Przejdz do tresci
Avanet
Data Act: Co zespoły IT muszą wdrożyć teraz

Data Act: Co zespoły IT muszą wdrożyć teraz

8. SIERPNIA 2025

Data Act stanie się obowiązujący od 12.09.2025. Rozbija silosy danych, zobowiązuje producentów i operatorów do zapewnienia dostępu do danych i głęboko ingeruje w procesy od IoT po chmurę. Zyskujesz, jeśli wcześnie zharmonizujesz inwentaryzację danych, interfejsy i kontrole bezpieczeństwa.

Krótki przegląd

  • Stosowanie od 12.09.2025, obowiązek projektowy dla nowych produktów od 12.09.2026.
  • Użytkownicy otrzymują dostęp do danych o produktach i usługach; przekazywanie osobom trzecim jest możliwe na żądanie. Strażnicy dostępu (Gatekeepers) są wyłączeni.
  • Zmiana chmury i multi-cloud są wzmacniane; wymogi dotyczące uczciwych warunków i opłat.
  • Brak samodzielnej podstawy prawnej dla danych osobowych; RODO pozostaje nadrzędne.
  • UE zaleca modelowe klauzule umowne; projekty są dostępne, wersja ostateczna częściowo w toku.

Dlaczego temat jest teraz istotny

Wraz z rozpoczęciem stosowania Data Act w dniu 12.09.2025 kończy się okres karencji. Firmy muszą zapewniać dostęp do danych, zabezpieczać go umownie i chronić technicznie. Opóźnienia dotyczą nie tylko zgodności, ale także modeli biznesowych: konserwacja, usługi posprzedażowe i oferty oparte na danych będą w przyszłości zależeć od przejrzystych, bezpiecznych przepływów danych.

Oprócz Data Act w życie wchodzi Cyber Resilience Act, kolejne rozporządzenie UE, które wprowadza nowe obowiązki dla producentów i ma bezpośredni wpływ na bezpieczne działanie rozwiązań takich jak Sophos Firewall.

Co się zmienia lub co nowego

  • Dostęp do danych: Użytkownicy produktów podłączonych do sieci otrzymują dostęp do surowych i określonych przetworzonych danych generowanych podczas użytkowania. Na życzenie wymagane jest bezpośrednie udostępnienie osobom trzecim. Strażnicy dostępu zgodnie z DMA są wyłączeni jako odbiorcy.
  • Projektowanie produktów: Od 12.09.2026 produkty podłączone do sieci muszą być zaprojektowane tak, aby dane były domyślnie bezpośrednio dostępne.
  • Zmiana chmury: Data Act zmniejsza efekty blokady (lock-in), promuje multi-cloud i reguluje uczciwe warunki zmiany.
  • Zasady umowne: Umowy licencyjne na dane między posiadaczem danych a użytkownikiem stają się obowiązkowe. UE publikuje niewiążące klauzule modelowe w celu wsparcia.

Przegląd techniczny

Pojęcia i Role

  • Posiadacz danych: Podmiot posiadający uprawnienia dostępu do danych o produktach lub usługach, często producent lub operator. Usługodawcy odpowiedzialni za operacje również mogą być posiadaczami danych. W przyszłości będą musieli ustanowić procesy umożliwiające użytkownikom dostęp bez zwłoki.
  • Użytkownik: Prawny użytkownik produktu lub usługi, w tym firmy. Obejmuje to również operatorów flot, rolników lub klientów końcowych pracujących z urządzeniami podłączonymi do sieci. Użytkownicy otrzymują nie tylko prawo do informacji, ale natychmiastowe prawo dostępu do swoich danych.
  • Strona trzecia: Odbiorcy danych upoważnieni przez użytkowników, ale nie strażnicy dostępu. Stronami trzecimi mogą być partnerzy serwisowi, niezależne warsztaty, instytucje badawcze lub dostawcy oprogramowania. Muszą być zintegrowani za pomocą bezpiecznych interfejsów.

