Karta Przedmiotu
| Politechnika Białostocka | Wydział Informatyki | ||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Kierunek studiów | Cyberbezpieczeństwo |
Poziom i forma studiów |
pierwszego stopnia stacjonarne |
||||||||||||||||||||||||
| Grupa przedmiotów / specjalność |
Profil kształcenia | ogólnoakademicki | |||||||||||||||||||||||||
| Nazwa przedmiotu | Wymagania prawne i compliance w cyberbezpieczeństwie | Kod przedmiotu | CYB1ZBI | ||||||||||||||||||||||||
| Rodzaj zajęć | obowiązkowy | ||||||||||||||||||||||||||
| Formy zajęć i liczba godzin | W | Ć | L | P | Ps | T | S | Semestr | 2 | ||||||||||||||||||
| 30 | 15 | Punkty ECTS | 3 | ||||||||||||||||||||||||
| Program obowiązuje od | 2026/2027 | ||||||||||||||||||||||||||
| Przedmioty wprowadzające | Podstawy cyberbezpieczeństwa (CYB1PCY), Prawne aspekty cyberbezpieczeństwa (CYB1PAC), | ||||||||||||||||||||||||||
| Cele przedmiotu |
Przekazanie wiedzy z zakresu kluczowego otoczenia regulacyjnego i prawnego cyberbezpieczeństwa w Unii Europejskiej i Polsce, ze szczególnym uwzględnieniem obowiązków organizacji wynikających z aktów prawnych NIS2, DORA, RODO/GDPR oraz Krajowego Systemu Cyberbezpieczeństwa. Kształtowanie praktycznych umiejętności w zakresie identyfikowania wymagań compliance, analizy luk w zgodności oraz uczestnictwa w procesach zarządzania zgodnością i dokumentowania polityk bezpieczeństwa informacji. Odniesienia do frameworka edukacyjnego mikrokompetencji SFIA: Bezpieczeństwo Informacji SCTY - poziom 2 Zarządzanie zgodnością COPL - poziom 2 |
||||||||||||||||||||||||||
| Ramowe treści programowe | Regulacyjne środowisko cyberbezpieczeństwa w UE i Polsce - kluczowe akty prawne i ich zakres podmiotowy i przedmiotowy. Ogólne rozporządzenie o ochronie danych osobowych (RODO/GDPR) - zasady, prawa i obowiązki administratorów i innych podmiotów. Dyrektywa NIS2 i jej implementacja w polskim prawie. Rozporządzenie DORA - cyfrowa odporność operacyjna sektora finansowego. Normy zarządzania bezpieczeństwem informacji - ISO/IEC 27001. Podejście GRC (Governance, Risk and Compliance). Dokumentacja bezpieczeństwa - polityki, procedury, rejestry i ich rola w compliance. | ||||||||||||||||||||||||||
| Inne informacje o przedmiocie | przedmiot ma związek z prowadzoną na Uczelni działalnością naukową | ||||||||||||||||||||||||||
| przedmiot kształtuje umiejętności praktyczne | |||||||||||||||||||||||||||
| Wyliczenie: | Nakład pracy studenta związany z: | Godzin ogółem |
W tym kontaktowych |
W tym praktycznych |
|||||||||||||||||||||||
| udziałem w wykładach | 30 | 30 | |||||||||||||||||||||||||
| udziałem w innych formach zajęć | 15 | 15 | 15 | ||||||||||||||||||||||||
| przygotowaniem do bieżących zajęć | 15 | 15 | |||||||||||||||||||||||||
| przygotowaniem do zaliczenia wykładu | 15 | ||||||||||||||||||||||||||
| Razem godzin: | 75 | 45 | 30 | ||||||||||||||||||||||||
| Razem punktów ECTS: | 3 | 1.8 | 1.2 | ||||||||||||||||||||||||
| Zakładane kierunkowe efekty uczenia się | Wiedza | Umiejętności | Kompetencje społeczne |
||||||||||||||||||||||||
| H1_W02 | CYB1_U11 | CYB1_K04 | |||||||||||||||||||||||||
| CYB1_W12 | CYB1_U17 | ||||||||||||||||||||||||||
| CYB1_W13 | CYB1_U19 | ||||||||||||||||||||||||||
| Cele i treści ramowe sformułował(a) | dr inż. Paweł Tadejko | Data: | 08/04/2026 | ||||||||||||||||||||||||
