Kršenje podataka: CNIL diže uzbunu, a mi se slažemo.
Prije dva tjedna, jedan direktor me nazvao u panici. Jedan od njegovih pružatelja usluga upravo je pretrpio kibernetički napad. Datoteke njegovih klijenata, za koje je mislio da su dobro zaštićene kod "certificiranog" SaaS pružatelja usluga, bile su javno dostupne. Prvo pitanje koje mi je postavio bilo je: "Pa, to je njihov problem, zar ne?" Pa ne. To je i njegov. I upravo je to jedna od ključnih zaključaka iz godišnjeg izvješća koje je objavio... CNIL 18. svibnja: curenje podataka eksplodiraju, a lanac podizvođača je gotovo uvijek u jednadžbi.
6.167 obavijesti o kršenje podataka zabilježeno 2025. godine. Rekordnih 9,5 % više nego 2024. godine, a prvi kvartal 2026. već prati isti trend s 2730 incidenata. Iza ovih brojki stoje milijuni pogođenih Francuza, uzdrmanih poduzeća i jasna poruka Marie-Laure Denis, predsjednice CNIL tamo kibernetička sigurnost stanje države, kao i stanje tvrtki, "daleko je od zadovoljavajućeg".
Ukratko
- Apsolutni rekord kršenja podataka U Francuskoj 2025.: 6.167 obavijesti, +9,5 % tijekom jedne godine, a prvi kvartal 2026. potvrđuje trend.
- THE curenje podataka postaju sve masovniji, s javnom upravom u prvom planu, i vrlo često uključuju pružatelja usluga.
- Evaluacija i ugovorni okvir Podizvođač za GDPR postali su primarna obveza: a DPA Usklađenost, revizije i praćenje su osnova.
- Višefaktorska autentifikacija (MFA) je sada mjera koju CNIL čeka prema zadanim postavkama. Godine 2026., 50 % njegovih kontrola usredotočit će se na kibernetička sigurnost.
- Postupak od obavijest o kršenju testirano, ažuriranje registar aktivnosti obrade i ostvarenje AIPD napraviti svu razliku na veliki dan.
- Usklađenost se ne dokazuje namjerama, već dokumentima: to je to.odgovornost.
Što (zapravo) kaže godišnje izvješće CNIL-a
"Sve masovnija" kršenja
Izvješće ne samo da broji. Ono daje sliku. Oko četrdeset incidenata u 2025. godini utjecalo je na više od milijun ljudi - deset više nego u 2024. Javna uprava prednjači s 19 milijuna prijavljenih incidenata, a slijede zdravstvo, socijalne usluge, te financijske i osiguravajuće djelatnosti. I to nije sve: ova brojka ne uključuje ni kibernetičke napade na softver Weda i Harvest, koji su sami po sebi generirali više od 11 600 obavijesti o korisnicima. Jedan incident uzvodno, tisuće tvrtki nizvodno. To sve govori.
Tri lekcije koje se moraju naučiti
Tamo CNIL Pojavljuju se tri ključna zapažanja koja bi svaki vođa trebao istaknuto istaknuto istaknuti u izvršnom odboru. Prvo: nitko nije pošteđen. Sportski savezi, hotelski lanci, uzajamna osiguravajuća društva, lokalne vlasti, mala i srednja poduzeća, kao i velike korporacije - prijetnja više nema tipičan profil. Drugo: curenje podataka Oni se odnose na sve veće količine. Treće, i tu se tema nadovezuje na naše prethodne članke: ovi incidenti često uključuju pružatelje usluga. Podizvođač za GDPR postala je najizloženija veza.
Metoda napadača postaje uobičajena.
Hakiranje čini polovicu svih prijavljenih incidenata. Iza ove riječi krije se cijeli niz problema: ransomware, phishing, kršenje vjerodajnica, krađa legitimnih korisničkih računa. Uz to, 13 incidenata proizlazi iz pogrešnog primatelja koji je kopiran u e-poruci, 7 iz gubitka hardvera i 7 iz slučajnog objavljivanja. Ukratko, ljudska pogreška ostaje značajan faktor. A tu je i generativna umjetna inteligencija koja, riječima predsjednika CNILSlučaj ANTS, u kojem je 15-godišnji maloljetnik - "ne čudo od djeteta", precizirao je tužitelj - umiješan nakon hakiranja agencije za sigurne dokumente, jeziv je dokaz toga.
Zašto su vaši podizvođači (još uvijek) u središtu problema
Kada pružatelj usluga padne, s njim padaju i njegovi klijenti.