Rodzaje danych

  • Objęte: Dane o produktach i powiązane dane o usługach z użytkowania, w tym dane z czujników, komunikaty o stanie, dane o lokalizacji i metadane. Przetworzone zbiory danych są również uwzględnione, jeśli są przeznaczone do ponownego wykorzystania.
  • Nieobjęte: Dane treści, takie jak dokumenty, obrazy lub komunikacja. Pozostają one poza zakresem.
  • Interfejs RODO: Odniesienie osobowe jest często możliwe; Data Act nie tworzy własnej podstawy prawnej. Każde ujawnienie musi dodatkowo odbywać się zgodnie z RODO, w tym sprawdzenie podstawy prawnej i, w stosownych przypadkach, zgody.

Interfejsy

  • Preferowany dostęp bezpośredni; w przeciwnym razie standaryzowane udostępnianie, odczytywalne maszynowo i najlepiej w czasie rzeczywistym. Dla firm oznacza to ustanowienie API, funkcji eksportu danych i jasnych, udokumentowanych procesów. Monitorowanie, uwierzytelnianie i sprawdzanie uprawnień również należą do architektury interfejsu.

Przewodnik praktyczny

Przygotowanie

  1. Inwentaryzacja danych: Wylistuj systemy, produkty, czujniki i schematy danych. Przewiduj odniesienia osobowe, sprawdzaj poziomy agregacji. Należy również uwzględnić zewnętrzne źródła danych, systemy archiwalne i dane kopii zapasowych.
  2. Klasyfikacja: Oddziel dane o produktach i usługach od danych treści. Przypisz odniesienie RODO i podstawy prawne dla każdego zbioru danych. Dodatkowo utwórz dokumentację kategorii i cykli życia.
  3. Umowy: Przygotuj klauzule licencyjne na dane dla nowych i istniejących umów; sprawdź projekty MCT i w razie potrzeby dostosuj. Uzupełniająco stwórz wewnętrzne wytyczne i szkolenia dla osób odpowiedzialnych za umowy.

Wdrożenie

  1. Interfejsy: Ustanów API lub eksport, wdróż AuthN/AuthZ, udokumentuj formaty wyjściowe. Zapewnij również wersjonowanie i środowiska testowe.
  2. Autoryzacja stron trzecich: Ustanów procesy zgody lub sprawdzania uprawnień; mocno zintegruj sprawdzanie strażników dostępu. Dodatkowo wykorzystuj wzorce dostępu oparte na rolach i tokeny ograniczone czasowo.
  3. Zmiana chmury: Zaplanuj ścieżki zmiany, transfer danych i mapowanie; zdefiniuj strategie multi-cloud. Zaplanuj migracje testowe i kontrole wydajności.
  4. Ochrona tajemnic handlowych: Oceń filtry tajemnic handlowych, minimalizację i pseudonimizację. Sprawdź procedury techniczne, takie jak maskowanie danych lub prywatność różnicowa.
  5. Zarządzanie zmianą: Udokumentuj i zakomunikuj procesy aktualizacji i zmian w interfejsach.

Walidacja

  • Przypadki testowe: Samoobsługa użytkownika, udostępnianie osobom trzecim, odwołanie, scenariusze błędów. Uwzględnij również przypadki brzegowe i testy obciążeniowe.
  • Logowanie: Dokumentuj wyjścia, odbiorców, czasy, podstawę prawną w sposób umożliwiający audyt. Wdróż przechowywanie odporne na audyt i regularne raporty.
  • Testy bezpieczeństwa: Testy penetracyjne API, ograniczanie szybkości, wykrywanie anomalii. Rozważ zautomatyzowane skanowanie podatności i programy bug bounty.
  • Kontrole zgodności: Audyty wewnętrzne w celu zapewnienia zgodności z RODO i Data Act.

Wycofanie i Monitorowanie

  • Ścieżka wycofania w przypadku błędnych udostępnień. Udokumentuj scenariusze odzyskiwania i reagowania na incydenty.
  • Monitorowanie wypływów danych przez zaporę, IDS i SIEM; alerty w przypadku odchyleń objętości lub wzorców. Dodatkowo wdróż pulpity nawigacyjne w czasie rzeczywistym i procesy eskalacji dla zespołów bezpieczeństwa.

Zalecenia i Najlepsze Praktyki

Zalecane środki

  • Inwentaryzacja i kategoryzacja danych jako krok obowiązkowy.
  • Podejście API-first ze spójnymi schematami.
  • Najmniejsze uprawnienia i szczegółowa zgoda.
  • Zautomatyzuj sprawdzanie strażników dostępu.
  • Logowanie i dowody odporne na audyt.
  • Wcześnie testuj zmianę multi-cloud.

