Najbliższe spotkanie
Szanowni Państwo Sekretarze Miast, Gmin i Powiatów Województwa Podlaskiego i Warmińsko-Mazurskiego
Fundacja Rozwoju Demokracji Lokalnej - Podlaskie Centrum serdecznie zaprasza do udziału w 2-dniowym łączonym Forum Sekretarzy Województwa Podlaskiego I Warmińsko-Mazurskiego, które się odbędzie w dniach: 24-25.10.2024 r. (czwartek - piątek).
Miejsce szkolenia:
Hotel Warszawa SPA & Resort
ul. Zdrojowa 1
16-300 Augustów
https://www.hotelwarszawa.pl/
Koszt udziału w 2-dniowym szkoleniu wraz z noclegiem i pełnym wyżywieniem
wynosi 1 199 zł netto/brutto.
opcjonalnie: dopłata do pokoju jednoosobowego + 100 zł .
Dzień 1-szy: 24.10.2024 r.
Temat: Wybrane aspekty cyberbezpieczeństwa i dyrektywy NIS2 dla Sekretarzy
Dzień 2-gi: 25.10.2024 r.
Temat: Wdrożenie systemu ochrony sygnalistów w sektorze samorządowym w świetle nowej ustawy
Prosimy o przesyłanie deklaracji uczestnictwa do 02.10.2024 r. na adres mailowy: malgorzata.korol@frdl.org.pl lub frdl-pc@frdl.org.pl
*w związku na konieczność ponoszenia kosztów usługi hotelowej faktury zostaną wystawione przed wydarzeniem.
Dzień 1-szy: 24.10.2024 r.
Temat: Wybrane aspekty cyberbezpieczeństwa i dyrektywy NIS2 dla Sekretarzy
W 2023 r. weszła w życie nowa dyrektywa NIS2 dotycząca zapewnienia odpowiedniego poziomu cyberbezpieczeństwa w krajach Unii Europejskiej, a w tym roku ukaże się nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC). Administracja publiczna zostanie włączona do grupy Podmiotów Kluczowych. Podmioty te będą miały szereg obowiązków m.in. w zakresie obsługi incydentów, ujawniania luk bezpieczeństwa, testowania poziomu cyberbezpieczeństwa swoich systemów oraz efektywnego wykorzystania szyfrowania danych.
Ewentualne korekty programu mogą powstać, gdy będzie bliżej uchwalenia nowej ustawy KSC.
PODCZAS SZKOLENIA:
- Krok po kroku, omówimy zagadnienia związane z cyberbezpieczeństwem w jst oraz jednostkach podległych i roli kadry zarządzającej w zakresie rekomendowanym w powyższym projekcie oraz dyrektywie NIS2 i planowanej ustawie o KSC.
- Przeanalizujemy występujące cyberzagrożenia i ich konsekwencje.
- Przypominamy procedury jakie w zakresie cyberbezpieczeńtwa powinny być wdrożone w jednostce oraz wskażemy na co w ich zapisach szczególnie zwracać uwagę.
- Zaprezentujemy zadania i obowiązki jednostek, ze szczególnym uwzględnieniem zgłaszania incydentów.
- Prezentowane zagadnienia prawne będziemy popierać licznymi przykładami z praktyki dla lepszego zobrazowania omawianych regulacji i zasad podstępowania.
PROGRAM:
- Wymagania dla kadry zarządzającej jst i jednostek podległych wynikające z aktualnych przepisów prawa:
• Ogólne Rozporządzenie o ochronie danych (RODO).
• Rozporządzenie Krajowe Ramy Interoperacyjności (KRI).
• Nowa dyrektywa NIS2 i projekt nowej Ustawy Krajowy System Cyberbezpieczeństwa (KSC).
2. Kluczowa rola sekretarzy jst w codziennej ochronie informacji w urzędzie i budowaniu świadomości użytkowników.
3. Kontrole Najwyższej Izby Kontroli w jst – omówienie głównych wniosków pokontrolnych, czyli jak się uczyć na błędach …, ale nie swoich:
• Poczta e-mail w urzędzie – bezpieczne korzystanie.
• Skuteczna ochrona danych osobowych szczególnie w obszarze szczególnej kategorii danych.
• Rozwój wiedzy i umiejętności pracowników w obszarze cyberbezpieczeństwa.
4. Jak (prawie) bezkosztowo poprawić cyberbezpieczeństwo w jst? Co można zrobić „od ręki”?
• Aktywność kadry zarządzającej.
• Korzystanie z grantów / projektów.
• Ograniczenie uprawnień w systemach IT.
• Blokada portów USB.
• Blokada stron www.
• Black-list na serwerze poczty e-mail.
• Przekierowanie komunikacji z urzędem z e-maila na bezpieczne kanały np. e-Puap.
• Wewnętrzna edukacja z tematyki cyberzagrożeń i cyberhigieny.
• Mniej zadań dla informatyków.
• Wzrost umiejętności pracowników w tematach często zgłaszanych na help-desk.
