb samorządów i skali potencjalnych zagrożeń.
Po drugie, zaktualizowano wymagania dotyczące środków technicznych, których wdrożenie ma zapewnić lepszą odporność środowisk chmurowych. Obejmuje to m.in. obowiązek szyfrowania danych w stanie spoczynku, stosowania zabezpieczeń w architekturze kontenerowej oraz przeprowadzania testów penetracyjnych.
Po trzecie, większy nacisk położono na treść umów zawieranych z dostawcami usług chmurowych. Nowe standardy precyzują, jakie elementy powinny zostać uwzględnione w kontraktach – w tym zasady przekazywania danych po zakończeniu współpracy, mechanizmy audytu oraz zapisy umożliwiające zmianę operatora bez zbędnych utrudnień (ochrona przed tzw. vendor lock-in).
Wreszcie, pomimo istnienia głosów przeciwnych, zdecydowano się na dalsze obowiązywanie wymagań jurysdykcyjnych (pkt 5.2.1 SCCO) których zachowanie może mieć kluczowe znaczenie z punktu widzenia bezpieczeństwa informacji i zgodności z krajowymi przepisami.
Standardy cyberbezpieczeństwa dla środowisk chmurowych znajdują praktyczne zastosowanie w wielu obszarach działalności jednostek samorządu terytorialnego. Jednym z nich są postępowania o udzielenie zamówień publicznych na systemy IT – takie jak platformy do elektronicznego zarządzania dokumentacją, systemy finansowo-księgowe, narzędzia do zarządzania zasobami lub obsługi obywateli czy zdigitalizowane rejestry mieszkańców. W tego rodzaju przetargach konieczne staje się ujęcie wymogów SCCO zarówno w specyfikacjach, jak i zapisach umownych czy kryteriach oceny ofert.
Inną istotną sferą są projekty cyfryzacyjne realizowane przy wsparciu środków publicznych, w tym z Funduszy Europejskich. Zgodność z obowiązującymi standardami bezpieczeństwa, w tym SCCO, bywa warunkiem nie tylko uzyskania finansowania, ale również poprawnego rozliczenia inwestycji i pozytywnego przejścia ewentualnych kontroli.
Kolejnym aspektem jest zarządzanie już funkcjonującymi systemami opartymi na infrastrukturze chmurowej. W takich przypadkach samorządy powinny przeanalizować, czy aktualni dostawcy spełniają wymagania określone w SCCO, co ma bezpośrednie znaczenie dla ciągłości działania i bezpieczeństwa danych.
Nie należy także zapominać o kwestii odpowiedzialności indywidualnej. W razie incydentu związanego z naruszeniem bezpieczeństwa danych (np. wyciek), właściwe organy mogą ocenić, czy jednostka podjęła odpowiednie działania zapobiegawcze. Przestrzeganie SCCO może stanowić ważny dowód zachowania należytej staranności, natomiast ich pominięcie może zostać potraktowane jako zaniechanie.
Wśród wymagań określonych w SCCO 2025 utrzymano zapis zawarty w punkcie 5.2.1, dotyczący ograniczeń w zakresie przekazywania danych podmiotom trzecim, włącznie z organami państw trzecich. W przypadku, gdy takie zobowiązanie wynika z przepisów obowiązujących w tym państwie, dostawca powinien niezwłocznie poinformować o tym klienta. Zapis ten odnosi się m.in. do regulacji takich jak CLOUD Act, który pozwala organom z USA występować o dane przechowywane przez podmioty amerykańskie, niezależnie od fizycznej lokalizacji serwerów.
Dla jednostek samorządu terytorialnego oznacza to potrzebę uważnego weryfikowania warunków współpracy z dostawcami chmurowymi – w szczególności pod kątem obowiązującej jurysdykcji i zakresu kontroli nad danymi. Coraz częściej w postępowaniach zakupowych pojawiają się pytania o to, czy dany operator podlega wyłącznie przepisom krajowym i unijnym oraz czy jest w stanie zagwarantować, że dane nie będą przekazywane poza obszar EOG.
W przypadku dużych, globalnych dostawców, odpowiedź na te pytania może nie być oczywista, podczas gdy krajowi operatorzy częściej deklarują pełną zgodność z regulacjami obowiązującymi na terenie Polski i UE. Przekłada się to na wzrost zainteresowania lokalizacją centrów przetwarzania danych w granicach kraju lub Wspólnoty, nawet jeśli przepisy nie formułują takiego obowiązku wprost.
Zastosowanie wytycznych SCCO w działalności jednostek samorządu terytorialnego wymaga skutecznego przełożenia jego zapisów na codzienne procedury i decyzje. Warto przy tym zwrócić uwagę i wdrożyć poniższe działania:
1. Sporządź kompletną listę systemów i usług chmurowych wykorzystywanych przez urząd. Oprócz podstawowych i krytycznych platform, uwzględnij rozwiązania wspierające – w tym narzędzia do komunikacji elektronicznej, tworzenia kopii zapasowych czy wideokonferencji.
2. Przeprowadź analizę obowiązujących umów z dostawcami. Należy zwrócić uwagę m.in. na zapisy dotyczące możliwości usunięcia danych po zakończeniu współpracy, dostępności logów oraz lokalizacji przetwarzania danych. W razie braku takich klauzul, zaleca się wprowadzenie odpowiednich zapisów do umowy w formie aneksów.
3. Przy realizacji zamówień publicznych, ujmij wymogi SCCO w dokumentacji przetargowej. Warto również odnieść się do takich kwestii jak lokalizacja danych, certyfikaty bezpieczeństwa oraz zasady migracji usług do innego dostawcy.
4. Przed decyzją o wdrożeniu usługi chmurowej, wykonaj analizę ryzyka. SCCO zawierają zalecenia i wzory pomocne w przygotowaniu takiej analizy, która stanowi ważny element wykazania należytej staranności ze strony jednostki.
5. Zadbaj o odpowiedni poziom wiedzy wśród osób odpowiedzialnych za wybór i zarządzanie technologią. Oprócz pracowników działów IT, świadomość wymagań SCCO powinni mieć także kierownicy komórek odpowiedzialnych za zarządzanie bezpieczeństwem informacji i funkcjonowanie systemów administracyjnych.
Autor: r. pr. Jacek Cieśliński, manager, Head of Cloud w LBKPLegal
0
0
0
0
0
0
Ostrzeżenie pierwszego stopnia dla miejscowości Myszków
alert typu: ALERT PIERWSZEGO STOPNIA!!! w nocy bedzie ciemno
mefiu
22:25, 2025-05-02
Barbara Nowacka: pielęgnowanie pamięci o Holokauście je
katastrofa
katastrofa
00:10, 2025-01-28
Paweł Bacior – Młodzieżowy Radny, który działa lokalnie
Fantastycznie działasz, mocno wierzę, że zajdziesz daleko, bo takich ludzi jak Ty bardzo potrzeba w regionie. Powodzenia młody człowieku :)
Jagoda
15:34, 2024-11-25
Rząd planuje wprowadzenie obowiązku rejestracji wszystk
Blingle Jacksonville, FL 10221-3 Beach Boulevard, Jacksonville, FL 32246, United Ꮪtates 9049778928 Garden night ambient lighting (Jai)
Lanora
10:58, 2024-09-11
Brak komentarza, Twój może być pierwszy.
Dodaj komentarz