Wraz z dynamicznym rozwojem technologii rośnie znaczenie ochrony zarówno danych osobowych, jak i infrastruktury cyfrowej. Dwa kluczowe akty prawne regulujące te obszary w Unii Europejskiej to RODO oraz NIS2. Choć oba dotyczą bezpieczeństwa informacji w szerokim rozumieniu, ich zakres, cele i obowiązki są odmienne. W dalszej części artykułu wyjaśniamy, czym są te regulacje, kogo dotyczą, jak wyglądają incydenty w ich kontekście oraz jakie kroki powinna podjąć organizacja po wystąpieniu incydentu.
Czym jest NIS2?
NIS2 (Network and Information Systems Directive 2) to unijna dyrektywa, której celem jest podniesienie poziomu cyberbezpieczeństwa w państwach członkowskich UE. Stanowi ona odpowiedź na rosnące zagrożenia cybernetyczne i zastępuje wcześniejszą dyrektywę NIS z 2016 roku. NIS2 nakłada nowe, bardziej szczegółowe wymagania dotyczące zarządzania ryzykiem, obsługi incydentów oraz raportowania, obejmując szerszy katalog sektorów i podmiotów[1][2].
W Polsce implementacja NIS2 odbywa się poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Zgodnie z dyrektywą, państwa członkowskie, w tym Polska, miały czas na wdrożenie przepisów do 17 października 2024 r., jednak w przypadku Polski proces legislacyjny wciąż trwa[3].
Czym jest RODO?
RODO to rozporządzenie unijne stosowane od 25 maja 2018 r. Ma ono na celu ujednolicenie zasad przetwarzania danych osobowych na terenie UE. W dużym uproszczeniu, RODO określa, jak administratorzy i podmioty przetwarzające powinny chronić dane osobowe osób fizycznych. Dodatkowo, gwarantuje ono podmiotom danych szereg uprawnień, w tym w zakresie dostępu do danych, ich sprostowania, usunięcia czy złożenia sprzeciwu.
Kogo dotyczą NIS2 i RODO?
Regulacja | Zakres podmiotowy | Przykłady podmiotów |
NIS2 | Średnie i duże przedsiębiorstwa oraz wybrane mniejsze firmy z sektorów kluczowych i ważnych (np. energetyka, transport, bankowość, zdrowie, infrastruktura cyfrowa, administracja publiczna, usługi cyfrowe) | Duże szpitale, operatorzy energetyczni, banki, firmy IT, urzędy, dostawcy usług chmurowych[5][6] |
RODO | Co do zasady, każdy podmiot przetwarzający dane osobowe osób fizycznych na terenie UE, niezależnie od wielkości czy branży | Przedsiębiorstwa, sklepy internetowe, urzędy, fundacje, szkoły, jednoosobowe działalności gospodarcze[4] |
NIS2 wprowadza rozróżnienie na podmioty kluczowe (głównie duże firmy i instytucje) oraz podmioty ważne (najczęściej średnie i małe firmy z określonych sektorów). RODO natomiast dotyczy każdego, kto przetwarza dane osobowe – od wielkich korporacji po jednoosobowe firmy.
Incydenty NIS2 a incydenty RODO
Incydenty w rozumieniu NIS2
Za incydent NIS2 uznaje się każde zdarzenie mające lub mogące mieć negatywny wpływ na bezpieczeństwo systemów informacyjnych, np. atak ransomware, awaria systemu, wyciek danych, przerwa w świadczeniu usług[6]. Incydenty dzielą się na zwykłe, poważne i krytyczne – w zależności od skali i skutków.
Incydenty w rozumieniu RODO
RODO definiuje naruszenie ochrony danych osobowych. Jest to naruszenie bezpieczeństwa (incydent) prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Przykładem może być wyciek danych klientów, zgubienie laptopa z danymi czy atak hakerski na bazę danych[4].
Wspólne punkty i różnice
- Incydent RODO jest często jednocześnie incydentem NIS2, jeśli dotyczy podmiotu objętego obiema regulacjami (np. szpitala czy banku).
- NIS2 koncentruje się na ciągłości działania i bezpieczeństwie systemów informatycznych, a RODO na ochronie danych osobowych.
- W przypadku incydentu naruszającego zarówno bezpieczeństwo systemów, jak i ochronę danych osobowych, podmiot może być zobowiązany do zgłoszenia go zarówno do CSIRT (w ramach NIS2), jak i do Prezesa Urzędu Ochrony Danych Osobowych (w ramach RODO)[6].
Obsługa incydentów – co robić po incydencie?
Kroki po incydencie według NIS2
- Identyfikacja i klasyfikacja incydentu – ustalenie, czy incydent jest poważny lub krytyczny.
- Zgłoszenie incydentu – poważne incydenty należy zgłosić do właściwego CSIRT sektorowego:
- wczesne ostrzeżenie w ciągu 24 godzin,
- zgłoszenie incydentu w ciągu 72 godzin,
- sprawozdanie końcowe w ciągu miesiąca od zgłoszenia[6].
- Współpraca z CSIRT – przekazanie niezbędnych danych, współdziałanie przy obsłudze incydentu.
- Usuwanie podatności i wdrożenie działań naprawczych – eliminacja przyczyn incydentu, przywrócenie normalnego działania.
- Informowanie użytkowników – jeśli incydent miał wpływ na świadczenie usług lub bezpieczeństwo użytkowników, należy ich o tym poinformować[6].
Kroki po incydencie według RODO
- Ocena naruszenia – czy naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych.
- Zgłoszenie naruszenia – do Prezesa UODO w ciągu 72 godzin od stwierdzenia naruszenia.
- Poinformowanie osób, których dane dotyczą – jeśli naruszenie powoduje wysokie ryzyko dla ich praw lub wolności.
- Podjęcie działań naprawczych – usunięcie skutków naruszenia, wdrożenie środków zapobiegawczych.
Obsługa incydentów – dobre praktyki
- Utrzymuj aktualne procedury i plany reagowania na incydenty.
- Szkol personel z zakresu cyberbezpieczeństwa i ochrony danych osobowych.
- Dokumentuj wszystkie działania podjęte w związku z incydentem.
- Współpracuj z odpowiednimi organami i zespołami reagowania (CSIRT, Prezes UODO).
Podsumowanie
NIS2 i RODO to dwa uzupełniające się filary bezpieczeństwa cyfrowego. NIS2 koncentruje się na odporności infrastruktury i ciągłości działania kluczowych usług, natomiast RODO chroni prawa osób fizycznych w zakresie ich danych osobowych. Instytucje objęte obiema regulacjami muszą wdrożyć odpowiednie procedury i być gotowe do sprawnej obsługi incydentów, pamiętając o obowiązku zgłoszenia ich do właściwych organów i informowania użytkowników[6][4].
⁂
- Projekt-ustawy-o-KSC_luty2025.pdf
- https://carted.pl/slownik/rodo/
- https://www.biznes.gov.pl/pl/portal/005120
- https://resilia.pl/blog/dyrektywa-nis2-informacje-co-trzeba-wiedziec/
- https://bsjp.pl/pl/article/title;dyrektywa-nis2-w-polsce-zalozenia-i-stan-prac-nad-jej-implementacja/
- Projekt-ustawy-o-KSC_luty2025.pdf