Artykuły eksperckie

Rozwój nowych technologii powoduje, że coraz więcej danych osobowych trafia do sieci. Aby zapobiec niekontrolowanemu wyciekowi informacji, należy zadbać o ich właściwe zabezpieczenie. W tym kontekście szczególnie duże znaczenie mają rozporządzenie RODO oraz dyrektywa NIS2. O czym pamiętać, stosując łącznie te akty prawne?

Czego dowiesz się z tego artykułu:

• RODO i NIS2 to unijne akty prawne, które pozostają ze sobą w ścisłej symbiozie.
• Obowiązków wynikających z NIS2 i RODO nie można ze sobą utożsamiać, nawet jeśli wydają się podobne. Obowiązki wynikające z RODO dotyczą praktycznie każdego podmiotu przetwarzającego dane osobowe. Obowiązku wynikające z NIS2 dotyczą tylko podmiotów kluczowych z punktu widzenia cyberbezpieczeństwa dokładnie wskazanych z samym akcie prawnym.
• Należy regularnie przeprowadzać audyty NIS2 i RODO, aby organizacja nie pozostawała w tyle za obowiązującymi regulacjami.

Jakie zagadnienia reguluje NIS2?

Dyrektywa NIS2 wprowadza ujednolicone standardy dotyczące cyberbezpieczeństwa dla wielu podmiotów świadczących usługi w branżach wrażliwych. Jej regulacja dotyczy m.in. przedsiębiorców operujących w sektorze:

• energii,
• ciepłownictwa,
• bankowości,
• zdrowia,
• wytwarzania żywności,
• usług cyfrowych.

Dyrektywa NIS2 oraz polski projekt ustawy wdrożeniowej opierają swój zakres na podziale na podmioty kluczowe i podmioty ważne. Zwolnienia z obowiązków są dopuszczalne jedynie w ściśle określonych sytuacjach, np. świadczenia usług wyłącznie na rzecz podmiotów administracji publicznej.

Objęcie zakresem stosowania NIS wiąże się dla firm z obowiązkiem wdrożenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych, a także obsługą incydentów IT. Choć z pozoru może wydawać się, że to niedużo, w praktyce NIS2 obliguje do opracowania i wdrożenia wielu procesów, w tym tych dotyczących analizy ryzyka i bezpieczeństwa systemów informatycznych, ciągłości działania, czy bezpieczeństwa łańcucha dostaw.

Obserwuję coraz wyraźniejszy trend polegający na tym, że wdrożeniem standardów wynikających z NIS2 interesują się także podmioty, które nie wchodzą co prawda w zakres podmiotowy i przedmiotowy z samej dyrektywy jednak działają w branżach, w których bezpieczeństwo cyber jest także ważne i sprawdzane przez kontrahentów. Nawet jeśli dana firma nie jest formalnie „operatorem usług kluczowych” ani „dostawcą usług cyfrowych” w rozumieniu NIS2, jej partnerzy biznesowi mogą już podlegać rygorystycznym wymogom dyrektywy. W efekcie, aby spełnić własne zobowiązania w zakresie cyberbezpieczeństwa, te większe podmioty zaczynają oczekiwać od swoich dostawców i współpracowników wdrożenia podobnych, wysokich standardów. Dla wielu firm wdrożenie standardów NIS2 staje się więc nieformalnym wymogiem rynkowym.

Czego dotyczy RODO?

Z kolei rozporządzenie RODO dotyczy – w pewnym uproszczeniu – wszystkich podmiotów gospodarczych przetwarzających dane osobowe. Zarówno administrator, jak i procesor przyjmują na siebie obowiązki związane z legalnym przetwarzaniem danych.

W świetle przepisów RODO szczególnego znaczenia nabierają zasady ograniczenia celu i minimalizacji danych, integralności, poufności oraz legalności, rzetelności i przejrzystości przetwarzania danych osobowych. Wszystkie one razem pozwalają administratorowi wykazać, że czyni zadość zasadzie rozliczalności, co zwalnia go z odpowiedzialności za ewentualne negatywne skutki przetwarzania względem osób, których dane dotyczą.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

NIS2 x RODO – gdzie krzyżują się te akty prawne?

