Dowiedz się więcej na temat naszych produktów. Zobacz nasz blog
  • EN
  • PL
    • Wizards
    Umów się na rozmowę
    Umów się na rozmowę

    Aktualne trendy i wyzwania zarządzania retencją danych osobowych w systemach informatycznych (ICT) w kontekście wymagań NIS2 i DORA

    DORA Wizards

    Zarządzanie retencją danych osobowych w systemach ICT stoi przed bezprecedensowymi wyzwaniami wynikającymi z coraz bardziej restrykcyjnymi wymogami regulacyjnymi w zakresie cyberbezpieczeństwa i ochrony danych osobowych. Dyrektywa NIS2 oraz rozporządzenie DORA wprowadzają nowe standardy bezpieczeństwa informacji i cyfrowej odporności operacyjnej, które bezpośrednio wpływają na to, w jaki sposób organizacje muszą zarządzać cyklem życia informacji, w tym szczególnie danych osobowych.​

    NIS2 koncentruje się na bezpieczeństwie i zapewnieniu ciągłości działania systemów informatycznych, wymagając od podmiotów kluczowych i ważnych wdrożenia zaawansowanych procedur zarządzania ryzykiem ICT, obowiązkowego zgłaszania incydentów oraz stosowania szyfrowania i uwierzytelniania wieloskładnikowego. Z kolei DORA, skierowana przede wszystkim do sektora finansowego, nakłada szczegółowe wymagania dotyczące backupu danych, testowania procedur ich odzyskiwania oraz zarządzania ryzykiem związanym z dostawcami usług ICT.​

    W tym kontekście organizacje muszą nie tylko przestrzegać zasad RODO dotyczących minimalizacji danych i określonych okresów retencji, ale także zapewnić, że ich systemy ICT są odporne na cyberataki, umożliwiają szybkie odzyskiwanie danych oraz zapewniają pełną transparentność w zakresie przetwarzania informacji. Współczesne trendy, takie jak automatyzacja zarządzania cyklem życia danych, wykorzystanie sztucznej inteligencji do detekcji i klasyfikacji danych osobowych, czy implementacja architektury Zero Trust, oferują nowe możliwości, ale jednocześnie przynoszą wyzwania związane z integracją systemów, zarządzaniem danymi w środowiskach multi-cloud oraz zapewnieniem zgodności z wieloma nakładającymi się na siebie regulacjami.​

    Poniżej prezentujemy pięć kluczowych trendów i pięć najważniejszych wyzwań, przed którymi stoją dziś organizacje zarządzające retencją danych osobowych w kontekście wymagań NIS2 i DORA.

    Pięć najważniejszych trendów

    1. Automatyzacja zarządzania cyklem życia danych osobowych

    Automatyzacja procesów retencji danych staje się standardem w nowoczesnych organizacjach, które muszą zarządzać ogromną ilością danych osobowych przy jednoczesnym przestrzeganiu coraz bardziej złożonych wymogów regulacyjnych. Narzędzia do automatycznego zarządzania cyklem życia danych optymalizują identyfikację, klasyfikację i usuwanie danych zgodnie z ustalonymi politykami retencji.​

    Systemy informatyczne umożliwiają automatyczne przenoszenie starszych danych do „tańszych” warstw przechowywania, eliminację niepotrzebnych informacji oraz zapewnienie, że dane osobowe są usuwane po upływie okresu retencji wymaganym przez prawo lub uzasadnione cele biznesowe. W kontekście NIS2, który wymaga wdrożenia polityk zarządzania ryzykiem ICT oraz zabezpieczeń sieci i systemów ICT, automatyzacja retencji pozwala organizacjom na spójne stosowanie zasad bezpieczeństwa informacji w całej infrastrukturzem w tym wszystkich systemach informatycznych.​

