Uczelnie i instytuty naukowe z nowymi zasadami cyberbezpieczeństwa
Szkolnictwo wyższe czeka przełom w ochronie cyfrowej. Będą zmiany w prawie, ale bez ograniczania kreatywności i autonomii akademickiej. Nowe zasady ochrony systemów informatycznych w uczelniach i instytutach naukowych przedstawili minister nauki i szkolnictwa wyższego Marcin Kulasek oraz przedstawiciele Konferencji Rektorów Akademickich Szkół Polskich.
Polskie uczelnie i instytuty naukowe stosują zalecenia dotyczące cyberbezpieczeństwa, jednakże poziom zabezpieczeń nie jest na terenie całego kraju jednakowy. Najlepsze uczelnie techniczne mogą pochwalić się najwyższym poziomem cyberbezpieczeństwa, z kolei te mniej popularne szkoły wyższe stosują cyberbezpieczeństwo w minimalnym zakresie. Trzeba jednak zaznaczyć, że bezpieczeństwo cyfrowe ma ogromne znaczenie – uczelnie i instytuty każdego dnia przetwarzają dane osobowe, technologiczne i badawcze, kształcą prawie 1,3 mln studentów, a poza tym działają na forum międzynarodowym prowadząc projekty zagraniczne.
Związek bezpieczeństwa państwa z autonomią akademicką
Na zorganizowanej w siedzibie Ministerstwa Nauki i Szkolnictwa Wyższego konferencji prasowej autorzy projektu podkreślali, że współpraca administracji publicznej ze środowiskiem akademickim przyniosła realne korzyści – nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa. Nowe przepisy uwzględniają realia funkcjonowania polskiego szkolnictwa wyższego, w szczególności w kwestii cyfryzacji uczelni oraz wymogi stawiane przez prawo Unii Europejskiej. Pierwszy raz opracowano standardy adekwatne do ryzyka, proporcjonalne i możliwe do wdrożenia. Nowa ustawa z jednej strony ma chronić uczelnie, z drugiej zwraca uwagę na ich specyfikę.
Dotychczas obowiązujące przepisy nie zapewniały skutecznego egzekwowania obowiązków przez władze uczelni, nie przekazywały jasnych i zrozumiałych standardów, a przede wszystkim nie zobowiązywały do jednolitego nadzoru, który był niezbędny przy rosnącej skali zagrożeń. Cyberbezpieczeństwa nie traktowano priorytetowo, często znajdowało się na drugim planie. Nowe podejście spowoduje, że ochrona systemów informatycznych w nauce stanie się elementem zarządzania i odpowiedzialności instytucjonalnej.
Zmienione reguły i uwzględniona potrzeba odpowiedzialności
Aby chronić innowacyjność polskiej nauki i zagwarantować swobodę działania uczelni, najwięcej zmian dotyczyć będzie podmiotów prowadzących praktyczną działalność badawczą. Realny poziom ryzyka ma przekładać się na poziom stawianych wymagań – najwyższy dla systemów i procesów związanych z badaniami stosowanymi i pracami rozwojowymi, a umiarkowanie niższy (choć nadal wysoki) dla pozostałych obszarów działalności. Podejście ma gwarantować ochronę kluczowych elementów systemu nauki przy jednoczesnym zapewnieniu pracy na uczelni każdego dnia. Co istotne, nowe prawo już teraz skutkuje zapotrzebowaniem na specjalistów zapewniających bezpieczeństwo informatyczne na uczelniach.
Nowelizacja implementuje zasady unijnej dyrektywy NIS2, w której większą część poświęcono definicji organizacji badawczej jako podmiotu nastawionego na badania stosowane i prace rozwojowe ukierunkowane na praktyczne wykorzystanie wyników. Jeśli chodzi o polskie uczelnie, to nie każda jednostka naukowa prowadzi działalność badawczą i dlatego też nie wszystkie uczelnie będą automatycznie obejmowane najwyższymi wymaganiami cyberbezpieczeństwa. Zmieniona ustawa wprowadzi własne pojęcie organizacji badawczej obejmującej tylko te podmioty lub obszary ich działania, które realizują badania aplikacyjne lub prace rozwojowe z wykorzystaniem systemów informatycznych.
Jedną z najważniejszych zmian jest jednoznaczne określenie odpowiedzialności za cyberbezpieczeństwo. Jednostkom naukowym, rektorom i dyrektorom instytutów przybędzie nowych obowiązków, a ministra nauki i szkolnictwa wyższego czeka większy nadzór i kontrola. Na cyberbezpieczeństwo w nauce oraz utworzenie CSIRT Nauka – wyspecjalizowanego zespołu reagowania na incydenty budżet ma zapewnić dodatkowe środki finansowe.