| Realizacja w roku akademickim | 2026/2027 | ||||||||||||||||||||||||||
| Treści programowe | |||||||||||||||||||||||||||
| Wykład | |||||||||||||||||||||||||||
| 1. | Wprowadzenie do prawa cyberbezpieczeństwa - źródła prawa, hierarchia aktów, prawo UE a prawo krajowe, organy regulacyjne i nadzorcze | ||||||||||||||||||||||||||
| 2. | RODO/GDPR - zakres zastosowania, zasady przetwarzania danych osobowych (art. 5), podstawy prawne przetwarzania, DPIA (ocena skutków dla ochrony danych) | ||||||||||||||||||||||||||
| 3. | RODO/GDPR - wymagania techniczne i organizacyjne (art. 25, 32), privacy-by-design, zgłaszanie naruszeń do organu nadzorczego i podmiotom danych | ||||||||||||||||||||||||||
| 4. | Dyrektywa NIS2 - geneza, zakres podmiotowy (podmioty kluczowe i ważne), sektory objęte regulacją | ||||||||||||||||||||||||||
| 5. | Dyrektywa NIS2 - wymagania dotyczące zarządzania ryzykiem, środki bezpieczeństwa, obowiązek zgłaszania incydentów | ||||||||||||||||||||||||||
| 6. | Ustawa o Krajowym Systemie Cyberbezpieczeństwa - struktura KSC, operatorzy usług kluczowych, CSIRT-y, obowiązki uczestników | ||||||||||||||||||||||||||
| 7. | Rozporządzenie DORA - cyfrowa odporność operacyjna sektora finansowego, zarządzanie ryzykiem ICT, testowanie odporności | ||||||||||||||||||||||||||
| 8. | Akt o cyberbezpieczeństwie UE (EU Cybersecurity Act) - ENISA, europejskie schematy certyfikacji cyberbezpieczeństwa | ||||||||||||||||||||||||||
| 9. | AI Act i jego implikacje dla bezpieczeństwa systemów AI - klasyfikacja ryzyka, wymagania dla systemów wysokiego ryzyka | ||||||||||||||||||||||||||
| 10. | Norma ISO/IEC 27001 - struktura, klauzule i Aneks A, System Zarządzania Bezpieczeństwem Informacji (ISMS), certyfikacja | ||||||||||||||||||||||||||
| 11. | Inne standardy i frameworki - NIST CSF, CIS Controls, PCI DSS - powiązania z regulacjami prawnymi | ||||||||||||||||||||||||||
| 12. | Podejście GRC (Governance, Risk and Compliance) - komponenty, integracja z procesami organizacyjnymi | ||||||||||||||||||||||||||
| 13. | Dokumentacja bezpieczeństwa - polityki bezpieczeństwa informacji, procedury, rejestry, dowody compliance | ||||||||||||||||||||||||||
| 14. | Odpowiedzialność prawna w cyberbezpieczeństwie - odpowiedzialność karna i cywilna, bug bounty, etyczne zasady ujawniania podatności (responsible disclosure) | ||||||||||||||||||||||||||
| 15. | Zaliczenie wykładu | ||||||||||||||||||||||||||
| Ćwiczenia | |||||||||||||||||||||||||||
| 1. | Analiza przypadku naruszenia RODO - identyfikacja uchybień, określenie obowiązków zgłoszeniowych, ocena ryzyka dla podmiotów danych | ||||||||||||||||||||||||||
| 2. | Ćwiczenie z zarządzania incydentem bezpieczeństwa z perspektywy prawnej - timeline zgłoszenia, obowiązki informacyjne | ||||||||||||||||||||||||||
| 3. | Przygotowanie uproszczonej Oceny Skutków dla Ochrony Danych (DPIA) dla przykładowego systemu ICT | ||||||||||||||||||||||||||
| 4. | Przygotowanie uproszczonej Oceny Skutków dla Ochrony Danych (DPIA) dla przykładowego systemu ICT | ||||||||||||||||||||||||||
| 5. | Analiza przypadku pod kątem NIS2 - kwalifikacja podmiotu, identyfikacja luk w zgodności z wymaganiami NIS2 | ||||||||||||||||||||||||||
| 6. | Analiza przypadku pod kątem NIS2 - kwalifikacja podmiotu, identyfikacja luk w zgodności z wymaganiami NIS2 | ||||||||||||||||||||||||||
