Cel szkolenia:
Celem szkolenia jest zapoznanie uczestników z wymaganiami dotyczącymi ochrony informacji i prywatności w kontekście sztucznej inteligencji (AI), a także z przepisami prawa unijnego – NIS2 oraz DORA – i ich wpływem na działalność firm informatycznych. Szkolenie ma na celu wyjaśnienie, jak te regulacje odnoszą się do wdrażania, serwisowania i programowania aplikacji oraz systemów IT w kontekście bezpieczeństwa informacji i ochrony prywatności.
Grupa docelowa:
Pracownicy firm informatycznych zajmujących się wdrażaniem, serwisowaniem i programowaniem systemów IT. Szczególnie skierowane do osób odpowiedzialnych za zarządzanie bezpieczeństwem IT, zgodność z przepisami, ochronę danych osobowych oraz implementację AI w systemach.
1. Wprowadzenie do tematu
• Cel szkolenia: Zrozumienie wymagań prawnych w kontekście ochrony informacji, prywatności oraz bezpieczeństwa IT.
• Zakres szkolenia:
◦ Sztuczna inteligencja (AI) a prywatność i bezpieczeństwo danych.
◦ NIS2 – Dyrektywa Unii Europejskiej dotycząca bezpieczeństwa sieci i informacji.
◦ DORA – Rozporządzenie w sprawie cyfrowej odporności instytucji finansowych.
• Podstawowe definicje:
◦ AI: Technologie sztucznej inteligencji i ich wpływ na bezpieczeństwo danych.
◦ NIS2: Dyrektywa UE dotycząca bezpieczeństwa sieci i informacji.
◦ DORA: Rozporządzenie UE w zakresie zarządzania ryzykiem IT w instytucjach finansowych.
2. Sztuczna inteligencja (AI) w kontekście ochrony informacji i prywatności
• Podstawy sztucznej inteligencji (AI):
◦ Definicja i typy AI: Machine Learning (ML), głębokie uczenie (Deep Learning), systemy ekspertowe.
◦ Wykorzystanie AI w firmach informatycznych: automatyzacja, przetwarzanie dużych zbiorów danych, personalizacja usług.
• Wyzwania związane z prywatnością i bezpieczeństwem danych w kontekście AI:
◦ Przetwarzanie danych osobowych przez systemy AI.
◦ Ryzyko naruszenia prywatności w wyniku nieodpowiedniego zarządzania danymi.
◦ Zrozumienie potencjalnych zagrożeń związanych z algorytmami AI, takich jak zjawisko "black-box" (brak przejrzystości decyzji).
• Zasady ochrony danych osobowych przy wdrażaniu AI:
◦ Zgodność z RODO w kontekście zbierania i przetwarzania danych przez AI.
◦ Sposoby zapewnienia transparentności algorytmów oraz odpowiedzialności za decyzje podejmowane przez systemy AI.
◦ Ocena ryzyka AI w zakresie ochrony danych – tzw. Data Protection Impact Assessment (DPIA).
• Praktyczne zastosowania AI a ochrona danych:
◦ Jak projektować systemy AI, które respektują prywatność użytkowników (privacy by design, privacy by default).
◦ Przykłady wdrożeń AI zgodnych z wymogami ochrony prywatności (anonimizacja, pseudonimizacja, minimalizacja danych).
3. NIS2 – Dyrektywa o bezpieczeństwie sieci i informacji
• Wprowadzenie do NIS2:
◦ Przegląd dyrektywy NIS2: cel, zakres, oraz kluczowe przepisy.
◦ Kto jest objęty dyrektywą NIS2? Obowiązki dla firm zajmujących się dostarczaniem usług cyfrowych, w tym firm IT.
• Wymogi bezpieczeństwa w NIS2:
◦ Zarządzanie ryzykiem w zakresie bezpieczeństwa IT i ochrony informacji.
