Wolters Kluwer Sklep Online

Jesteś już użytkownikiem programów LEX?

NIS 2 a RODO – nowe wymogi dotyczące cyberbezpieczeństwa

20 listopada 2024

Na początku października pojawiła się nowa, mocno zmieniona wersja projektu ustawy nowelizującej przepisy o krajowym systemie cyberbezpieczeństwa. Wdraża ona na gruncie polskiego prawa tzw. dyrektywę NIS 2. Jakie relacje będą zachodzić pomiędzy nowymi regulacjami a RODO? Tego dowiesz się z LEX Ochrona Danych Osobowych.

 

Zgodnie z zapowiedziami Ministerstwa Cyfryzacji, nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) powinna zostać uchwalona w I kwartale 2025 r. Warto dodać, że pierwotny termin na przyjęcie tych regulacji minął 17 października 2024 r. Opóźnienie wynikało w dużej mierze z ogromu uwag do projektu, jakie zgłoszono podczas konsultacji społecznych, a które ostatecznie w większości zostały uwzględnione w najnowszej wersji projektowanych przepisów. Nowe regulacje będą szczególnie ważne dla osób, które są odpowiedzialne za ich wdrożenie, testowanie i monitorowanie, a także dbających o odpowiednią ochronę danych osobowych w ramach wykorzystywanych systemów informatycznych.

 

Relacje między NIS 2 a RODO

Jedno z najczęstszych pytań, jakie zadają sobie administratorzy danych, to - jak się mają przepisy NIS 2 i nowelizowanej UKSC do RODO? Które przepisy mają pierwszeństwo? W przypadku konfliktów dotyczących stosowania obu regulacji, pierwszeństwo mają przepisy o ochronie danych osobowych. Administratorzy zawsze muszą pamiętać o tym, aby przy wdrażaniu środków cyberbezpieczeństwa, w których będą przetwarzane dane osobowe, zadbać o ich właściwą ochronę. Także przy ocenie ryzyka należy pamiętać o tym, że stosowany w danym podmiocie system może być jednocześnie informatycznym zabezpieczeniem, ale także może rodzić ryzyka dla danych osobowych. I chociaż mogą wystąpić te same zagrożenia (związane np. z rozpowszechnianiem się szkodliwego oprogramowania czy atakiem hakerskim), to jednak możemy mieć do czynienia z różnymi kryteriami akceptacji ryzyka z punktu widzenia RODO oraz NIS 2. W przypadku RODO najważniejszą wartością wymagającą ochrony jest bezpieczeństwo danych osobowych osób fizycznych, a w przypadku NIS 2 takie kryteria oceny ryzyka będą inne - w szczególności konieczność świadczenia danej usługi. W związku z tym należy umiejętnie poruszać się po obu regulacjach dokonując oceny ryzyk związanych z występującymi zagrożeniami.

Warto także podkreślić, że podmioty objęte regulacjami NIS 2 mają obowiązek dbać o bezpieczeństwo wszystkich swoich systemów informatycznych wykorzystywanych przy prowadzonej działalności, a nie tylko tych, które dotyczą świadczenia usług kluczowych. Takie podejście na gruncie projektowanych regulacji ma zwiększyć poziom krajowego (a tym samym unijnego) cyberbezpieczeństwa - co stanowi jeden z głównych celów, jakie przyświecają dyrektywie NIS 2, a co wpływa bezpośrednio na bezpieczeństwo przetwarzanych danych osobowych.

 

Analiza ryzyka na gruncie RODO i na gruncie NIS 2 - czy można je łączyć?

Eksperci podkreślają, że pomimo, iż istnieje pokusa, aby oba procesy połączyć, to jednak bezpieczniejsze jest, aby dokonać dwóch odrębnych analiz. Nie oznacza to jednak, że nie mogą one czerpać z siebie nawzajem (np. zbieżne będą informacje o aktywach wspierających procesy czy też informacje o zagrożeniach). W pozostałym zakresie konieczne jest uwzględnienie specyfiki każdej z regulacji przy dokonywaniu analizy ryzyka, jak np. to, że:

  • NIS 2 skupia się na systemach wspierających świadczenie usług (a przy RODO ważne są wszystkie systemy przetwarzające dane osobowe);
  • RODO obejmuje szerszy zakres zagrożeń, nie tylko dotyczące poufności, integralności i dostępności danych, ale także m.in. dotyczące automatycznego podejmowania decyzji.