    2. Detekcja i klasyfikacja danych osobowych wspierane sztuczną inteligencją

    Wykorzystanie sztucznej inteligencji do automatycznej detekcji i klasyfikacji danych osobowych rewolucjonizuje sposób, w jaki organizacje identyfikują wrażliwe informacje w swoich systemach ICT. Narzędzia oparte na uczeniu maszynowym potrafią skanować zarówno dane strukturalne, jak i niestrukturalne, rozpoznawać wzorce oraz wykrywać dane osobowe, które mogły zostać przeoczone przez tradycyjne metody identyfikacji.​

    Algorytmy są w stanie osiągnąć 95% dokładności w klasyfikacji danych osobowych, co znacząco przewyższa manualne metody i redukuje ryzyko błędów ludzkich. Systemy te wykorzystują rozpoznawanie analizę sentymentu oraz wykrywanie anomalii, aby kompleksowo mapować lokalizacje danych osobowych w całej organizacji. W kontekście NIS2, który wymaga dokładnej znajomości zasobów informacyjnych oraz wdrożenia polityk bezpieczeństwa danych, efektywna detekcja danych stanowi fundament zarządzania retencją.​

    3. Implementacja architektury Zero Trust w zarządzaniu danymi

    Architektura Zero Trust, oparta na zasadzie „nigdy nie ufaj, zawsze weryfikuj”, staje się kluczowym trendem w zabezpieczaniu dostępu do danych osobowych i zarządzaniu ich retencją. Model Zero Trust wymaga ciągłej weryfikacji tożsamości wszystkich użytkowników, urządzeń i systemów przy każdej interakcji z danymi, stosowania zasady najmniejszych uprawnień oraz mikrosegmentacji sieci, aby ograniczyć potencjalny zasięg ataków.​

    W kontekście zarządzania retencją danych zapewnia, że tylko autoryzowane systemy i użytkownicy mogą inicjować procesy usuwania lub archiwizacji danych, co jest szczególnie istotne w świetle wymagań NIS2 dotyczących kontroli dostępu i zarządzania aktywami. Dodatkowo, Zero Trust obejmuje szyfrowanie danych end-to-end zarówno podczas przesyłania, jak i przechowywania, co jest wymagane zarówno przez NIS2, jak i DORA.​

    4. Niezmienialne backupy jako ochrona przed ransomware

    Niezmienialne kopie zapasowe (immutable backups) stają się standardem branżowym w ochronie przed coraz bardziej zaawansowanymi atakami ransomware, które celowo próbują zniszczyć backupy przed zaszyfrowaniem danych produkcyjnych. Technologia WORM (Write Once, Read Many) zapewnia, że po utworzeniu kopii zapasowej nie może ona być zmodyfikowana, usunięta ani zaszyfrowana przez określony okres retencji – nawet przez administratorów z pełnymi uprawnieniami.​

    Niezmienialne backupy są szczególnie istotne w kontekście wymagań DORA, które nakładają na instytucje finansowe obowiązek konfigurowania systemów backupu zdolnych do przetrwania incydentów cybernetycznych oraz regularnego testowania procedur odzyskiwania danych. NIS2 również wymaga zapewnienia ciągłości działania systemów ICT poprzez odpowiednie planowanie ciągłości biznesowej, w tym aktualne backupy i strategie odzyskiwania danych w systemach ICT.​

    5. Technologie zwiększające prywatność (privac enhancing technologies)

    Privacy enhancing technologies (PETs) zyskują na znaczeniu jako narzędzia umożliwiające organizacjom wykorzystywanie danych do celów analitycznych przy jednoczesnym zachowaniu prywatności osób. PETs obejmują szereg technik, takich jak anonimizacja, pseudonimizacja, differential privacy, federated learning, homomorphic encryption czy synthetic data, które pozwalają na przetwarzanie danych bez narażania prywatności osób.​