◦ Wdrażanie odpowiednich procedur i zabezpieczeń (m.in. systemy monitorowania, reagowanie na incydenty).
◦ Wymogi dotyczące audytów bezpieczeństwa, raportowania naruszeń oraz wymiana informacji o zagrożeniach.
• Zastosowanie NIS2 w firmach informatycznych:
◦ Jak NIS2 wpływa na procesy wdrażania oprogramowania, zarządzania sieciami IT i zapewniania ciągłości działania.
◦ Rola firm programistycznych i serwisowych w zapewnianiu zgodności z NIS2.
◦ Przykłady dobrych praktyk i procedur bezpieczeństwa wymaganych przez NIS2.
4. DORA – Rozporządzenie dotyczące cyfrowej odporności instytucji finansowych
• Podstawowe informacje o DORA:
◦ Cele DORA: zapewnienie odporności cyfrowej instytucji finansowych na zagrożenia związane z IT.
◦ Zakres DORA: wymogi dla dostawców usług IT, systemów IT, firm programistycznych i serwisowych współpracujących z sektorem finansowym.
• Wymogi DORA w zakresie zarządzania ryzykiem IT:
◦ Wymogi w zakresie ciągłości działania, zabezpieczeń cybernetycznych, audytów i zarządzania ryzykiem.
◦ Jakie standardy muszą spełniać usługi IT w kontekście instytucji finansowych.
• Zgodność z DORA w kontekście firm informatycznych:
◦ Jak firmy programistyczne i serwisowe mogą wspierać instytucje finansowe w zapewnieniu zgodności z DORA.
◦ Przykłady wymaganych zabezpieczeń IT w projektach dla sektora finansowego.
◦ Zarządzanie kryzysowe w firmach informatycznych, które obsługują instytucje finansowe.
5. Integracja NIS2, DORA i ochrony prywatności w praktyce
• Integracja przepisów NIS2 i DORA z ochroną danych osobowych i prywatności:
◦ Jakie wyzwania mogą pojawić się przy wdrażaniu AI w zgodzie z NIS2 i DORA?
◦ Przykłady synergii między przepisami ochrony danych a wymogami bezpieczeństwa IT.
◦ Ochrona prywatności w procesach audytowych i monitoringu w ramach NIS2 i DORA.
• Praktyczne przykłady wdrożeń:
◦ Implementacja systemów IT w firmach informatycznych w zgodzie z wymogami NIS2 oraz DORA, z jednoczesnym przestrzeganiem zasad ochrony danych osobowych.
◦ Procesy zarządzania ryzykiem i audyty bezpieczeństwa w praktyce.
6. Ćwiczenia praktyczne i case study
• Case study 1: Wdrożenie systemu AI w firmie zajmującej się usługami finansowymi:
◦ Jak zapewnić zgodność z RODO, NIS2 i DORA w kontekście wdrażania AI w usługach finansowych.
◦ Przeprowadzenie oceny ryzyka i wdrożenie mechanizmów ochrony danych i bezpieczeństwa.
• Case study 2: Audyt zgodności z NIS2 i DORA dla dostawcy usług IT dla sektora finansowego:
◦ Ocena aktualnego stanu zabezpieczeń IT w kontekście NIS2 i DORA.
◦ Propozycje działań naprawczych oraz planowanie działań mających na celu spełnienie wymogów regulacyjnych.
7. Podsumowanie szkolenia i sesja pytań i odpowiedzi
• Podsumowanie kluczowych zagadnień:
◦ Zasady ochrony danych osobowych w kontekście AI.
◦ Wymogi NIS2 oraz DORA i ich zastosowanie w firmach informatycznych.
◦ Jakie procedury wdrożyć, aby zapewnić zgodność z przepisami prawa.
• Sesja pytań i odpowiedzi: Odpowiedzi na pytania uczestników dotyczące wdrażania, serwisowania i programowania z zachowaniem zgodności z przepisami prawa.
