NIS 2 a RODO – dwa filary bezpieczeństwa cyfrowego w Polsce

Wraz z dynamicznym rozwojem technologii rośnie znaczenie ochrony zarówno danych osobowych, jak i infrastruktury cyfrowej. Dwa kluczowe akty prawne regulujące te obszary w Unii Europejskiej to RODO oraz NIS2. Choć oba dotyczą bezpieczeństwa informacji w szerokim rozumieniu, ich zakres, cele i obowiązki są odmienne. W dalszej części artykułu wyjaśniamy, czym są te regulacje, kogo dotyczą, jak wyglądają incydenty w ich kontekście oraz jakie kroki powinna podjąć organizacja po wystąpieniu incydentu.

Czym jest NIS2?

NIS2 (Network and Information Systems Directive 2) to unijna dyrektywa, której celem jest podniesienie poziomu cyberbezpieczeństwa w państwach członkowskich UE. Stanowi ona odpowiedź na rosnące zagrożenia cybernetyczne i zastępuje wcześniejszą dyrektywę NIS z 2016 roku. NIS2 nakłada nowe, bardziej szczegółowe wymagania dotyczące zarządzania ryzykiem, obsługi incydentów oraz raportowania, obejmując szerszy katalog sektorów i podmiotów^[1][2].

W Polsce implementacja NIS2 odbywa się poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Zgodnie z dyrektywą, państwa członkowskie, w tym Polska, miały czas na wdrożenie przepisów do 17 października 2024 r., jednak w przypadku Polski proces legislacyjny wciąż trwa^[3].

Czym jest RODO?

RODO to rozporządzenie unijne stosowane od 25 maja 2018 r. Ma ono na celu ujednolicenie zasad przetwarzania danych osobowych na terenie UE. W dużym uproszczeniu, RODO określa, jak administratorzy i podmioty przetwarzające powinny chronić dane osobowe osób fizycznych. Dodatkowo, gwarantuje ono podmiotom danych szereg uprawnień, w tym w zakresie dostępu do danych, ich sprostowania, usunięcia czy złożenia sprzeciwu.

Kogo dotyczą NIS2 i RODO?

NIS2 wprowadza rozróżnienie na podmioty kluczowe (głównie duże firmy i instytucje) oraz podmioty ważne (najczęściej średnie i małe firmy z określonych sektorów). RODO natomiast dotyczy każdego, kto przetwarza dane osobowe – od wielkich korporacji po jednoosobowe firmy.

Incydenty NIS2 a incydenty RODO

Incydenty w rozumieniu NIS2

Za incydent NIS2 uznaje się każde zdarzenie mające lub mogące mieć negatywny wpływ na bezpieczeństwo systemów informacyjnych, np. atak ransomware, awaria systemu, wyciek danych, przerwa w świadczeniu usług^[6]. Incydenty dzielą się na zwykłe, poważne i krytyczne – w zależności od skali i skutków.

Incydenty w rozumieniu RODO

RODO definiuje naruszenie ochrony danych osobowych. Jest to naruszenie bezpieczeństwa (incydent) prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Przykładem może być wyciek danych klientów, zgubienie laptopa z danymi czy atak hakerski na bazę danych^[4].

Wspólne punkty i różnice

• Incydent RODO jest często jednocześnie incydentem NIS2, jeśli dotyczy podmiotu objętego obiema regulacjami (np. szpitala czy banku).
• NIS2 koncentruje się na ciągłości działania i bezpieczeństwie systemów informatycznych, a RODO na ochronie danych osobowych.
• W przypadku incydentu naruszającego zarówno bezpieczeństwo systemów, jak i ochronę danych osobowych, podmiot może być zobowiązany do zgłoszenia go zarówno do CSIRT (w ramach NIS2), jak i do Prezesa Urzędu Ochrony Danych Osobowych (w ramach RODO)^[6].

Obsługa incydentów – co robić po incydencie?

Kroki po incydencie według NIS2

1. Identyfikacja i klasyfikacja incydentu – ustalenie, czy incydent jest poważny lub krytyczny.
2. Zgłoszenie incydentu – poważne incydenty należy zgłosić do właściwego CSIRT sektorowego:
   • wczesne ostrzeżenie w ciągu 24 godzin,
   • zgłoszenie incydentu w ciągu 72 godzin,
   • sprawozdanie końcowe w ciągu miesiąca od zgłoszenia^[6].
3. Współpraca z CSIRT – przekazanie niezbędnych danych, współdziałanie przy obsłudze incydentu.
4. Usuwanie podatności i wdrożenie działań naprawczych – eliminacja przyczyn incydentu, przywrócenie normalnego działania.
5. Informowanie użytkowników – jeśli incydent miał wpływ na świadczenie usług lub bezpieczeństwo użytkowników, należy ich o tym poinformować^[6].

Kroki po incydencie według RODO

1. Ocena naruszenia – czy naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych.
2. Zgłoszenie naruszenia – do Prezesa UODO w ciągu 72 godzin od stwierdzenia naruszenia.
3. Poinformowanie osób, których dane dotyczą – jeśli naruszenie powoduje wysokie ryzyko dla ich praw lub wolności.
4. Podjęcie działań naprawczych – usunięcie skutków naruszenia, wdrożenie środków zapobiegawczych.

Obsługa incydentów – dobre praktyki

• Utrzymuj aktualne procedury i plany reagowania na incydenty.
• Szkol personel z zakresu cyberbezpieczeństwa i ochrony danych osobowych.
• Dokumentuj wszystkie działania podjęte w związku z incydentem.
• Współpracuj z odpowiednimi organami i zespołami reagowania (CSIRT, Prezes UODO).

Podsumowanie

NIS2 i RODO to dwa uzupełniające się filary bezpieczeństwa cyfrowego. NIS2 koncentruje się na odporności infrastruktury i ciągłości działania kluczowych usług, natomiast RODO chroni prawa osób fizycznych w zakresie ich danych osobowych. Instytucje objęte obiema regulacjami muszą wdrożyć odpowiednie procedury i być gotowe do sprawnej obsługi incydentów, pamiętając o obowiązku zgłoszenia ich do właściwych organów i informowania użytkowników^[6][4].

⁂

1. Projekt-ustawy-o-KSC_luty2025.pdf
2. https://carted.pl/slownik/rodo/
3. https://www.biznes.gov.pl/pl/portal/005120
4. https://resilia.pl/blog/dyrektywa-nis2-informacje-co-trzeba-wiedziec/
5. https://bsjp.pl/pl/article/title;dyrektywa-nis2-w-polsce-zalozenia-i-stan-prac-nad-jej-implementacja/
6. Projekt-ustawy-o-KSC_luty2025.pdf