| 7. | Analiza wymagań ISO/IEC 27001dla zadanego scenariusza organizacyjnego (np. mała firma e-commerce) | ||||||||||||||||||||||||||
| 8. | Analiza wymagań ISO/IEC 27001dla zadanego scenariusza organizacyjnego (np. mała firma e-commerce) | ||||||||||||||||||||||||||
| 9. | Dobór kontroli ISO 27002 - dla zadanego scenariusza organizacyjnego (np. mała firma e-commerce) | ||||||||||||||||||||||||||
| 10. | Przygotowanie uproszczonej Polityki Bezpieczeństwa Informacji - struktura, treść, proces aktualizacji: struktura i dwa wybrane obszary, np. polityka zarządzania poprawkami, polityka zarządzania hasłami | ||||||||||||||||||||||||||
| 11. | Przygotowanie uproszczonej Polityki Bezpieczeństwa Informacji - struktura, treść, proces aktualizacji: struktura i dwa wybrane obszary, np. polityka zarządzania poprawkami, polityka zarządzania hasłami | ||||||||||||||||||||||||||
| 12. | Analiza przypadku compliance w sektorze finansowym (DORA) - identyfikacja wymagań, plan dostosowania | ||||||||||||||||||||||||||
| 13. | Warsztaty GRC - identyfikacja wymagań regulacyjnych dla wybranej organizacji, mapa zgodności z regulacjami | ||||||||||||||||||||||||||
| 14. | Analiza odpowiedzialności prawnej - scenariusz: administrator systemu, analityk SOC, tester penetracyjny - granice odpowiedzialności prawnej | ||||||||||||||||||||||||||
| 15. | Dokończenie niezrealizowanych zadań, wystawienie ocen | ||||||||||||||||||||||||||
| Metody dydaktyczne (realizacja stacjonarna) |
|||||||||||||||||||||||||||
| W | wykład informacyjny, wykład problemowy, wykład z prezentacją multimedialną | ||||||||||||||||||||||||||
| Ć | ćwiczenia przedmiotowe | ||||||||||||||||||||||||||
| Metody dydaktyczne (realizacja zdalna) |
|||||||||||||||||||||||||||
| W | wykład informacyjny, wykład problemowy, wykład z prezentacją multimedialną | ||||||||||||||||||||||||||
| - | |||||||||||||||||||||||||||
| Forma zaliczenia | |||||||||||||||||||||||||||
| W | zaliczenie pisemne | ||||||||||||||||||||||||||
| Ć | ocena sprawozdań z wykonanych zadań | ||||||||||||||||||||||||||
| Warunki zaliczenia | |||||||||||||||||||||||||||
| W | Uzyskanie min. 30% punktów z każdego efektu z zakresu wiedzy, a po spełnieniu tego warunku ostateczna ocena wynika z sumy uzyskanych punktów. Kryteria oceny: [ 0 – 50]% punktów – 2.0 (50 – 60]% punktów – 3.0 (60 – 70]% punktów – 3.5 (70 – 80]% punktów – 4.0 (80 – 90]% punktów – 4.5 (90 – 100]% punktów – 5.0 |
||||||||||||||||||||||||||
| Ć | Uzyskanie min. 30% punktów z każdego E3-E5, a po spełnieniu tego warunku ostateczna ocena wynika z sumy uzyskanych punktów. Kryteria oceny: [ 0 – 50]% punktów – 2.0 (50 – 60]% punktów – 3.0 (60 – 70]% punktów – 3.5 (70 – 80]% punktów – 4.0 (80 – 90]% punktów – 4.5 (90 – 100]% punktów – 5.0 |
||||||||||||||||||||||||||
| Symbol efektu | Zakładane efekty uczenia się | Odniesienie do efektów uczenia się zdefiniowanych dla kierunku studiów | |||||||||||||||||||||||||
| Wiedza | Umiejętności | Kompetencje społeczne |
|||||||||||||||||||||||||
| Wiedza: student zna i rozumie | |||||||||||||||||||||||||||
| E1 | kluczowe pojęcia i podstawowy zakres regulacji prawnych z zakresu cyberbezpieczeństwa obowiązujących w UE i Polsce (RODO, NIS2, DORA, KSC, EU Cybersecurity Act) | ||||||||||||||||||||||||||
