• admin@kibc
• 30 maja 2025
• Brak komentarzy

Standardy Cyberbezpieczeństwa Chmur Obliczeniowych 2025 (SCCO 2025), opublikowane w kwietniu br., wprowadzają nowe wytyczne dla jednostek samorządu terytorialnego (JST) w zakresie bezpiecznego korzystania z rozwiązań chmurowych. Choć nie mają mocy prawnej, stanowią oficjalny zbiór zaleceń, których przestrzeganie wpływa na poziom ochrony danych mieszkańców oraz dostępność środków z programów cyfryzacji.

Kluczowe obowiązki JST wynikające z SCCO 2025

Wdrożenie SCCO 2025 wymaga aktywnego udziału nie tylko zespołów IT, ale również wójtów, burmistrzów, sekretarzy i skarbników. Szczególną uwagę należy zwrócić na jurysdykcję dostawcy usług chmurowych, aby zapewnić zgodność z krajowymi przepisami dotyczącymi ochrony danych. Wreszcie, przestrzeganie standardów SCCO 2025 jest istotne dla ochrony danych osobowych mieszkańców i może wpływać na możliwość uzyskania środków z programów cyfryzacji.

Czym są SCCO?

Standardy Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO) to część Narodowych Standardów Cyberbezpieczeństwa, opracowanych w ramach Strategii Cyberbezpieczeństwa RP na lata 2019–2024, a zaktualizowanych w bieżącym roku. Ich ustanowienie miało na celu:

Podniesienie bezpieczeństwa IT w administracji publicznej.
Ułatwienie migracji do chmur obliczeniowych.
Zwiększenie odporności na incydenty bezpieczeństwa.

Kogo dotyczą SCCO 2025?

Obowiązki wynikające z SCCO 2025 posiadają trzech adresatów. Są nimi: JST planujące korzystanie z chmur publicznych i rządowych, dostawcy usług chmurowych dla administracji, a także podmioty przetwarzające dane publiczne i niejawne.

Kluczowe komponenty Standardów Cyberbezpieczeństwa Chmur Obliczeniowych

Cztery poziomy w zależności od rodzaju danych jak niżej:

Każdy system IT w JST musi zostać skategoryzowany pod kątem atrybutów: poufności, integralności, dostępności, a także zaklasyfikowany do odpowiedniego poziomu SCCO.

3. Procesy migracji i odpowiedzialność

Wdrożenie SCCO wiąże się z koniecznością zarządzania ryzykiem (cykl: klasyfikacja → selekcja → implementacja → ocena → akredytacja → monitoring), współdzielenia odpowiedzialności z dostawcami chmur (IaaS, PaaS, SaaS) oraz jasnego określenia w umowie SLA i poziomów zabezpieczeń.

Wymagania bezpieczeństwa

Dane mogą być przetwarzane tylko w państwach UE lub EOG, gdzie obowiązuje prawo UE. Obowiązuje stosowanie silnego szyfrowania (np. AES, TLS 1.3), a także zarządzanie kluczami w postaci preferowanej kontroli po stronie JST. Umowa musi także przewidywać migrację danych – wyjście z usługi (vendor lock-in).

Nie zwlekaj z wdrożeniem SCCO 2025 – ich przestrzeganie warunkuje dostęp do środków cyfryzacyjnych. Dokonaj przeglądu umów z dostawcami chmur – sprawdź zgodność z wymaganiami jurysdykcyjnymi i technicznymi. Wreszcie, zorganizuj szkolenia dla kluczowych pracowników – znajomość SCCO musi wykraczać poza dział IT.