Szanowni Państwo Sekretarze Miast, Gmin i Powiatów Województwa Podlaskiego i Warmińsko-Mazurskiego

Fundacja Rozwoju Demokracji Lokalnej - Podlaskie Centrum serdecznie zaprasza do udziału w 2-dniowym łączonym Forum Sekretarzy Województwa Podlaskiego  I Warmińsko-Mazurskiego, które się odbędzie w dniach: 24-25.10.2024 r. (czwartek - piątek).

 

Miejsce szkolenia:

Hotel Warszawa SPA & Resort
ul. Zdrojowa 1
16-300 Augustów
https://www.hotelwarszawa.pl/


Koszt udziału w 2-dniowym szkoleniu wraz z noclegiem i pełnym wyżywieniem
wynosi 1 199 zł netto/brutto.
opcjonalnie: dopłata do pokoju jednoosobowego + 100 zł .

 

Dzień 1-szy: 24.10.2024 r.
Temat: Wybrane aspekty cyberbezpieczeństwa i dyrektywy NIS2 dla Sekretarzy
 

Dzień 2-gi: 25.10.2024 r.
Temat: Wdrożenie systemu ochrony sygnalistów w sektorze samorządowym w świetle nowej ustawy 
 

Prosimy o przesyłanie deklaracji uczestnictwa do 02.10.2024  r. na adres mailowy: malgorzata.korol@frdl.org.pl  lub frdl-pc@frdl.org.pl

*w związku na konieczność ponoszenia kosztów usługi hotelowej faktury zostaną wystawione przed wydarzeniem. 

Dzień 1-szy: 24.10.2024 r.

 

Temat: Wybrane aspekty cyberbezpieczeństwa i dyrektywy NIS2 dla Sekretarzy

W 2023 r. weszła w życie nowa dyrektywa NIS2 dotycząca zapewnienia odpowiedniego poziomu cyberbezpieczeństwa w krajach Unii Europejskiej, a w tym roku ukaże się nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC). Administracja publiczna zostanie włączona do grupy Podmiotów Kluczowych. Podmioty te będą miały szereg obowiązków m.in. w zakresie obsługi incydentów, ujawniania luk bezpieczeństwa, testowania poziomu cyberbezpieczeństwa swoich systemów oraz efektywnego wykorzystania szyfrowania danych.

Ewentualne korekty programu mogą powstać, gdy będzie bliżej uchwalenia nowej ustawy KSC.

 

PODCZAS SZKOLENIA:

- Krok po kroku, omówimy zagadnienia związane z cyberbezpieczeństwem w jst oraz jednostkach podległych i roli kadry zarządzającej w zakresie rekomendowanym w powyższym projekcie oraz dyrektywie NIS2 i planowanej ustawie o KSC.
- Przeanalizujemy występujące cyberzagrożenia i ich konsekwencje.
- Przypominamy procedury jakie w zakresie cyberbezpieczeńtwa powinny być wdrożone w jednostce oraz wskażemy na co w ich zapisach szczególnie zwracać uwagę.
- Zaprezentujemy zadania i obowiązki jednostek, ze szczególnym uwzględnieniem zgłaszania incydentów.
- Prezentowane zagadnienia prawne będziemy popierać licznymi przykładami z praktyki dla lepszego zobrazowania omawianych regulacji i zasad podstępowania.

 

PROGRAM:

  1. Wymagania dla kadry zarządzającej jst i jednostek podległych wynikające z aktualnych przepisów prawa:
    • Ogólne Rozporządzenie o ochronie danych (RODO).
    • Rozporządzenie Krajowe Ramy Interoperacyjności (KRI).
    • Nowa dyrektywa NIS2 i projekt nowej Ustawy Krajowy System Cyberbezpieczeństwa (KSC).
    2. Kluczowa rola sekretarzy jst w codziennej ochronie informacji w urzędzie i budowaniu świadomości użytkowników.
    3. Kontrole Najwyższej Izby Kontroli w jst – omówienie głównych wniosków pokontrolnych, czyli jak się uczyć na błędach …, ale nie swoich:
    • Poczta e-mail w urzędzie – bezpieczne korzystanie.
    • Skuteczna ochrona danych osobowych szczególnie w obszarze szczególnej kategorii danych.
    • Rozwój wiedzy i umiejętności pracowników w obszarze cyberbezpieczeństwa.
    4. Jak (prawie) bezkosztowo poprawić cyberbezpieczeństwo w jst? Co można zrobić „od ręki”?
    • Aktywność kadry zarządzającej.
    • Korzystanie z grantów / projektów.
    • Ograniczenie uprawnień w systemach IT.
    • Blokada portów USB.
    • Blokada stron www.
    • Black-list na serwerze poczty e-mail.
    • Przekierowanie komunikacji z urzędem z e-maila na bezpieczne kanały np. e-Puap.
    • Wewnętrzna edukacja z tematyki cyberzagrożeń i cyberhigieny.
    • Mniej zadań dla informatyków.
    • Wzrost umiejętności pracowników w tematach często zgłaszanych na help-desk.
    • Inne pomysły uczestników …
    5. Zalecenia dotyczące reakcji na incydenty bezpieczeństwa w jst:
    • Zgłaszać incydenty a nie ukrywać.
    • Rejestrować zgłaszane incydenty.
    • Skutecznie informować interesariuszy.
    • Wyciągać wnioski i wdrażać działania korygujące.
    • Monitorować infrastrukturę IT i pracowników.
    6. Dobre praktyki służbowej cyberhigieny, które zadziałają także prywatnie:
    • Robić kopie bezpieczeństwa („Zasada: 3-2-1”).
    • Dbać o aktualizację systemów i programów.
    • Korzystać z programów antywirusowych.
    • Nie klikać w podejrzane linki i załączniki.
    7. Jak przygotować urząd do testów bezpieczeństwa, w tym także socjotechnicznych? Ponieważ nie ma lepszej drogi do sprawdzenia czy zabezpieczenia działają jak ich zewnętrzna weryfikacja.
    8. Phishing - oszustwa i wyłudzenia poprzez e-mail, sms, telefon, komunikator, ….
    9. Jak sprawdzić, czy e-mail jest dobry czy fałszywy?
    • Weryfikacja adresu nadawcy i treści e-maila.
    • Weryfikacja nagłówka e-maila.
    10. Jak sprawdzić czy link i załącznik są szkodliwe? Przykładowe narzędzia.
    11. A co zrobić, gdy już „coś się jednak kliknęło”? Czy to już „koniec świata”? NIE!
    12. Ransomware, czyli okup za odzyskanie danych - wyjątkowo poważne zagrożenie dla jst:
    • Jak uchronić urząd przed atakiem?
    • Co zrobić po ataku?
    • Czy można zapłacić okup cyberprzestępcom?
    13. Pytanie / Odpowiedzi / Dyskusja.

 

PROWADZĄCY:  specjalista w dziedzinie bezpieczeństwa informacji i cyberzagrożeń, ertyfikowany trener ECDL EPP e-Urzędnik, egzaminator ECDL oraz kierownik projektów ICT (Fn-TSPM), specjalista IT Security CISS (Certified IT Security Specialist), wcześnie kierownik Wydziału Informatyki w dużej jednostce administracji samorządowej. Członek Polskiego Towarzystwa Informatycznego. Posiada znajomość zarówno teoretyczną jak i praktyczną przedstawianych przez siebie tematów. Ma za sobą również kilkuletnie doświadczenie wykładowcy wyższej uczelni. Trener, doradca i kierownik projektów.

Dzień 2-gi: 25.10.2024 r.

Temat: Wdrożenie systemu ochrony sygnalistów w sektorze samorządowym w świetle nowej ustawy 

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii nakłada na podmioty publiczne, w tym samorządy, obowiązek wdrożenia systemu raportowania naruszeń oraz ochrony sygnalistów. Termin na wdrożenie Dyrektywy został wyznaczony na 17 grudnia 2021 roku. W związku z opóźnieniem wdrożenia krajowej regulacji i naciskami organów UE prace nabrały tempa i nowa ustawa została uchwalona 14 czerwca 2024 r., opublikowana 24 czerwca 2024 r., co oznacza że, co do zasady, nowe regulacje wejdą w życie 25 września 2024 r. (dotyczące zgłoszeń wewnętrznych) i 25 grudnia (dotyczące zgłoszeń zewnętrznych). Znajomość wymogów prawnych i praktycznych wskazówek usprawni wdrożenie zgodnego z prawem systemu I wprowadzenie koniecznych zmian w organizacji.

 

CELE I KORZYŚCI ZE SZKOLENIA:

  • Przygotowanie uczestników do przestrzegania regulacji prawnych związanych z systemem ochrony sygnalistów.
  • Przekazanie pracownikom aktualnej wiedzy i skutecznych narzędzi zgodnie z nowymi regulacjami krajowymi w odniesieniu do mniejszych i większych podmiotów.
  • Uzyskanie wiedzy w zakresie prawidłowego wdrożenia procedury dokonywania zgłoszeń wewnętrznych i zewnętrznych.

 

PROGRAM:

  I. Informacje wprowadzające – prosty, tani i efektywny system w organizacji jest możliwy:
1. Wyjaśnienie kluczowych pojęć: sygnalista, whistleblowing, działania odwetowe, dobra wiara, kanały zgłoszeń, incydent. 
2. Korzyści wynikające z whistleblowingu.
3. Podstawa prawna: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii oraz polska ustawa o ochronie sygnalistów.
4. Postępy w polskiej ustawie o ochronie sygnalistów – ochrona sygnalistów na gruncie nowych przepisów. 
II. Minimalne obowiązki w kontekście sektora samorządowego - zgłoszenia wewnętrzne a zewnętrzne.
1. Cel Dyrektywy. 
2. Zakres podmiotowy – jakich podmiotów dotyczą nowe regulacje – organ publiczny.
3. Terminy implementacji ustawy – stanowisko Ministerstwa z 9 sierpnia 2024 r. 
4. Sygnalista w sektorze publicznym – specyfika (podległość służbowa, lojalność pracownicza, obawy przed stygmatyzacją, lokalne uwarunkowania).
5. Zakres przedmiotowy – jakie naruszenia mogą być raportowane?
6. Kanały dokonywania zgłoszeń: wewnętrzne, zewnętrzne oraz ujawnienie publiczne. Kogo dotyczą? Czym się różnią?
7. Zawartość procedur – zakres minimalny i fakultatywne rozszerzenia. 
8. Sygnalista anonimowy – wyzwanie dla organizacji.
III. Procedura dokonywania zgłoszeń – wdrożenie „krok po kroku” – omówienie procedury i poszczególnych etapów postępowania wyjaśniającego:
1. Wewnętrzny kanał dokonywania zgłoszeń.:
a) Zalety i wady wewnętrznego raportowania (możliwość wykrycia nadużyć w zarodku, poufność, ochrona dobrego imienia organizacji, przystępność, anonimowość, biurokracja, powódź informacyjna, brak wyszkolonych kadr).
b) Podmioty zobowiązane do utworzenia wewnętrznych i zewnętrznych kanałów dokonywania zgłoszeń. 
c) Opracowanie i wdrożenie indywidualnej procedury dokonywania zgłoszeń 
d) Szkolenia dla pracowników – zebranie oświadczeń o zapoznaniu się z procedurą. 
e) Podmioty uprawnione do przyjmowania zgłoszeń wewnętrznych: wyznaczona osoba, wyznaczony dział lub osoba trzecia. 
f) Wypracowanie modelu przesyłania i odbierania zgłoszeń. 
g) Gromadzenie i analizowanie dowodów – archiwizacja dokumentów. 
h) Prowadzenie postępowania wyjaśniającego – specyfika wewnętrznych postępowań wyjaśniających.
i) Analiza zgłoszenia i plan działania (materiał dowodowy, dialog z sygnalistą, kontakt z zainteresowanymi, skład zespołu wyjaśniającego) .
j) Informacje zwrotne udzielane sygnaliście - terminy. 
k) Wyciąganie konsekwencji i podejmowanie działań naprawczych.
l) Zgłoszenie organom ścigania.
2. Ochrona tożsamości sygnalisty. 
3. Prowadzenie dokumentacji i rejestrów zgłoszeń. 
4. Dokonanie zgłoszenia w drodze ujawnienia publicznego – szansa czy zagrożenie? 
5. Specyfika zewnętrznego kanału dokonywania zgłoszeń, obowiązki organu publicznego i RPO. 
IV. Środki ochrony sygnalisty:
1. Zakaz działań odwetowych wobec sygnalisty.
2. Środki ochrony przed działaniami odwetowymi. 
3. Środki wsparcia sygnalisty.
4. Wyzwania i wątpliwości związane z ochroną sygnalistów.
V. Możliwość skorzystania z outsourcingu – zlecenie obsługi sygnalistów podmiotowi trzeciemu
VI. Ćwiczenie praktyczne
1. Przedstawienie fikcyjnego stanu faktycznego.
2. Omówienie prawidłowego przebiegu dokonania zgłoszenia. 
3. Podsumowanie postępowania wyjaśniającego i czynności naprawczych.

 

PROWADZĄCY:  radca prawny, absolwentka Uniwersytetu Jagiellońskiego, radca prawny, doświadczony szkoleniowiec, doktor nauk prawnych i adiunkt w Instytucie Prawa Uniwersytetu Ekonomicznego w Krakowie, praktyk prowadzący własną działalność gospodarczą w formie kancelarii prawnej, od ponad 10 lat zajmuje się kompleksową obsługą prawną podmiotów z sektora publicznego i prywatnego oraz NGO, wdrażaniem kodeksów etyki, zagadnieniami mobbingu i dyskryminacji, ochroną pracowników przed działaniami odwetowymi, wdrażaniem procedur sygnalizowania nieprawidłowości, doradztwem w zakresie tworzenia kompleksowych rozwiązań chroniących sygnalistów, przygotowaniem dedykowanych ocen ryzyka, przeciwdziałaniem praniu pieniędzy oraz procedurami antykorupcyjnymi, autorka wielu publikacji z zakresu prawa gospodarczego, cywilnego oraz compliance zarówno w języku polskim, jak i angielskim. Ukończyła z wyróżnieniem kurs organizowany przez GIIF w zakresie zasad przeciwdziałania praniu pieniędzy i terroryzmowi. Na Uniwersytecie Ekonomicznym w Krakowie wykłada m.in. przedmioty związane z prawem Unii Europejskiej, compliance, przeciwdziałaniem nadużyciom oraz korupcją i praniem pieniędzy. Dysponuje ogromnym doświadczeniem praktycznym popartym rzetelną wiedzą naukową oraz umiejętnościami dydaktycznymi. Od początku kariery zawodowej współpracuje z największymi małopolskimi kancelariami prawnymi i firmami szkoleniowymi.