 

Inne wybrane różnice na gruncie NIS 2 i RODO 

 NIS 2RODO
Czas na zgłoszenie incydentu/naruszenia (w tym tzw. wczesne ostrzeżenie / zgłoszenie wstępne) do właściwego organuZgłoszenie wczesnego ostrzeżenia o incydencie poważnym - do 24 godziny od momentu wykrycia incydentu (zgłoszenie incydentu poważnego - do 72 godziny od momentu wykrycia).Do 72 godzin od momentu stwierdzenia naruszenia (chyba że jest mało prawdopodobne, aby naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych - wtedy zgłoszenia nie dokonuje się).
Organ, do którego zgłasza się incydent / naruszenieWedług właściwości wskazanej w UKSC (CSIRT sektorowy lub właściwy organ).Prezes Urzędu Ochrony Danych Osobowych.
Kluczowy cel przy ocenie ryzykaŚwiadczenie określonej usługi.Ochrona praw lub wolności osób fizycznych.
Podmiot odpowiedzialnyPodmiot sam się identyfikuje czy spełnia kryteria (są pewne wyjątki), składa wniosek o wpis do wykazu podmiotów kluczowych i podmiotów ważnych.ADO i podmiot przetwarzający (którzy sami się identyfikują), brak obowiązku rejestracyjnego (za wyjątkiem zgłoszenia IOD-a).
Odpowiedzialność kierownictwaBezpośrednia odpowiedzialność kierownictwa (wynikająca wprost z przepisów NIS 2/UKSC).Brak bezpośredniej odpowiedzialności kierownictwa.
Wymóg niekaralności osoby wykonującej zadania dotyczące cyberbezpieczeństwa / ochrony danych osobowychWymagana weryfikacja pod kątem niekaralności w zakresie przestępstw przeciwko ochronie informacji.Nie ma obowiązku weryfikacji niekaralności osób zajmujących się ochroną danych osobowych.

 

W realizacji obowiązków związanych z wdrażaniem i stosowaniem NIS 2 w kontekście ochrony danych osobowych pomoże Ci LEX Ochrona Danych Osobowych:

  • z nami przeprowadzisz analizę ryzyka procesów przetwarzania danych wynikających z nowych przepisów - dzięki dostępnemu w LEX ODO narzędziu GDPR Risk Tracker, które krok po kroku przeprowadzi Ciebie przez wszystkie niezbędne etapy analizy ryzyka, a na koniec wygeneruje kompleksowy raport z takiej analizy;
  • poznasz opinie Ekspertów dotyczące nowych przepisów, zasady ich interpretacji i stosowania;
  • zadasz pytanie naszym Ekspertom, a także zamówisz wzór dokumentu z obszaru ochrony danych osobowych.

O najważniejszych zmianach, jakie niesienie ze sobą NIS 2 i projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, dowiesz się z nagrania ze szkolenia online, które poprowadził dr Mirosław Gumularz - radca prawny, specjalista w zakresie nowych technologii, ochrony danych osobowych i cyberbezpieczeństwa.

Podczas szkolenia nasz Ekspert poruszył takie zagadnienia, jak:

  • NIS 2 a RODO – relacje między regulacjami;
  • odpowiedzialność na gruncie NIS 2;
  • podmioty kluczowe i podmioty ważne;
  • rejestr podmiotów ważnych i kluczowych;
  • SZBI;
  • struktury odpowiedzialne za cyberbezpieczeństwo;
  • incydenty;
  • audyt bezpieczeństwa systemu informacyjnego;
  • NIS 2 w podmiotach publicznych.

 

Nagranie znajdziesz w LEX Ochrona Danych Osobowych.

 

Podział majątku wspólnego małżonków

Alicja Plichta

Product Manager

LEX Ochrona Danych Osobowych