Przejdz do tresci
Avanet
Data Act: Co zespoły IT muszą wdrożyć teraz

Data Act: Co zespoły IT muszą wdrożyć teraz

Data Act będzie stosowany od 12.09.2025. Rozbija silosy danych, zobowiązuje producentów i operatorów do zapewnienia dostępu do danych oraz głęboko ingeruje w procesy od IoT po chmurę. Najwięcej zyskują ci, którzy wcześnie zharmonizują inwentaryzację danych, interfejsy i kontrole bezpieczeństwa.

Krótki przegląd

  • Stosowanie od 12.09.2025, obowiązki projektowe dla nowych produktów od 12.09.2026.
  • Użytkownicy otrzymują dostęp do danych produktowych i usługowych; przekazywanie danych stronom trzecim jest możliwe na żądanie. Gatekeeperzy są wyłączeni.
  • Zmiana dostawcy chmury i multi-cloud zostają wzmocnione; pojawiają się wymogi dotyczące uczciwych warunków i opłat.
  • Brak samodzielnej podstawy prawnej dla danych osobowych; RODO pozostaje nadrzędne.
  • UE zaleca wzorcowe klauzule umowne; projekty są dostępne, część wersji finalnych jest nadal w toku.

Dlaczego temat jest teraz istotny

Wraz z rozpoczęciem stosowania Data Act w dniu 12.09.2025 kończy się okres przejściowy. Firmy muszą zapewniać dostęp do danych, zabezpieczać go umownie i chronić technicznie. Opóźnienia wpływają nie tylko na compliance, lecz także na modele biznesowe: utrzymanie, usługi posprzedażowe i oferty oparte na danych będą w przyszłości zależeć od przejrzystych, bezpiecznych przepływów danych.

Oprócz Data Act w życie wchodzi Cyber Resilience Act, kolejne rozporządzenie UE, które wprowadza nowe obowiązki dla producentów i ma bezpośredni wpływ na bezpieczne działanie rozwiązań takich jak Sophos Firewall.

Co się zmienia lub co nowego

  • Dostęp do danych: Użytkownicy produktów połączonych z siecią otrzymują dostęp do danych surowych oraz określonych danych przetworzonych, które powstają podczas użytkowania. Na życzenie wymagane jest bezpośrednie udostępnienie stronom trzecim. Gatekeeperzy w rozumieniu DMA są wyłączeni jako odbiorcy.
  • Projektowanie produktów: Od 12.09.2026 produkty połączone z siecią muszą być projektowane tak, aby dane były domyślnie dostępne bezpośrednio.
  • Zmiana dostawcy chmury: Data Act ogranicza efekty lock-in, wspiera multi-cloud i reguluje uczciwe warunki zmiany.
  • Zasady umowne: Umowy licencyjne dotyczące danych między posiadaczem danych a użytkownikiem stają się obowiązkowe. UE publikuje niewiążące klauzule wzorcowe jako wsparcie.

Przegląd techniczny

Pojęcia i role

  • Posiadacz danych: Podmiot mający kontrolę nad dostępem do danych produktowych lub usługowych, często producent albo operator. Posiadaczami danych mogą być również usługodawcy odpowiedzialni za eksploatację. W przyszłości będą musieli ustanowić procesy, które umożliwią użytkownikom dostęp bez opóźnień.
  • Użytkownik: Uprawniony użytkownik produktu lub usługi, w tym przedsiębiorstwo. Obejmuje to także operatorów flot, rolników lub klientów końcowych pracujących z urządzeniami połączonymi z siecią. Użytkownicy otrzymują nie tylko prawo do informacji, lecz bezpośrednie prawo dostępu do swoich danych.
  • Strony trzecie: Odbiorcy danych autoryzowani przez użytkowników, ale nie gatekeeperzy. Stronami trzecimi mogą być partnerzy serwisowi, niezależne warsztaty, instytucje badawcze lub dostawcy oprogramowania. Muszą być podłączani przez bezpieczne interfejsy.