• Inne pomysły uczestników …
5. Zalecenia dotyczące reakcji na incydenty bezpieczeństwa w jst:
• Zgłaszać incydenty a nie ukrywać.
• Rejestrować zgłaszane incydenty.
• Skutecznie informować interesariuszy.
• Wyciągać wnioski i wdrażać działania korygujące.
• Monitorować infrastrukturę IT i pracowników.
6. Dobre praktyki służbowej cyberhigieny, które zadziałają także prywatnie:
• Robić kopie bezpieczeństwa („Zasada: 3-2-1”).
• Dbać o aktualizację systemów i programów.
• Korzystać z programów antywirusowych.
• Nie klikać w podejrzane linki i załączniki.
7. Jak przygotować urząd do testów bezpieczeństwa, w tym także socjotechnicznych? Ponieważ nie ma lepszej drogi do sprawdzenia czy zabezpieczenia działają jak ich zewnętrzna weryfikacja.
8. Phishing - oszustwa i wyłudzenia poprzez e-mail, sms, telefon, komunikator, ….
9. Jak sprawdzić, czy e-mail jest dobry czy fałszywy?
• Weryfikacja adresu nadawcy i treści e-maila.
• Weryfikacja nagłówka e-maila.
10. Jak sprawdzić czy link i załącznik są szkodliwe? Przykładowe narzędzia.
11. A co zrobić, gdy już „coś się jednak kliknęło”? Czy to już „koniec świata”? NIE!
12. Ransomware, czyli okup za odzyskanie danych - wyjątkowo poważne zagrożenie dla jst:
• Jak uchronić urząd przed atakiem?
• Co zrobić po ataku?
• Czy można zapłacić okup cyberprzestępcom?
13. Pytanie / Odpowiedzi / Dyskusja.
PROWADZĄCY: specjalista w dziedzinie bezpieczeństwa informacji i cyberzagrożeń, ertyfikowany trener ECDL EPP e-Urzędnik, egzaminator ECDL oraz kierownik projektów ICT (Fn-TSPM), specjalista IT Security CISS (Certified IT Security Specialist), wcześnie kierownik Wydziału Informatyki w dużej jednostce administracji samorządowej. Członek Polskiego Towarzystwa Informatycznego. Posiada znajomość zarówno teoretyczną jak i praktyczną przedstawianych przez siebie tematów. Ma za sobą również kilkuletnie doświadczenie wykładowcy wyższej uczelni. Trener, doradca i kierownik projektów.
Dzień 2-gi: 25.10.2024 r.
Temat: Wdrożenie systemu ochrony sygnalistów w sektorze samorządowym w świetle nowej ustawy
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii nakłada na podmioty publiczne, w tym samorządy, obowiązek wdrożenia systemu raportowania naruszeń oraz ochrony sygnalistów. Termin na wdrożenie Dyrektywy został wyznaczony na 17 grudnia 2021 roku. W związku z opóźnieniem wdrożenia krajowej regulacji i naciskami organów UE prace nabrały tempa i nowa ustawa została uchwalona 14 czerwca 2024 r., opublikowana 24 czerwca 2024 r., co oznacza że, co do zasady, nowe regulacje wejdą w życie 25 września 2024 r. (dotyczące zgłoszeń wewnętrznych) i 25 grudnia (dotyczące zgłoszeń zewnętrznych). Znajomość wymogów prawnych i praktycznych wskazówek usprawni wdrożenie zgodnego z prawem systemu I wprowadzenie koniecznych zmian w organizacji.
CELE I KORZYŚCI ZE SZKOLENIA:
- Przygotowanie uczestników do przestrzegania regulacji prawnych związanych z systemem ochrony sygnalistów.
- Przekazanie pracownikom aktualnej wiedzy i skutecznych narzędzi zgodnie z nowymi regulacjami krajowymi w odniesieniu do mniejszych i większych podmiotów.
- Uzyskanie wiedzy w zakresie prawidłowego wdrożenia procedury dokonywania zgłoszeń wewnętrznych i zewnętrznych.
PROGRAM:
I. Informacje wprowadzające – prosty, tani i efektywny system w organizacji jest możliwy:
1. Wyjaśnienie kluczowych pojęć: sygnalista, whistleblowing, działania odwetowe, dobra wiara, kanały zgłoszeń, incydent.
2. Korzyści wynikające z whistleblowingu.
3. Podstawa prawna: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii oraz polska ustawa o ochronie sygnalistów.
4. Postępy w polskiej ustawie o ochronie sygnalistów – ochrona sygnalistów na gruncie nowych przepisów.
II. Minimalne obowiązki w kontekście sektora samorządowego - zgłoszenia wewnętrzne a zewnętrzne.
1. Cel Dyrektywy.
2. Zakres podmiotowy – jakich podmiotów dotyczą nowe regulacje – organ publiczny.
3. Terminy implementacji ustawy – stanowisko Ministerstwa z 9 sierpnia 2024 r.
4. Sygnalista w sektorze publicznym – specyfika (podległość służbowa, lojalność pracownicza, obawy przed stygmatyzacją, lokalne uwarunkowania).
