norppa.io
Przewodniki

Przewodnik NIS2 · 9 min

RODO a NIS2: pokrywanie się, różnice i kiedy jeden incydent uruchamia oba

RODO i NIS2 oba dotykają bezpieczeństwa i oba wiążą się z wysokimi karami, więc są mylone, ale chronią różne rzeczy i odpowiadają przed różnymi organami. Ryzyko nie polega na wyborze niewłaściwego; polega na przeoczeniu, że jeden incydent może uruchomić oba, według różnych terminów. Ten przewodnik wytycza granicę, pokazuje pokrywanie się, wyjaśnia wzajemne oddziaływanie (współpraca i brak podwójnej kary) i daje prostą odpowiedź zespołom obsługującym klientów objętych oboma.

Najważniejsze punkty

  • RODO chroni dane osobowe i dotyczy niemal każdej organizacji; NIS2 chroni cyberodporność i dotyczy tylko wyznaczonych podmiotów kluczowych i ważnych.
  • Jeden incydent może wymagać dwóch zgłoszeń: 72-godzinnego zgłoszenia naruszenia danych osobowych do organu nadzorczego (RODO art. 33) oraz raportu do CSIRT w trybie 24h/72h/miesiąc (NIS2 art. 23).
  • Są zaprojektowane tak, by się zazębiać: organy współpracują (NIS2 art. 35) i nie karze się dwukrotnie za to samo postępowanie, ale i tak oceniasz i zgłaszasz według każdego tam, gdzie ma zastosowanie.

Co reguluje każde z nich

RODO i NIS2 to oba akty UE dotykające bezpieczeństwa i bywają mylone, ale chronią różne rzeczy. RODO chroni dane osobowe; NIS2 chroni ciągłość i bezpieczeństwo usług kluczowych. Organizacja może z łatwością podlegać obu naraz.

Najczystsze rozróżnienie: RODO pyta „czy chronisz dane osobowe ludzi?” i dotyczy niemal każdej organizacji, która je przetwarza. NIS2 pyta „czy Twoja organizacja jest odporna operacyjnie i cybernetycznie?” i dotyczy tylko wyznaczonych podmiotów kluczowych i ważnych w określonych sektorach.

RODO: dane osobowe, niemal wszyscy

Rozporządzenie (UE) 2016/679, stosowane od 2018 r. Reguluje przetwarzanie danych osobowych przez administratorów i podmioty przetwarzające: podstawa prawna, prawa osób, których dane dotyczą, oraz bezpieczeństwo przetwarzania (art. 32). Egzekwowane przez organy ochrony danych.

NIS2: cyberbezpieczeństwo, wyznaczone podmioty

Dyrektywa (UE) 2022/2555, transponowana do prawa krajowego (termin 17 października 2024 r.). Reguluje zarządzanie ryzykiem cyberbezpieczeństwa (art. 21) i zgłaszanie incydentów (art. 23) dla podmiotów kluczowych i ważnych. Egzekwowana przez krajowe organy cyberbezpieczeństwa i CSIRT.

Pułapka: jeden incydent, dwa zgłoszenia

Jedno naruszenie może uruchomić oba reżimy: do różnych organów, według różnych terminów. Znaj oba:

RODO art. 33

Jeśli incydent bezpieczeństwa dotyczy danych osobowych, zgłoś go organowi nadzorczemu bez zbędnej zwłoki i, o ile to wykonalne, w ciągu 72 godzin od stwierdzenia: chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw i wolności osób.

NIS2 art. 23

Jeśli to incydent istotny, wyślij do swojego CSIRT wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie w ciągu 72 godzin i raport końcowy w ciągu miesiąca.

Oba naraz

Atak ransomware szyfrujący dane osobowe jest jednocześnie istotnym incydentem NIS2 i naruszeniem danych osobowych RODO: dwa zgłoszenia, dwa organy, dwa terminy.