Rodzaje danych

  • Objęte: Dane produktowe i powiązane dane usługowe z użytkowania, w tym dane z czujników, komunikaty statusowe, dane lokalizacyjne i metadane. Uwzględnione są również przetworzone zbiory danych, o ile są przeznaczone do dalszego wykorzystania.
  • Nieobjęte: Dane dotyczące treści, takie jak dokumenty, obrazy lub komunikacja. Pozostają one poza zakresem regulacji.
  • Interfejs z RODO: Powiązanie z osobą jest często możliwe; Data Act nie tworzy własnej podstawy prawnej. Każde udostępnienie musi dodatkowo odbywać się zgodnie z RODO, wraz ze sprawdzeniem podstawy prawnej i ewentualnej zgody.

Interfejsy

  • Preferowany jest dostęp bezpośredni; w przeciwnym razie należy zapewnić standaryzowane udostępnianie, w formacie do odczytu maszynowego i możliwie w czasie rzeczywistym. Dla firm oznacza to przygotowanie API, funkcji eksportu danych oraz jasno udokumentowanych procesów. Monitoring, uwierzytelnianie i weryfikacja uprawnień również należą do architektury interfejsów.

Przewodnik praktyczny

Przygotowanie

  1. Inwentaryzacja danych: Wypisz systemy, produkty, czujniki i schematy danych. Przewiduj możliwość powiązania z osobami i sprawdzaj poziomy agregacji. Należy uwzględnić także zewnętrzne źródła danych, systemy archiwalne i dane kopii zapasowych.
  2. Klasyfikacja: Oddziel dane produktowe i usługowe od danych dotyczących treści. Przypisz związek z RODO i podstawy prawne dla każdego zbioru danych. Dodatkowo utwórz dokumentację kategorii i cykli życia.
  3. Umowy: Przygotuj klauzule licencyjne dotyczące danych dla nowych i istniejących umów; sprawdź projekty MCT i w razie potrzeby je dostosuj. Uzupełniająco opracuj wewnętrzne wytyczne i szkolenia dla osób odpowiedzialnych za umowy.

Wdrożenie

  1. Interfejsy: Ustanów API lub eksport, wdróż AuthN/AuthZ i udokumentuj formaty wyjściowe. Zapewnij również wersjonowanie i środowiska testowe.
  2. Autoryzacja stron trzecich: Ustanów procesy zgody lub weryfikacji uprawnień; na stałe zintegruj sprawdzanie gatekeeperów. Dodatkowo wykorzystuj wzorce dostępu oparte na rolach i tokeny ograniczone czasowo.
  3. Zmiana dostawcy chmury: Zaplanuj ścieżki migracji, transfer danych i mapowanie; zdefiniuj strategie multi-cloud. Uwzględnij migracje testowe i kontrole wydajności.
  4. Ochrona tajemnic przedsiębiorstwa: Oceń filtry dla tajemnic przedsiębiorstwa, minimalizację i pseudonimizację. Sprawdź procedury techniczne, takie jak data masking lub differential privacy.
  5. Zarządzanie zmianą: Udokumentuj i zakomunikuj procesy aktualizacji i zmian w interfejsach.

Walidacja

  • Przypadki testowe: Samoobsługa użytkownika, udostępnianie osobom trzecim, odwołanie, scenariusze błędów. Uwzględnij również przypadki brzegowe i testy obciążeniowe.
  • Logowanie: Dokumentuj wydania danych, odbiorców, czasy i podstawę prawną w sposób umożliwiający audyt. Wdróż przechowywanie odporne na zmiany i regularne raporty.
  • Testy bezpieczeństwa: Testy penetracyjne API, ograniczanie szybkości, wykrywanie anomalii. Rozważ zautomatyzowane skanowanie podatności i programy bug bounty.
  • Kontrole zgodności: Audyty wewnętrzne w celu zapewnienia zgodności z RODO i Data Act.

Wycofanie i monitorowanie

  • Ścieżka wycofania w przypadku błędnych udostępnień. Udokumentuj scenariusze odzyskiwania i reagowania na incydenty.
  • Monitorowanie odpływu danych przez firewall, IDS i SIEM; alerty przy odchyleniach wolumenu lub wzorców. Dodatkowo wdróż dashboardy w czasie rzeczywistym i procesy eskalacji dla zespołów bezpieczeństwa.

Zalecenia i najlepsze praktyki

Zalecane środki

  • Inwentaryzacja i kategoryzacja danych jako krok obowiązkowy.
  • Podejście API-first ze spójnymi schematami.
  • Least privilege i szczegółowy consent.
  • Zautomatyzuj sprawdzanie gatekeeperów.
  • Logowanie i dowody odporne na zmiany.
  • Wcześnie testuj scenariusze multi-cloud switching.

