Edukacja w cyfrowym świecie

Uczelnie wyższe odgrywają kluczową rolę nie tylko w kształceniu przyszłych specjalistów, ale również w przechowywaniu i przetwarzaniu ogromnych ilości danych – zarówno osobowych, jak i badawczych. To właśnie one gromadzą dane tysięcy studentów, doktorantów i pracowników naukowych, a także prowadzą prace badawcze często finansowane ze środków publicznych i unijnych.

W tym kontekście zagrożenia związane z cyberprzestępczością stają się coraz bardziej realne i wymagają adekwatnej reakcji. Z pomocą przychodzi dyrektywa NIS2, której celem jest ujednolicenie poziomu bezpieczeństwa cyfrowego w całej Unii Europejskiej – również na uczelniach wyższych.

 

Czym jest NIS2?

Dyrektywa NIS2 (ang. Network and Information Security Directive 2) to nowe unijne przepisy regulujące kwestie cyberbezpieczeństwa.

Nowa dyrektywa rozszerza zakres podmiotów objętych przepisami, obejmując sektor edukacji i nauki jako podmioty kluczowe i ważne dla funkcjonowania społeczeństwa i gospodarki.

„NIS2 to game-changer dla uczelni. Cyberbezpieczeństwo przestaje być kwestią IT – staje się obowiązkiem strategicznym, którym musi zająć się Rektor, Kanclerz, Senat czy Rada Uczelni.” – Krzysztof Tokarz, pomysłodawca Akademii Cyberodporności Uczelnie

 

Nowe obowiązki uczelni – co mówi dyrektywa?

1. Wdrożenie systemowego podejścia do cyberbezpieczeństwa

Uczelnie muszą przyjąć podejście oparte na analizie ryzyka i wdrożyć:

• polityki bezpieczeństwa informacji,
• plan ciągłości działania (BCP),
• zarządzanie tożsamością i dostępem (IAM),
• procedury reagowania na incydenty.

To oznacza konieczność stworzenia dokumentacji, wyznaczenia osób odpowiedzialnych i wdrożenia realnych procedur w całej organizacji.

„Wielu uczelniom brakuje dziś formalnych procedur. To luka, która musi zostać uzupełniona.” – Kacper Piątkowski, trener Akademii, Network Administrator IT Challenge.

2. Regularna analiza ryzyka i testy bezpieczeństwa

NIS2 wymaga przeprowadzania:

• okresowych analiz ryzyka (min. raz w roku),
• audytów bezpieczeństwa systemów IT/OT,
• testów penetracyjnych i symulacji ataków.

Tylko takie działania pozwalają zidentyfikować luki w zabezpieczeniach zanim zrobią to cyberprzestępcy.

3. Monitorowanie i reagowanie na incydenty

Uczelnia musi wdrożyć:

• system detekcji zagrożeń (np. SIEM, EDR),
• wewnętrzne procedury zgłaszania i obsługi incydentów,
• współpracę z zespołami CSIRT (CERT Polska, CSIRT GOV, CSIRT NASK).

Wymagana będzie również rejestracja incydentów i ich raportowanie w ciągu 24 godzin od wykrycia.

„To nie jest już tylko opcja – to obowiązek. Brak reakcji może oznaczać milionowe straty lub paraliż działania uczelni.” – Krzysztof Tyl, trener Akademii Cyberodporności, CEO IT Challenge.

4. Zarządzanie łańcuchem dostaw

Uczelnie muszą też analizować, jakie ryzyko niosą ich dostawcy IT i usługodawcy – np. firmy hostingowe, dostawcy systemów ERP, operatorzy chmurowi.

To oznacza konieczność audytowania dostawców, zapisywania warunków cyberbezpieczeństwa w umowach oraz wdrażania kryteriów bezpieczeństwa w przetargach.

 

Dlaczego uczelnie są szczególnie narażone?

Szeroki zakres danych

• dane osobowe (studentów, pracowników),
• wyniki egzaminów i pracy naukowej,
• dane finansowe i podatkowe,
• projekty badawcze (często poufne).

Złożona infrastruktura

• różnorodność systemów (dziennik elektroniczny, LMS, ERP),
• wielość lokalizacji,
• brak standaryzacji systemów IT.

Słaba świadomość użytkowników

• brak szkoleń dla kadry akademickiej i studentów,
• słabe hasła i brak MFA,
• łatwość manipulacji (np. phishing z adresów uczelnianych).

„Uczelnie często stosują technologię sprzed dekady, a jednocześnie korzystają z Internetu Rzeczy, systemów IoT, e-learningu… To połączenie bywa niebezpieczne.” - dodaje Krzysztof Tyl.

Konsekwencje nieprzestrzegania NIS2

Brak wdrożenia odpowiednich mechanizmów grozi:

• karami administracyjnymi (do 10 mln EUR),
• odcięciem od finansowania projektów UE,
• stratą reputacji i zaufania społecznego.

W przypadku wycieku danych osobowych – uczelnia musi również zgłosić to do UODO i poinformować osoby poszkodowane.

„Reputacja uczelni może runąć przez jeden nieodpowiednio zabezpieczony serwer. NIS2 zmusza nas do prewencji.” – Krzysztof Tyl, CEO IT Challenge.

 

Jak się przygotować?

1. Powołanie zespołu ds. cyberbezpieczeństwa

• Skład: informatyk, przedstawiciel kadry zarządzającej, prawnik, dydaktyk.
• Zadania: wdrożenie procedur, przeglądy, szkolenia.

2. Wdrożenie MFA, segmentacja sieci, monitoring

• Minimalne standardy techniczne: Firewall, EDR, SIEM.
• Rozdzielenie sieci dydaktycznej od administracyjnej.

3. Szkolenia dla kadry i studentów

• Tematy: phishing, polityka haseł, cyberhigiena.
• Forma: warsztaty, e-learning, kampanie.

4. Audyty zewnętrzne

• Rekomendowane co najmniej raz na dwa lata.
• Współpraca z firmami certyfikowanymi (np. IT Challenge, Fortinet).

„Akademia Cyberodporności Uczelnie to nasza odpowiedź na ten problem. Spotykamy się z władzami uczelni, studentami, działami IT – i wspólnie uczymy się, jak się bronić.” – Krzysztof Tokarz

 

Co możesz zrobić już dziś?

✅ Przeprowadź analizę zgodności z NIS2
✅ Zweryfikuj, czy masz plan reagowania na incydenty
✅ Wprowadź MFA w systemach administracyjnych
✅ Przeszkol minimum 20% pracowników do końca roku
✅ Skontaktuj się z zespołem Akademii Cyberodporności Uczelnie i zgłoś chęć udziału

NIS2 to nie tylko obowiązek, to szansa na zbudowanie realnej odporności cyfrowej. To sygnał, że czasy niedostatecznego zabezpieczenia się skończyły – a uczelnie, jako skarbnice wiedzy i danych, muszą być w czołówce tej zmiany.

Chcesz wiedzieć, jak zacząć? Zaproś naszą Akademię na swoją uczelnię. Przyjedziemy, przeszkolimy i pomożemy przygotować się na realne wyzwania.