Kompaktowa tabela przyporządkowania

Środek Cel Uwaga
Inwentaryzacja danych Przejrzystość i Zakres Podstawa do sprawdzenia RODO
Przegląd MCT Jasność umowna Użyj projektów UE, dostosuj lokalnie
Limity szybkości API Ochrona przed nadużyciami Połącz w zaporze i bramie API
Filtr Gatekeeper Zgodność Porównanie z listami DMA
Reguły korelacji SIEM Śledzenie Integracja z istniejącymi playbookami
Projekt od 2026 Przyszłościowość Bezpośredni dostęp by design

Wpływ na Sophos i inne platformy

  • Polityka zapory: Nowe punkty końcowe danych i API administracyjne wymagają reguł, inspekcji TLS po ocenie ryzyka, Threat Feeds do wykrywania anomalii. Dodatkowo zaleca się ścisłą segmentację i stosowanie reguł kontroli aplikacji dla dostępów opartych na API.
  • Zero Trust: Segmentowane strefy i mTLS dla dostępu stron trzecich. Dodatkowo regularna rotacja certyfikatów i integracja z istniejącymi dostawcami tożsamości w celu kontroli szczegółowych uprawnień.
  • SIEM/EDR: Koreluj zdarzenia dotyczące udostępniania danych, zwłaszcza nietypowe wolumeny lub odbiorców. Rozszerzone przypadki użycia powinny również obejmować błędy API, próby uwierzytelnienia i nieautoryzowane zapytania.
  • Chmura: Ustanów kontrole wyjścia i umowne listy kontrolne wyjścia dla scenariuszy zmiany. Ponadto rozważ planowanie pojemności, zautomatyzowane testy procesów wyjścia oraz polityki klasyfikacji i szyfrowania danych.
  • Kopia zapasowa i Archiwizacja: Dane udostępniane na podstawie Data Act powinny być zabezpieczone spójnymi strategiami tworzenia kopii zapasowych i archiwizacji. Pozwala to na odzyskanie w przypadku błędnych udostępnień lub niewłaściwego użycia.
  • Raportowanie: Zespoły IT powinny tworzyć regularne raporty o wypływach danych i przekazywać je na poziom zgodności i zarządzania. Zapewnia to przejrzystość i śledzenie.

Często zadawane pytania

Jak odróżnić dane osobowe od nieosobowych?

Sprawdza się konteksty i możliwość powiązania. Dane o lokalizacji i użytkowaniu często można powiązać z osobami. Bez odpowiedniej podstawy prawnej RODO brak ujawnienia.

Czy trzeba dostarczać dane każdej stronie trzeciej?

Tylko na żądanie użytkownika i przy zachowaniu wymogów. Strażnicy dostępu są wykluczeni.

Od kiedy bezpośredni dostęp jest obowiązkowy?

Dla nowych produktów i usług wchodzących na rynek od 12.09.2026. Do tego czasu musi działać udostępnianie na żądanie.

Czy istnieją klauzule modelowe?

Tak, UE opracowuje niewiążące MCT i chmurowe SCC; dostępne jest oświadczenie EROD w sprawie projektu.

Jaką rolę odgrywa zmiana chmury?

Act promuje zmianę i multi-cloud. Opłaty muszą być uczciwe i niedyskryminujące.

Wniosek

Data Act przenosi kontrolę nad danymi o produktach i usługach na użytkowników i otwiera rynki na usługi związane z konserwacją, analityką i integracją. Dla zespołów IT oznacza to pracę na trzech frontach: inwentaryzacja danych i prawo, bezpieczne interfejsy oraz operacyjne monitorowanie. Ponadto powstają nowe obowiązki w obszarach zarządzania zgodnością, dokumentacji procesów i szkolenia pracowników. Również interakcja z usługami w chmurze i integracja z istniejącymi architekturami bezpieczeństwa muszą być zaplanowane z wyprzedzeniem. Kto wcześnie standaryzuje, automatyzuje i wdraża zabezpieczenia, zmniejsza nakład pracy i ryzyko, a jednocześnie pozycjonuje się na przyszłe zmiany regulacyjne i nowe modele biznesowe w środowisku opartym na danych.

Referencje

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.