Gdzie się pokrywają

Wdroż jeden dobrze, a części drugiego wynikają. Oba wymagają:

  • Bezpieczeństwo przetwarzania / środki zarządzania ryzykiem: proporcjonalne kontrole techniczne i organizacyjne.
  • Zgłoszenie incydentu lub naruszenia w określonych terminach, z dokumentacją tego, co się stało i jak zareagowano.
  • Odpowiedzialność: kierownictwo musi ją przejąć, a oba reżimy wiążą się ze znaczącymi karami administracyjnymi.
  • Rejestry i dowody: musisz móc wykazać, a nie tylko twierdzić, że kontrole istnieją i działają.
  • Zapewnienie wobec stron trzecich: RODO poprzez umowy powierzenia (art. 28), NIS2 poprzez bezpieczeństwo łańcucha dostaw (art. 21 ust. 2 lit. d).

Kluczowe oddziaływanie: współpraca i brak podwójnej kary

NIS2 napisano tak, by zazębiał się z RODO, a nie je powielał. Zgodnie z art. 35 NIS2, gdy organ cyberbezpieczeństwa dowie się, że incydent u podmiotu może obejmować naruszenie danych osobowych podlegające zgłoszeniu na podstawie art. 33 RODO, musi bez zbędnej zwłoki poinformować organ ochrony danych. Oba organy współpracują i wymieniają informacje.

Co kluczowe: nie karze się dwukrotnie za to samo postępowanie. Gdy organ ochrony danych nałoży karę na podstawie RODO za naruszenie, organ NIS2 nie może dodatkowo nałożyć kary NIS2 (art. 34) wynikającej z tego samego postępowania. Ale to ochrona przed podwójną karą za jeden czyn: nie łączy obu obowiązków. Nadal oceniasz, dokumentujesz i zgłaszasz według każdego reżimu tam, gdzie ma zastosowanie.

To, które obowiązki mają zastosowanie, zależy od stanu faktycznego, czy w grę wchodziły dane osobowe i czy jesteś podmiotem kluczowym lub ważnym? Potwierdź szczegóły u swojego organu ochrony danych, krajowego organu cyberbezpieczeństwa i u wykwalifikowanego doradcy.

Który dotyczy Ciebie?

Większość organizacji odpowiada przed jednym; wiele przed oboma:

Przetwarzasz dane osobowe, ale nie jesteś podmiotem kluczowym/ważnym

RODO ma zastosowanie; NIS2 nie stosuje się bezpośrednio: choć należyta staranność klienta objętego NIS2 wobec łańcucha dostaw może i tak sięgnąć Cię poprzez umowy.

Jesteś podmiotem kluczowym/ważnym przetwarzającym niewiele danych osobowych

NIS2 stosuje się w pełni; RODO stosuje się do danych osobowych, które przetwarzasz (pracownicy, klienci).

Podlegasz obu (typowy przypadek)

Prowadź jeden proces reagowania na incydenty spełniający oba terminy: organ ochrony danych w ciągu 72 h dla naruszeń danych, CSIRT w trybie 24h/72h/miesiąc dla incydentów istotnych.

Jesteś dostawcą lub podmiotem przetwarzającym

Spodziewaj się zarówno klauzul powierzenia RODO (art. 28), jak i kontroli łańcucha dostaw NIS2 (art. 21 ust. 2 lit. d) ze strony klientów: kwestionariuszy, żądań dowodów i ciągłego monitorowania.

Źródła: Rozporządzenie (UE) 2016/679 (RODO) oraz dyrektywa (UE) 2022/2555 (NIS2), w szczególności art. 35 o oddziaływaniu z RODO. Potwierdź, jak oba mają zastosowanie do Twojej sytuacji, u swojego organu ochrony danych i krajowego organu cyberbezpieczeństwa.

Jak pomaga norppa.io

Oba reżimy oczekują teraz ciągłego, popartego dowodami zapewnienia wobec Twoich dostawców i podmiotów przetwarzających: RODO poprzez nadzór nad podmiotami przetwarzającymi (art. 28), NIS2 poprzez bezpieczeństwo łańcucha dostaw (art. 21 ust. 2 lit. d). norppa.io monitoruje każdą domenę dostawcy w ponad stu punktach kontrolnych codziennie, a każde ustalenie jest zmapowane na właściwy artykuł NIS2 i eksportowalne do Twoich rejestrów.