Kompaktowa tabela przyporządkowania

ŚrodekCelUwaga
Inwentaryzacja danychPrzejrzystość i zakresPodstawa do sprawdzenia RODO
Przegląd MCTJasność umownaUżyj projektów UE, dostosuj lokalnie
Limity szybkości APIOchrona przed nadużyciamiPołącz w firewallu i bramie API
Filtr gatekeeperówZgodnośćPorównanie z listami DMA
Reguły korelacji SIEMIdentyfikowalnośćIntegracja z istniejącymi playbookami
Projekt od 2026Odporność na przyszłe wymogiBezpośredni dostęp by design

Wpływ na Sophos i inne platformy

  • Polityka firewalla: Nowe endpointy danych i API administracyjne wymagają reguł, inspekcji TLS po ocenie ryzyka oraz Threat Feeds do wykrywania anomalii. Dodatkowo zaleca się ścisłą segmentację i stosowanie reguł Application Control dla dostępów opartych na API.
  • Zero Trust: Segmentowane strefy i mTLS dla dostępu stron trzecich. Dodatkowo regularna rotacja certyfikatów i integracja z istniejącymi dostawcami tożsamości w celu kontroli szczegółowych uprawnień.
  • SIEM/EDR: Koreluj zdarzenia dotyczące udostępniania danych, zwłaszcza nietypowe wolumeny lub odbiorców. Rozszerzone przypadki użycia powinny również obejmować błędy API, próby uwierzytelnienia i nieautoryzowane zapytania.
  • Chmura: Ustanów kontrole egress i umowne checklisty exit dla scenariuszy zmiany dostawcy. Ponadto uwzględnij planowanie pojemności, zautomatyzowane testy procesów wyjścia oraz polityki klasyfikacji i szyfrowania danych.
  • Backup i archiwizacja: Dane udostępniane na podstawie Data Act powinny być zabezpieczone spójnymi strategiami backupu i archiwizacji. Pozwala to na odzyskiwanie danych przy błędnych udostępnieniach lub nadużyciach.
  • Raportowanie: Zespoły IT powinny tworzyć regularne raporty o odpływie danych i przekazywać je działom compliance oraz kierownictwu. W ten sposób można zapewnić przejrzystość i identyfikowalność.

Często zadawane pytania

Jak odróżnić dane osobowe od nieosobowych?

Sprawdza się kontekst i możliwość powiązania. Dane lokalizacyjne i dane użytkowania często mogą odnosić się do osób. Bez odpowiedniej podstawy prawnej RODO nie należy ich udostępniać.

Czy trzeba dostarczać dane każdej stronie trzeciej?

Tylko na żądanie użytkownika i przy zachowaniu wymogów. Gatekeeperzy są wykluczeni.

Od kiedy bezpośredni dostęp jest obowiązkowy?

Dla nowych produktów i usług wprowadzanych na rynek od 12.09.2026. Do tego czasu musi działać udostępnianie na żądanie.

Czy istnieją klauzule modelowe?

Tak, UE opracowuje niewiążące MCT i cloud SCC; dostępne jest oświadczenie EROD dotyczące projektu.

Jaką rolę odgrywa zmiana chmury?

Data Act wspiera zmianę dostawcy i multi-cloud. Opłaty muszą być uczciwe i niedyskryminujące.

Wniosek

Data Act przenosi kontrolę nad danymi produktowymi i usługowymi w stronę użytkowników oraz otwiera rynki na usługi związane z utrzymaniem, analityką i integracją. Dla zespołów IT oznacza to pracę na trzech frontach: inwentaryzacja danych i kwestie prawne, bezpieczne interfejsy oraz operacyjne monitorowanie. Ponadto powstają nowe obowiązki w obszarach zarządzania compliance, dokumentacji procesów i szkoleń pracowników. Także współpraca z usługami chmurowymi i integracja z istniejącymi architekturami bezpieczeństwa muszą być zaplanowane z wyprzedzeniem. Kto wcześnie standaryzuje, automatyzuje i wdraża zabezpieczenia, zmniejsza nakład pracy i ryzyko, a jednocześnie przygotowuje się na przyszłe zmiany regulacyjne oraz nowe modele biznesowe w środowisku opartym na danych.

Referencje

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.