Vratimo se na priču o softveru Weda i Harvest. Bila su to dva kibernetička napada, ali je nadležno tijelo primilo 11 600 obavijesti. Jer svaki put iza izdavača softvera stoje stotine medicinskih ordinacija, stotine savjetnika za upravljanje imovinom, koji su također pogođeni. kontrolor podataka i moraju prijaviti curenje vlastitim kupcima. Upravo je to scenarij podizvođača Mobiusa/Deezera koji CNIL Krajem 2025. izrekla je kaznu od milijun eura - osim što se ovdje trošak multiplicira. Jedan napad, tisuću profesionalnih žrtava, milijuni pogođenih ljudi.
Preliminarna procjena: vaša najbolja (i jedina) zaštita
GDPR ne ostavlja mjesta sumnji: a kontrolor podataka „koristi samo podizvođače koji nude dovoljna jamstva.“ Ova obveza, utvrđena u članku 28. stavku 1., nije pusti san. To je ono što će inspektori tražiti. Konkretno, šaljete li upitnik za evaluaciju svakom pružatelju usluga? Pitate li o njihovoj sigurnosnoj politici, njihovoj registar aktivnosti obrade, njihovo ime DPONjihove certifikate? Jeste li identificirali svoje prijenosi podataka Izvan EU? Ako je odgovor na bilo koje od ovih pitanja "hm", imate svoj prvi operativni prioritet.
Sam ugovor nije dovoljan, niti revizija, ali oboje zajedno, da.
A Ugovor o podugovaranju u skladu s GDPR-om dobro napisano - to jest DPA Ponovno navođenje osam obveznih odredbi članka 28. §3. je početna točka. Ne krajnji cilj. Dugoročno upravljanje je također bitno: godišnje revizije, pregledi sljedećih podizvođača, praćenje tehničke i organizacijske mjere učinkovito primijenjeno. Za strukturiranje ovog pristupa, Viqtor modul za podizvođače centralizira procjene, ugovore, revizije i povijest transakcija u jednom repozitoriju. To je vrsta dokaza koju kontrolor CNIL Volim vidjeti.
Jesu li vaši ugovori s podizvođačima i evaluacije ažurni? Saznajte činjenice od stručnjaka Viqtora
Što vlada radi - i što biste vi trebali učiniti zauzvrat
200 milijuna eura i novi digitalni autoritet
Krajem travnja, premijer Sébastien Lecornu predstavio je svoj plan: 200 milijuna eura za jačanje kibernetička sigurnost države, spajanje međuministarske uprave za digitalne poslove i uprave za javnu transformaciju kako bi se stvorilo digitalno tijelo pri uredu premijera. Nakon toga,ANSSI objavila je nove smjernice za ministarstva: svako mora imenovati savjetnika kibernetička sigurnostTo nije beznačajno. Kada se država reorganizira na ovoj razini, to znači da smatra da kuća gori. Međutim, u lancu, vladini odjeli mnogo toga prepuštaju vanjskim suradnicima - i svaki pružatelj usluga je potencijalna točka ulaska.
Višefaktorska autentifikacija: mjera koja je mogla spriječiti mnoge tragedije
Tamo CNIL snažno naglašava jednostavnu poruku: većina nedavnih velikih napada mogla se izbjeći s višefaktorska autentifikacija ispravno raspoređeno. MFAUpravo taj dvostruki faktor čini velik dio tehnika neučinkovitim. popunjavanje vjerodajnica i krađa identitetaTijelo je objavilo svoju preporuku već u ožujku 2025., dajući organizacijama vremena za prilagodbu, a sada najavljuje ciljane kontrole. U 2026. godini, 50% provedbenih mjera usredotočit će se na kibernetička sigurnost, u usporedbi s četvrtinom do trećinom u 2025. Za baze koje sadrže više od milijun ljudi, provjere će biti prioritet.
Neki konkretni projekti bit će pokrenuti ovog tjedna
Bez preopterećenja timova, postoji nekoliko radnji koje se mogu brzo poduzeti i koje mogu napraviti stvarnu razliku u slučaju incidenta. Evo što preporučujem svojim klijentima na rukovodećim pozicijama kada me pitaju odakle početi.
- Aktivirajte MFA na svim privilegiranim računima i na pristupu alatima koji sadrže osobni podaci.
- Ažurirajte popis podizvođača i provjerite ima li svaki od njih DPA potpisani i identificirati one koji provode prijenosi podataka izvan EU.
- Testirajte svoj postupak obavijest o kršenju Tko koga obavještava? Možete li pratiti slijed događaja do... CNIL unutar zakonskog roka od 72 sata ?