Kwestionariusze samooceny ujmują kontrole umowne i procesowe, których ani organ ochrony danych, ani audytor cyberbezpieczeństwa nie widzą z zewnątrz, a każda odpowiedź jest zestawiana z technicznym profilem na żywo: tak że niezależnie od tego, czy pytanie pada z perspektywy ochrony danych czy NIS2, możesz pokazać aktualne, potwierdzone dowody zamiast twierdzeń.

Jedno źródło dowodów o dostawcach dla obu reżimów

Zobacz przykładowy raport dostawcy (ustalenia, mapowanie na artykuły i dowody) w około dwie minuty.

Zobacz przykładowy raport
Zobacz przykładowy pulpit

Powiązane przewodniki

Jak spełnić NIS2: mapa drogowa krok po kroku

Kroki do zgodności z NIS2 po kolei: potwierdzenie zakresu, rejestracja, odpowiedzialność kierownictwa (art. 20), środki z art. 21 ust. 2, bezpieczeństwo łańcucha dostaw, zgłaszanie incydentów (art. 23) oraz ciągłe, udokumentowane zapewnienie.

Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości

Ustal, czy NIS2 dotyczy Ciebie: dwie kategorie, sektory z załączników I/II, progi wielkości, wyjątki niezależne od wielkości i jak łańcuch dostaw wciąga Cię nawet bez wyznaczenia.

NIS2 i wymóg łańcucha dostaw: co oznacza w praktyce

NIS2 zobowiązuje podmioty kluczowe i ważne do oceny cyberryzyk w łańcuchu dostaw. Poziomy dostawców, ryzyko czwartej strony, obowiązek zgłoszenia z Art. 23 i na co zwracają uwagę audytorzy.

Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2

Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.

NIS2 Art. 21(2): lista kontrolna bezpieczeństwa dla dostawców

Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.

Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon

O co pytać dostawców zgodnie z art. 21 ust. 2 lit. d), jak punktować odpowiedzi i reagować na luki, dlaczego samoocena wymaga weryfikacji, oraz darmowy szablon.

Zgłaszanie incydentów NIS2: terminy 24 i 72 godzin wyjaśnione

Czym jest istotny incydent, harmonogram z artykułu 23 (wczesne ostrzeżenie 24 h, zgłoszenie 72 h, raport końcowy w miesiąc) i kiedy incydent dostawcy staje się Twoim obowiązkiem.

NIS2 a odpowiedzialność kierownictwa: co muszą wiedzieć zarząd i kadra zarządzająca

Czego NIS2 oczekuje od organu zarządzającego: obowiązki zatwierdzania i nadzoru, osobista odpowiedzialność (art. 20), szkolenia, wskaźniki raportowania do zarządu i kary z art. 34.

ISO 27001 a NIS2: co Twój SZBI już obejmuje, i luki, których nie

Jeśli masz ISO 27001: co przenosi się na NIS2, a co nie (ustawowe zgłaszanie incydentów, odpowiedzialność kierownictwa, rejestracja i ciągłe zapewnienie łańcucha dostaw) oraz jak zamknąć lukę.

NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie

Czym różnią się i pokrywają dwa reżimy UE, dlaczego DORA to lex specialis dla podmiotów finansowych, który dotyczy Ciebie, i co oba oznaczają dla ryzyka stron trzecich.

Unijny akt o cyberodporności (CRA): zakres, harmonogram i co oznacza dla Twojego łańcucha dostaw

Czego wymaga CRA, jego etapowe terminy (obowiązuje od 2024, zgłaszanie wrz 2026, pełna zgodność gru 2027), kogo dotyczy i dlaczego czysty SaaS często nie, jak uzupełnia NIS2 oraz co oznacza dla zakupów i należytej staranności wobec dostawców.

Unijny akt o sztucznej inteligencji: poziomy ryzyka, harmonogram i obowiązki podmiotów stosujących (artykuł 26)

Czego wymaga unijny akt o AI: poziomy ryzyka, etapowe daty (obowiązuje 2024, zakazane luty 2025, GPAI sie 2025, wysokie ryzyko sie 2026), obowiązki podmiotu stosującego z art. 26, jak nakłada się na NIS2 i RODO oraz co oznacza dla zakupów AI.