| E2 | normy i frameworki zarządzania bezpieczeństwem informacji (ISO/IEC 27001, NIST CSF, CIS Controls) oraz zasady podejścia GRC jako metodykę łączącą governance, zarządzanie ryzykiem i compliance | ||||||||||||||||||||||||||
| Umiejętności: student potrafi | |||||||||||||||||||||||||||
| E3 | identyfikować wymagania compliance wobec organizacji wynikające z kluczowych regulacji prawnych (RODO, NIS2, ISO 27001) oraz uczestniczyć w procesie analizy luk zgodności | ||||||||||||||||||||||||||
| E4 | przygotowywać podstawową dokumentację bezpieczeństwa, w tym: uproszczone DPIA, arkusz oceny ryzyka z doborem kontroli ISO 27001/ ISO 27002 | ||||||||||||||||||||||||||
| Kompetencje społeczne: student jest gotów do | |||||||||||||||||||||||||||
| E5 | współpracy z interesariuszami organizacyjnymi, prawnymi i technicznymi w procesach zarządzania zgodnością z wymaganiami cyberbezpieczeństwa | ||||||||||||||||||||||||||
| Symbol efektu | Sposób weryfikacji efektu uczenia się | Forma zajęć na której zachodzi weryfikacja | |||||||||||||||||||||||||
| E1 | zaliczenie pisemne | W | |||||||||||||||||||||||||
| E2 | zaliczenie pisemne | W | |||||||||||||||||||||||||
| E3 | ocena sprawozdań z wykonanych zadań | Ć | |||||||||||||||||||||||||
| E4 | ocena sprawozdań z wykonanych zadań | Ć | |||||||||||||||||||||||||
| E5 | ocena sprawozdań z wykonanych zadań | Ć | |||||||||||||||||||||||||
| Literatura podstawowa | |||||||||||||||||||||||||||
| 1. | Banasiński C. (red.), Cyberbezpieczeństwo. Zarys wykładu, wyd. 2, Wolters Kluwer Polska, Warszawa, ISBN 978-83-8328-821-5, 2023 | ||||||||||||||||||||||||||
| 2. | Bielak-Jomaa E., Lubasz D. (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, Warszawa, ISBN 978-83-8124-014-7, 2018 | ||||||||||||||||||||||||||
| 3. | Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.Urz. UE L 119, s. 1, z 4.05.2016 r. | ||||||||||||||||||||||||||
| 4. | Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2), Dz.Urz. UE L 333, s. 80, z 27.12.2022 r. | ||||||||||||||||||||||||||
| 5. | PN-EN ISO/IEC 27001:2023-08, Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności - Systemy zarządzania bezpieczeństwem informacji - Wymagania, Polski Komitet Normalizacyjny, Warszawa, 2023 | ||||||||||||||||||||||||||
| Literatura uzupełniająca | |||||||||||||||||||||||||||
| 1. | Chomiczewski W., Lubasz D. i in., Ochrona danych osobowych. Poradnik praktyczny, Wolters Kluwer Polska, Warszawa, ISBN 978-83-8328-808-6, 2023 | ||||||||||||||||||||||||||
| 2. | Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), Dz.Urz. UE L 333, s. 1, z 27.12.2022 r. | ||||||||||||||||||||||||||
| 3. | Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, Dz.U. 2018 poz. 1560 ze zm. | ||||||||||||||||||||||||||
| 4. | National Institute of Standards and Technology, The NIST Cybersecurity Framework (CSF) 2.0, NIST SP 800-1 (NIST SP), National Institute of Standards and Technology, Gaithersburg, DOI: 10.6028/NIST.CSWP.29, [dostępn online]: nist.gov/cyberframework, 2024 | ||||||||||||||||||||||||||
| 5. | Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji (akt o sztucznej inteligencji - AI Act), Dz.Urz. UE L, z 12.07.2024 r. | ||||||||||||||||||||||||||
| Koordynator przedmiotu: | dr inż. Paweł Tadejko | Data: | 08/04/2026 | ||||||||||||||||||||||||