GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

NIS 2 a RODO – dwa filary bezpieczeństwa cyfrowego w Polsce

Redakcja

Wraz z dynamicznym rozwojem technologii rośnie znaczenie ochrony zarówno danych osobowych, jak i infrastruktury cyfrowej. Dwa kluczowe akty prawne regulujące te obszary w Unii Europejskiej to RODO oraz NIS2. Choć oba dotyczą bezpieczeństwa informacji w szerokim rozumieniu, ich zakres, cele i obowiązki są odmienne. W dalszej części artykułu wyjaśniamy, czym są te regulacje, kogo dotyczą, jak wyglądają incydenty w ich kontekście oraz jakie kroki powinna podjąć organizacja po wystąpieniu incydentu.

Czym jest NIS2?

NIS2 (Network and Information Systems Directive 2) to unijna dyrektywa, której celem jest podniesienie poziomu cyberbezpieczeństwa w państwach członkowskich UE. Stanowi ona odpowiedź na rosnące zagrożenia cybernetyczne i zastępuje wcześniejszą dyrektywę NIS z 2016 roku. NIS2 nakłada nowe, bardziej szczegółowe wymagania dotyczące zarządzania ryzykiem, obsługi incydentów oraz raportowania, obejmując szerszy katalog sektorów i podmiotów[1][2].

W Polsce implementacja NIS2 odbywa się poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Zgodnie z dyrektywą, państwa członkowskie, w tym Polska, miały czas na wdrożenie przepisów do 17 października 2024 r., jednak w przypadku Polski proces legislacyjny wciąż trwa[3].

Czym jest RODO?

RODO to rozporządzenie unijne stosowane od 25 maja 2018 r. Ma ono na celu ujednolicenie zasad przetwarzania danych osobowych na terenie UE. W dużym uproszczeniu, RODO określa, jak administratorzy i podmioty przetwarzające powinny chronić dane osobowe osób fizycznych. Dodatkowo, gwarantuje ono podmiotom danych szereg uprawnień, w tym w zakresie dostępu do danych, ich sprostowania, usunięcia czy złożenia sprzeciwu.

Kogo dotyczą NIS2 i RODO?

Regulacja Zakres podmiotowy Przykłady podmiotów
NIS2 Średnie i duże przedsiębiorstwa oraz wybrane mniejsze firmy z sektorów kluczowych i ważnych (np. energetyka, transport, bankowość, zdrowie, infrastruktura cyfrowa, administracja publiczna, usługi cyfrowe) Duże szpitale, operatorzy energetyczni, banki, firmy IT, urzędy, dostawcy usług chmurowych[5][6]
RODO Co do zasady, każdy podmiot przetwarzający dane osobowe osób fizycznych na terenie UE, niezależnie od wielkości czy branży Przedsiębiorstwa, sklepy internetowe, urzędy, fundacje, szkoły, jednoosobowe działalności gospodarcze[4]

 

NIS2 wprowadza rozróżnienie na podmioty kluczowe (głównie duże firmy i instytucje) oraz podmioty ważne (najczęściej średnie i małe firmy z określonych sektorów). RODO natomiast dotyczy każdego, kto przetwarza dane osobowe – od wielkich korporacji po jednoosobowe firmy.

Incydenty NIS2 a incydenty RODO

Incydenty w rozumieniu NIS2

Za incydent NIS2 uznaje się każde zdarzenie mające lub mogące mieć negatywny wpływ na bezpieczeństwo systemów informacyjnych, np. atak ransomware, awaria systemu, wyciek danych, przerwa w świadczeniu usług[6]. Incydenty dzielą się na zwykłe, poważne i krytyczne – w zależności od skali i skutków.

Incydenty w rozumieniu RODO

RODO definiuje naruszenie ochrony danych osobowych. Jest to naruszenie bezpieczeństwa (incydent) prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Przykładem może być wyciek danych klientów, zgubienie laptopa z danymi czy atak hakerski na bazę danych[4].

Wspólne punkty i różnice

Obsługa incydentów – co robić po incydencie?

Kroki po incydencie według NIS2

  1. Identyfikacja i klasyfikacja incydentu – ustalenie, czy incydent jest poważny lub krytyczny.
  2. Zgłoszenie incydentu – poważne incydenty należy zgłosić do właściwego CSIRT sektorowego:
    • wczesne ostrzeżenie w ciągu 24 godzin,
    • zgłoszenie incydentu w ciągu 72 godzin,
    • sprawozdanie końcowe w ciągu miesiąca od zgłoszenia[6].
  3. Współpraca z CSIRT – przekazanie niezbędnych danych, współdziałanie przy obsłudze incydentu.
  4. Usuwanie podatności i wdrożenie działań naprawczych – eliminacja przyczyn incydentu, przywrócenie normalnego działania.
  5. Informowanie użytkowników – jeśli incydent miał wpływ na świadczenie usług lub bezpieczeństwo użytkowników, należy ich o tym poinformować[6].

Kroki po incydencie według RODO

  1. Ocena naruszenia – czy naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych.
  2. Zgłoszenie naruszenia – do Prezesa UODO w ciągu 72 godzin od stwierdzenia naruszenia.
  3. Poinformowanie osób, których dane dotyczą – jeśli naruszenie powoduje wysokie ryzyko dla ich praw lub wolności.
  4. Podjęcie działań naprawczych – usunięcie skutków naruszenia, wdrożenie środków zapobiegawczych.

Obsługa incydentów – dobre praktyki

Podsumowanie

NIS2 i RODO to dwa uzupełniające się filary bezpieczeństwa cyfrowego. NIS2 koncentruje się na odporności infrastruktury i ciągłości działania kluczowych usług, natomiast RODO chroni prawa osób fizycznych w zakresie ich danych osobowych. Instytucje objęte obiema regulacjami muszą wdrożyć odpowiednie procedury i być gotowe do sprawnej obsługi incydentów, pamiętając o obowiązku zgłoszenia ich do właściwych organów i informowania użytkowników[6][4].

  1. Projekt-ustawy-o-KSC_luty2025.pdf
  2. https://carted.pl/slownik/rodo/
  3. https://www.biznes.gov.pl/pl/portal/005120
  4. https://resilia.pl/blog/dyrektywa-nis2-informacje-co-trzeba-wiedziec/
  5. https://bsjp.pl/pl/article/title;dyrektywa-nis2-w-polsce-zalozenia-i-stan-prac-nad-jej-implementacja/
  6. Projekt-ustawy-o-KSC_luty2025.pdf