Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

Transkript

1 Kybernetická bezpečnost a GDPR OBCE, MĚSTA, KRAJE a jiné organizace

2 představení výzvy č. 10 IROP v souvislosti se základními informacemi o kybernetické bezpečnosti týkající se ČR výše sankcí v případě nedodržení povinnosti řídit se nařízeními GDPR

3 Organizační složky státu Příspěvkové organizace organizačních složek státu Státní organizace Státní podniky Kraje Organizace zřizované nebo zakládané kraji Obce a jejich příspěvkové organizace (školy a školská zařízení, domovy pro seniory, knihovny atd.)

4 Ukončení příjmu žádostí: Proč je výzva č. 10 důležitá pro žadatele? IT zabezpečení proti krádeži osobních údajů a GDPR nařízení Evropské komise Zákon o kybernetické bezpečnosti Informace Evropské komise o ochraně dat Obecné nařízení o ochraně osobních údajů (ze stránek ÚOOÚ) Povinnost implementovat a zavést opatření na ochranu osobních údajů s možností získat dotace až do výše 90 % nákladů

5 Organizační složky státu, příspěvkové organizace organizačních složek státu, státní organizace = 0 % Státní podniky = 0 % Kraje a organizace zřizované kraji, obce, organizace zřizované obcemi = 10 % Organizace zakládané kraji, organizace zakládané obcemi = 15 % Projekt je zbývající částkou financován z EU a státního rozpočtu

6 Minimální výše celkových způsobilých výdajů na projekt: Kč Maximální výše celkových způsobilých nákladů na projekt: Kč Částky jsou uvedeny včetně DPH.

7 GDPR (General Data Protection Regulation) je nařízení Evropské unie závazné pro všechny. Dne 25. května 2018 vstoupí v platnost směrnice GDPR. Jejím cílem je zvýšit úroveň ochrany a osobních údajů a posílit práva občanů EU. Implementací GDPR (Nařízení Evropského parlamentu a Rady EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů) se v České republice věnuje Ministerstvo vnitra ČR jako hlavní gestor a také Úřad pro ochranu osobních údajů (ÚOOÚ), který bude podle GDPR dozorovým orgánem. Tato pravidla se dotýkají i veřejné správy (měst a obcí) a vy máte možnost na tuto podmínku buď získat evropskou dotaci, nebo si tuto kybernetickou bezpečnost zabezpečit z finančních zdrojů města, obce. Za nedodržování pravidel GDPR bude totiž municipalitám i firmám hrozit správní pokuta až 20 miliónů eur (asi 550 miliónů korun), případně pokuta ve výši čtyř procent z celosvětového obratu podniku. GDPR obecně reguluje zacházení s jakýmikoliv informacemi vztahujícími se k identifikované nebo identifikovatelné osobě. Stanovuje povinnosti pro správce i zpracovatele údajů (včetně povinnosti hlásit jakékoliv incidenty v oblasti práce s osobními daty a jejich ochrany), definuje podmínky, za kterých mohou být takové údaje zpracovávány, stanovuje pro jejich zpracování řadu pravidel a dává subjektům těchto informací řadu práv včetně práva být zapomenut. Zavádí také roli pověřence pro ochranu osobních údajů (DPO, Data Protection Officer). Vyhovět všem náročným podmínkám nařízení GDPR si vyžádá řadu opatření organizačního, procesního i technického charakteru. Součástí tohoto úsilí bude úprava či vytvoření řady vnitřních organizačních předpisů. Vzhledem k tomu, že jde o práci s informacemi, významnou roli při splnění požadavků GDPR hraje i účelné využití informačních technologií a systémů. Žádný technologický prvek ani software shodu s požadavky GDPR nezajistí, ale bez něj je dosažení shody s těmito požadavky nemyslitelné. Bez provedení IT auditu však nejsme schopni úspěšně projekt realizovat v plném rozsahu.

8 Technická opatření Fyzická bezpečnost Nástroj pro ochranu integrity komunikačních sítí Nástroj pro ověření identity uživatelů Nástroj pro řízení přístupových oprávnění Nástroj pro ochranu před škodlivý kódem Nástroj pro zaznamenávání činnosti KII a VIS, jejich uživatelů a administrátorů Nástroj pro detekci kybernetických bezpečnostních událostí Nástroj pro zaznamenávání činnosti KII a VIS, jejich uživatelů a administrátorů Nástroj pro detekci kybernetických bezpečnostních událostí Aplikační činnost Kryptografické prostředky Nástroj pro zajišťovaní úrovně dostupnosti informací Bezpečnost průmyslových a řídících systémů

9 Pořízení studie proveditelnosti Zpracování zadávacích podmínek k zakázkám a na organizaci výběrových a zadávacích řízení Odborné konzultace a dozor při implemantaci GDPR a kybernetické bezpečnosti Stavební úpravy nezbytné pro zajištění bezpečné funkčnosti pořizovaného informačního systému Povinná publicita Bezpečnostní audit a audit GDPR v souvislosti s kybernetickou bezpečnosti Cloudová řešení (do doby realizace projektu) Technický dozor investora, BOZP, autorský dozor Projektová dokumentace stavebních prací a úprav

10 Výstupem projektu musí být implementace zařízení kybernetické bezpečnosti v návaznosti na možnosti pořízení nového informačního serveru nebo jeho inovace v souvislosti s GDPR technologiemi

11 Zpracujeme IT a GDPR audit stanovisko pro úspěšnost a nutnost realizaci projektu pro obecní zastupitelstvo a jiné subjekty Odborné konzultace v oblasti informačních systémů Příprava projektové žádosti Elektronické podání žádosti Zpracování studie proveditelnosti Ekonomická analýza nad celkovou výši Kč v projektu Finanční plán Bankovní příslib Marketingová analýza Zajištění publicity projektu Výběrová řízení Zpracování monitorovacích zpráv Archivace projektu Osobní účast na kontrolách projektu Žádosti o platbu Změnová řízení

12 PARTNEŘI

13 Bc. Radek Kubíček, MBA Ředitel regionu Čechy a Morava Mobil: radek.kubicek@2kconsulting.cz Web: