Polskie uczelnie publiczne muszą dostosować się do dwóch kluczowych regulacji unijnych: dyrektywy NIS2 i rozporządzenia eIDAS 2.0. Nowe przepisy nakładają na placówki akademickie obowiązek wdrożenia bardziej restrykcyjnych standardów cyberbezpieczeństwa i systemów zarządzania tożsamością cyfrową. Ich celem jest wzmocnienie ochrony danych i zwiększenie odporności instytucji edukacyjnych na cyberzagrożenia.
Obie regulacje wprowadzają istotne zmiany, a ich wdrożenie wiąże się nie tylko z koniecznością aktualizacji systemów IT, ale również z reorganizacją procedur i polityk wewnętrznych uczelni. Brak zgodności z nowymi przepisami może skutkować sankcjami finansowymi, a także osłabieniem reputacji instytucji, utratą zaufania partnerów i zwiększonym ryzykiem ataków hakerskich.
NIS2: Nowe standardy cyberbezpieczeństwa
Dyrektywa NIS2 rozszerza obowiązki w zakresie ochrony sieci i systemów informatycznych. Mimo, że termin jej implementacji do krajowego prawa minął 17 października 2024 roku, Polska wciąż nie zakończyła procesu legislacyjnego. Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa jest nadal w fazie konsultacji. Ministerstwo Cyfryzacji zapewnia, że prace są zaawansowane, ale uczelnie już teraz powinny przygotować się na nadchodzące zmiany.
– NIS2 zobowiązuje uczelnie do wdrożenia szczegółowych polityk bezpieczeństwa, regularnej analizy ryzyka oraz skutecznego zarządzania incydentami. To oznacza konieczność wdrożenia zaawansowanych systemów ochrony, takich jak np. monitoring IT, szyfrowanie danych, czy wielopoziomowe uwierzytelnianie – podkreśla Grzegorz Kaźmierczak, Specjalista ds. Cyberbezpieczeństwa oraz Radca Prawny w ESYSCO.
Uczelnie będą musiały także spełnić surowsze wymagania w zakresie raportowania incydentów bezpieczeństwa. Ataki ransomware, wycieki danych czy naruszenia systemów informatycznych będą podlegały obowiązkowi zgłoszenia do odpowiednich organów nadzorczych w określonym czasie.
Nowe przepisy wymuszają również zmianę podejścia do współpracy z zewnętrznymi dostawcami technologii. – Pracownicy akademiccy nie muszą być ekspertami od cyberbezpieczeństwa, ale muszą świadomie wybierać partnerów technologicznych i określać precyzyjne wymagania w przetargach. Brak odpowiednich zabezpieczeń to realne ryzyko – od kar finansowych po utratę zaufania studentów i partnerów biznesowych – zaznacza Agnieszka Bocian, Project & Business Development Manager w SIGNIUS.
eIDAS 2.0: Tożsamość cyfrowa nowym standardem w edukacji
W maju 2024 roku weszło w życie rozporządzenie eIDAS 2.0, które wprowadza jednolite zasady identyfikacji elektronicznej w całej Unii Europejskiej. Nowe przepisy mają zapewnić interoperacyjność systemów krajowych i integrację z Europejskim Portfelem Tożsamości Cyfrowej.
Dla uczelni oznacza to konieczność wdrożenia nowych standardów obsługi dokumentów elektronicznych. Legitymacje studenckie, dyplomy i inne certyfikaty akademickie będą musiały być zgodne z europejskimi standardami e-identyfikacji i usług zaufania.
– eIDAS 2.0 to rewolucja w obiegu dokumentów akademickich. Wymusza na uczelniach wdrożenie systemów umożliwiających bezpieczne podpisywanie, pieczętowanie i przechowywanie dokumentów cyfrowych. Weryfikacja tożsamości studentów i pracowników musi być zgodna z nowymi regulacjami, co oznacza konieczność integracji systemów akademickich z Europejskim Portfelem Tożsamości Cyfrowej – wyjaśnia Agnieszka Bocian.
Nowe przepisy ułatwią studentom korzystanie z usług cyfrowych w różnych krajach UE. Wprowadzenie jednolitego systemu identyfikacji otworzy drogę do automatycznej weryfikacji tożsamości i kwalifikacji, co usprawni procesy rekrutacyjne, wymiany akademickie oraz uznawanie dyplomów w całej Europie.
200 mln zł na dostosowanie uczelni do nowych regulacji
Aby wesprzeć uczelnie w procesie dostosowania do NIS2 i eIDAS 2.0, Ministerstwo Nauki i Szkolnictwa Wyższego przeznaczyło 200 mln zł na modernizację infrastruktury IT i wdrażanie polityk bezpieczeństwa. Ponad 100 polskich uczelni otrzymało dodatkowe środki na wsparcie uczelni we wdrażaniu dyrektywy NIS2 i rozporządzenia eIDAS 2. Ministerialne wsparcie ma pomóc placówkom akademickim m.in. we wdrażaniu systemów ochrony danych, analizie ryzyka oraz stworzeniu polityk cyberbezpieczeństwa.
Inwestycje w cyberbezpieczeństwo i tożsamość cyfrową nie są już opcją, lecz koniecznością. Nowe regulacje wymuszają zmianę podejścia do ochrony danych i identyfikacji cyfrowej, a ich skuteczne wdrożenie będzie miało kluczowe znaczenie dla funkcjonowania polskich uczelni w kolejnych latach.