- Dokumentiranje AIPD (analiza utjecaja) za vaše visokorizične tretmane - to je druga stvar koju CNIL sustavne provjere.
- Još jednom brzo pogledajte svoje registar aktivnosti obrade Rijetko je toliko ažurno koliko bi se moglo pomisliti.
A što se događa nakon curenja? Upravljanje incidentima, gdje sve ovisi.
Prvih 72 sata odlučuje o ostatku
Kada vas davatelj usluga upozori, imate 72 sata obavijestiti CNIL ako curenje podataka predstavlja rizik za ljude. Ne tri tjedna. Nedovoljno vremena za sazivanje upravljačkog odbora. Postupak mora biti spreman, napisan, testiran i spreman za aktiviranje u nedjelju navečer. Naša stranica posvećena izjava o povredi podataka detaljno opisuje korake kako bi se izbjeglo ponavljanje unatrag.
Obavještavanje onih koji su uključeni, trenutak istine
Ako kršenje predstavlja visok rizik za prava i slobode pojedinaca, GDPR također zahtijeva da svaki pojedinac bude izravno obaviješten. Često je u tom trenutku krizna komunikacija prednost pred pravnim postupkom. Ako se loše upravlja, povjerenje se urušava - Marie-Laure Denis čak govori o "eroziji veze povjerenja između države i njezinih građana" u vezi s curenjem vladinih informacija. Za privatnu tvrtku to znači da klijent odlazi, a odvjetnik dolazi.
Sankcija i što ona govori o zrelosti organizacije
Tamo CNIL Ne kažnjava sam čin bijega; kažnjava propuste koji su ga omogućili ili pogoršali. Odsutnostvišefaktorska autentifikacijanepotpuni registar, generički ugovori o podugovaranju, kasna obavijest, odgovornost nepostojeći. Ovdje se gradi obrana - ili osuda. Kako bi cijela ova struktura bila pouzdana, naša Potpuni vodič za revizije usklađenosti s GDPR-om opisuje metodologiju koju koriste naši konzultanti.
Često postavljana pitanja
Jesam li odgovoran/na? Moj davatelj usluga pretrpio je povredu podataka.
Ukoliko kontrolor podatakaDa, i dalje ste pravno odgovorni za obradu podataka, čak i ako curenje podataka potječe od vašeg podizvođača. Morate analizirati rizik i obavijestiti CNIL ako je potrebno u 72 satai, gdje je to primjereno, obavijestiti dotične osobe. Vaš ugovor o podugovaranju GDPR morate planirati kako će vas pružatelj usluga obavještavati i surađivati.
Je li višefaktorska autentifikacija obavezna?
To nije izričito navedeno u GDPR-u, ali CNIL smatra to očekivanom tehničkom mjerom za bilo kakav pristup osobni podaci osjetljive ili velikih razmjera. Njegova preporuka iz ožujka 2025. je eksplicitna, a revizije iz 2026. prvenstveno će biti usmjerene na organizacije koje je nisu implementirale. Ukratko: više nije opcionalna.
Koji je rok za obavještavanje CNIL-a o povredi podataka?
72 sata od trenutka prijave incidenta, osim ako je malo vjerojatno da će kršenje predstavljati rizik za prava i slobode pojedinaca. Nakon ove točke, zakašnjela obavijest mora biti opravdana. Prijava se podnosi putem online usluge CNIL i mora opisati prirodu povrede, kategorije uključenih podataka i poduzete mjere.
Koje su prve akcije koje treba provesti za malo i srednje poduzeće?
Mapirajte tretmane i vodite evidenciju registar aktivnosti obrade biti u tijeku, identificirati i pravilno ugovoriti svakog podizvođača putem DPArasporediti MFAnapišite postupak za obavijest o kršenjui odrediti referenta ili DPOOvih pet gradilišta pokrivaju bitne kontrolne točke. CNIL.
Koja je svrha Procjene utjecaja na zaštitu podataka (DPIA) i kada je treba provesti?
L'AIPD (analiza utjecajaProcjena rizika je obvezna za aktivnosti obrade koje predstavljaju visok rizik za prava i slobode: nadzor velikih razmjera, osjetljivi podaci, automatizirano profiliranje itd. Ona dokumentira rizike, mjere za njihovo ublažavanje i pokazuje vaš pristup upravljanju rizicima.odgovornostOvo je jedan od prvih dokumenata koji je CNIL zahtjev u slučaju inspekcije.
Želite li ove lekcije pretvoriti u konkretan akcijski plan?
Za više informacija pronađite sve naše resurse na upravljanje podacima i usklađenost s GDPR-om Viqtor platforma.