    W kontekście zarządzania retencją danych, PETs oferują alternatywę dla całkowitego usuwania danych po upływie okresu retencji. Zamiast tego, dane mogą zostać zanonimizowane lub pseudonimizowane, co pozwala na ich dalsze wykorzystanie do celów statystycznych, badawczych czy szkolenia modeli AI, jednocześnie spełniając wymogi RODO dotyczące minimalizacji danych. NIS2 i DORA, wymagając stosowania zaawansowanych środków kryptograficznych i ochrony danych, tworzą sprzyjające środowisko dla adopcji PETs.​

    Pięć najważniejszych wyzwań

    1. Zarządzanie retencją w środowiskach multi-cloud

    Organizacje coraz częściej wykorzystują strategie multi-cloud, przechowując dane w różnych platformach chmurowych (AWS, Azure, GCP) oraz u różnych dostawców SaaS, co tworzy ogromne wyzwania w zakresie spójnego zarządzania retencją danych osobowych. Każdy dostawca chmury ma własny zestaw usług, API, certyfikatów zgodności oraz modeli bezpieczeństwa, co utrudnia implementację jednolitych polityk retencji we wszystkich lokalizacjach.​

    Wyzwanie jest szczególnie istotne w kontekście rozporządzenia DORA, które wymaga od instytucji finansowych szczegółowego rejestrowania wszystkich usług i systemów ICT zewnętrznych dostawców, w tym lokalizacji przechowywania danych wspierających operacyjne funkcje krytyczne. NIS2 również nakłada obowiązek zarządzania bezpieczeństwem łańcucha dostaw i współpracy z dostawcami w zakresie oceny ryzyka oraz wdrażania odpowiednich procedur ochrony przed cyberatakami.​

    2. Zapewnienie zgodności backupów z politykami retencji

    Jednym z najtrudniejszych wyzwań w zarządzaniu retencją danych jest zapewnienie, że dane osobowe są faktycznie usuwane również z kopii zapasowych, a nie tylko z systemów produkcyjnych. Problem jest szczególnie złożony, gdy organizacja przywraca backup po awarii systemu. Dane, które już zostały objęte retencją i usunięte z systemu produkcyjnego, mogą zostać ponownie przywrócone ze starszej kopii zapasowej.​

    DORA nakłada szczegółowe wymagania dotyczące backupu i odzyskiwania danych, w tym określenia zakresu danych objętych backupem, częstotliwości backupów oraz RTO i RPO dla każdej funkcji. Jednak równoczesne spełnienie tych wymagań i zasad RODO dotyczących retencji wymaga zaawansowanego planowania i automatyzacji. Jak wskazało Ministerstwo Cyfryzacji w poradniku dla sektora FINTECH, nieusuwanie danych z kopii zapasowych może być uzasadnione względami technicznymi, ale organizacje muszą wykazać, że koszty i wysiłek selektywnego usunięcia są niewspółmierne do ryzyka.​

    3. Shadow IT i odkrywanie nieznanych repozytoriów danych

    Shadow IT, czyli nieautoryzowane (nielegalne) narzędzia, aplikacje i usługi chmurowe używane przez pracowników bez wiedzy działu IT stanowi poważne zagrożenie dla skutecznego zarządzania retencją danych osobowych. Dane osobowe mogą być kopiowane do osobistych kont w serwisach OneDrive, Google Drive, Dropbox czy przechowywane w niezatwierdzonych aplikacjach SaaS, całkowicie pomijając korporacyjne polityki retencji i zabezpieczeń.​

    Problem jest szczególnie istotny w kontekście dyrektywy NIS2, która wymaga dokładnej inwentaryzacji wszystkich zasobów informatycznych oraz wdrożenia środków zarządzania aktywami. DORA również nakłada obowiązek prowadzenia szczegółowego rejestru wszystkich usług ICT, w tym umów z dostawcami i lokalizacji przechowywania danych. Shadow IT tworzy „niewidzialne” repozytoria danych osobowych, które nie są objęte standardowymi procesami retencji, co naraża organizację na naruszenia RODO oraz niemożność pełnego wywiązania się z żądań dostępu do danych (DSAR) czy prawa do bycia zapomnianym.​