5. Zakres przedmiotowy – jakie naruszenia mogą być raportowane?
6. Kanały dokonywania zgłoszeń: wewnętrzne, zewnętrzne oraz ujawnienie publiczne. Kogo dotyczą? Czym się różnią?
7. Zawartość procedur – zakres minimalny i fakultatywne rozszerzenia.
8. Sygnalista anonimowy – wyzwanie dla organizacji.
III. Procedura dokonywania zgłoszeń – wdrożenie „krok po kroku” – omówienie procedury i poszczególnych etapów postępowania wyjaśniającego:
1. Wewnętrzny kanał dokonywania zgłoszeń.:
a) Zalety i wady wewnętrznego raportowania (możliwość wykrycia nadużyć w zarodku, poufność, ochrona dobrego imienia organizacji, przystępność, anonimowość, biurokracja, powódź informacyjna, brak wyszkolonych kadr).
b) Podmioty zobowiązane do utworzenia wewnętrznych i zewnętrznych kanałów dokonywania zgłoszeń.
c) Opracowanie i wdrożenie indywidualnej procedury dokonywania zgłoszeń
d) Szkolenia dla pracowników – zebranie oświadczeń o zapoznaniu się z procedurą.
e) Podmioty uprawnione do przyjmowania zgłoszeń wewnętrznych: wyznaczona osoba, wyznaczony dział lub osoba trzecia.
f) Wypracowanie modelu przesyłania i odbierania zgłoszeń.
g) Gromadzenie i analizowanie dowodów – archiwizacja dokumentów.
h) Prowadzenie postępowania wyjaśniającego – specyfika wewnętrznych postępowań wyjaśniających.
i) Analiza zgłoszenia i plan działania (materiał dowodowy, dialog z sygnalistą, kontakt z zainteresowanymi, skład zespołu wyjaśniającego) .
j) Informacje zwrotne udzielane sygnaliście - terminy.
k) Wyciąganie konsekwencji i podejmowanie działań naprawczych.
l) Zgłoszenie organom ścigania.
2. Ochrona tożsamości sygnalisty.
3. Prowadzenie dokumentacji i rejestrów zgłoszeń.
4. Dokonanie zgłoszenia w drodze ujawnienia publicznego – szansa czy zagrożenie?
5. Specyfika zewnętrznego kanału dokonywania zgłoszeń, obowiązki organu publicznego i RPO.
IV. Środki ochrony sygnalisty:
1. Zakaz działań odwetowych wobec sygnalisty.
2. Środki ochrony przed działaniami odwetowymi.
3. Środki wsparcia sygnalisty.
4. Wyzwania i wątpliwości związane z ochroną sygnalistów.
V. Możliwość skorzystania z outsourcingu – zlecenie obsługi sygnalistów podmiotowi trzeciemu
VI. Ćwiczenie praktyczne
1. Przedstawienie fikcyjnego stanu faktycznego.
2. Omówienie prawidłowego przebiegu dokonania zgłoszenia.
3. Podsumowanie postępowania wyjaśniającego i czynności naprawczych.
PROWADZĄCY: radca prawny, absolwentka Uniwersytetu Jagiellońskiego, radca prawny, doświadczony szkoleniowiec, doktor nauk prawnych i adiunkt w Instytucie Prawa Uniwersytetu Ekonomicznego w Krakowie, praktyk prowadzący własną działalność gospodarczą w formie kancelarii prawnej, od ponad 10 lat zajmuje się kompleksową obsługą prawną podmiotów z sektora publicznego i prywatnego oraz NGO, wdrażaniem kodeksów etyki, zagadnieniami mobbingu i dyskryminacji, ochroną pracowników przed działaniami odwetowymi, wdrażaniem procedur sygnalizowania nieprawidłowości, doradztwem w zakresie tworzenia kompleksowych rozwiązań chroniących sygnalistów, przygotowaniem dedykowanych ocen ryzyka, przeciwdziałaniem praniu pieniędzy oraz procedurami antykorupcyjnymi, autorka wielu publikacji z zakresu prawa gospodarczego, cywilnego oraz compliance zarówno w języku polskim, jak i angielskim. Ukończyła z wyróżnieniem kurs organizowany przez GIIF w zakresie zasad przeciwdziałania praniu pieniędzy i terroryzmowi. Na Uniwersytecie Ekonomicznym w Krakowie wykłada m.in. przedmioty związane z prawem Unii Europejskiej, compliance, przeciwdziałaniem nadużyciom oraz korupcją i praniem pieniędzy. Dysponuje ogromnym doświadczeniem praktycznym popartym rzetelną wiedzą naukową oraz umiejętnościami dydaktycznymi. Od początku kariery zawodowej współpracuje z największymi małopolskimi kancelariami prawnymi i firmami szkoleniowymi.