    4. Minimalizacja danych kontra potrzeby biznesowe i regulacyjne

    Zasada minimalizacji danych, która stanowi fundament RODO i wymaga zbierania tylko danych niezbędnych do określonych celów, często koliduje z potrzebami biznesowymi organizacji, które chcą gromadzić jak najwięcej danych do analiz, personalizacji usług czy rozwoju produktów opartych na AI. Jednocześnie, wiele przepisów regulacyjnych (np. przepisy podatkowe, prawo pracy, wymogi sektorowe) nakłada obowiązek przechowywania określonych kategorii danych przez długie okresy, co może być sprzeczne z zasadą minimalizacji.​

    W kontekście NIS2 i DORA, organizacje muszą również zachować określone dane dotyczące incydentów bezpieczeństwa, logów systemowych i dokumentacji zarządzania ryzykiem ICT przez okresy wskazane w przepisach. Wyzwanie polega na znalezieniu równowagi między różnymi, czasem sprzecznymi wymaganiami oraz na zaprojektowaniu systemów, które są wystarczająco elastyczne, aby obsługiwać różne okresy retencji dla różnych kategorii danych i celów przetwarzania, nawet gdy te same dane osobowe są przetwarzane w wielu kontekstach jednocześnie.​

    5. Migracja systemów legacy z zachowaniem zgodności

    Wiele organizacji nadal opiera swoje operacje na przestarzałych systemach legacy ICT, które nie zostały zaprojektowane z myślą o współczesnych wymogach ochrony danych osobowych, automatycznej retencji czy zaawansowanych zabezpieczeniach wymaganych przez NIS2 i DORA. Migracja danych z tych systemów do nowoczesnej infrastruktury chmurowej przy jednoczesnym zachowaniu zgodności z RODO, NIS2 i DORA stanowi jedno z najbardziej złożonych wyzwań technicznych i organizacyjnych.​

    Systemy legacy często przechowują dane osobowe w nieustrukturyzowanych formatach, bez odpowiedniego tagowania czy klasyfikacji, co utrudnia identyfikację danych podlegających retencji. Dodatkowo, starsze systemy mogą nie oferować natywnych funkcji szyfrowania, kontroli dostępu czy audytu, które są wymagane przez NIS2 i DORA. Proces migracji musi zapewnić, że żadne dane osobowe nie zostaną utracone, naruszone ani przypadkowo ujawnione, a wszystkie okresy retencji zostaną prawidłowo przeniesione do nowego systemu.​

    Podsumowanie końcowe

    Zarządzanie retencją danych osobowych w systemach ICT w kontekście wymagań NIS2 i DORA wymaga od organizacji strategicznego podejścia łączącego zaawansowane technologie, czytelne i praktyczne polityki oraz ciągłe monitorowanie zgodności. Trendy takie jak automatyzacja, wykrywanie danych wspierane przez algorytmy AI, Zero Trust, niezmienialne backupy i PETs oferują potężne narzędzia do sprostania tym wyzwaniom, podczas gdy problemy związane z multi-cloud, shadow IT, minimalizacją danych i migracją danych z przestarzałych systemów wymagają przemyślanego planowania i współpracy między działami IT, compliance i biznesem.​

    Kluczem do sukcesu jest traktowanie zarządzania retencją nie jako izolowanego wymogu regulacyjnego, ale jako integralnej części strategii cyberbezpieczeństwa i odporności operacyjnej organizacji. Narzędzia takie jak Oblivio, Nocturno, Revelio i Detecto oferowane przez Wizards zapewniają kompleksowe wsparcie w zakresie automatyzacji retencji, anonimizacji, monitorowania i wykrywania danych osobowych, pomagając organizacjom spełnić wymagania RODO, NIS2 i DORA w spójny i efektywny sposób.​