Równoczesne obowiązywanie NIS2 i RODO rodzi wiele pytań dotyczących wzajemnych relacji tych aktów prawnych. Jednocześnie nie każdy administrator będzie jednocześnie podmiotem ICT, i na odwrót, podległość NIS2 nie zawsze będzie oznaczała, że przedsiębiorca musi stosować przepisy RODO.

Zarówno w jednym, jak i drugim przypadku podmioty muszą dokonać autoidentyfikacji i ustalić, czy podlegają pod obowiązki wskazane w przepisach, przy czym NIS wymaga wpisu do rejestru, zaś RODO nie. O czym w szczególności powinni pamiętać administratorzy danych osobowych, którzy są jednocześnie zobowiązani do dbania o bezpieczeństwo informatyczne?

Wzajemna relacja RODO i NIS2

Ochrona danych osobowych osób, których dane dotyczą, jest priorytetem, który należy uwzględnić na etapie wyboru systemu informatycznego. Dlatego tak ważne jest, aby systemy IT spełniały założenia privacy by design i privacy by default.

Należy pamiętać, że NIS2 działa na zasadzie ,,bez uszczerbku dla RODO”. Oznacza to, że regulacje te uzupełniają się. Co kluczowe, projektowane przepisy uniemożliwiają podwójne karanie finansowe za to samo zachowanie, które naruszałoby jednocześnie obie regulacje.”

Ocena RODO i NIS2 – razem, czy osobno?

Na potrzeby RODO i NIS2 przedsiębiorcy muszą dokonywać różnego rodzaju ocen zgodności swoich działań z przepisami. To może być np. audyt cyberbezpieczeństwa NIS, czy DPIA według RODO. Ważne jest, aby tych audytów i ocen nie utożsamiać ze sobą. Powinny być one opracowywane osobno, choć nie ma przeciwwskazań, aby jedne bazowały na drugich.

Dodatkowo na potrzeby RODO często ewaluacji podlegają zagadnienia związane z IT, więc de facto analiza NIS może się okazać łatwiejsza. Zagwarantowanie bezpieczeństwa danych osobowych wymaga zwykle opracowania szeregu wewnętrznych procedur i polityk, jak:

1. polityka bezpieczeństwa systemu operacyjnego, jego nabywania, rozwoju i testów,
2. plany ciągłości i przywrócenia integralności usługi,
3. polityka dotycząca szyfrowania i anonimizacji danych.

Nie ulega wątpliwości, że każda z tych procedur może okazać się przydatna także w kontekście NIS2. Na uwagę zasługuje fakt, że ustawodawca nie wymaga w przypadku obu aktów prawnych wdrożenia konkretnych rozwiązań technologicznych. Poziom zabezpieczeń zawsze jest relatywizowany do skali i profilu prowadzonej działalności gospodarczej.

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?

Kluczowe różnice między RODO a NIS2

Choć RODO i NIS2 w wielu przypadkach można (a nawet trzeba) stosować razem, między tymi aktami prawnymi występuje wiele różnic, które należy uwzględnić, opracowując model biznesowy i przygotowując dokumentację. Wśród przykładowych odmienności warto wskazać na:

• w przypadku NIS2 proces jest dwuetapowy a termin na zgłoszenie wczesnego ostrzeżenia to 24 godziny, a incydentu 72 godziny, w przypadku RODO 72 godziny,
• organ nadzoru – w przypadku RODO jest to Prezes UODO, dla NIS2 – CSIRT i organy właściwe dla poszczególnych sektorów (np. KNF dla bankowości, Minister Zdrowia dla ochrony zdrowia, Ministerstwo Aktywów Państwowych, Departament Bezpieczeństwa i Zarządzania Kryzysowego dla energii),
• zakres regulacji – dla NIS2 liczy się przede wszystkim wykonywanie określonej usługi, w przypadku RODO regulacja obejmuje całą działalność przedsiębiorcy.

Czy przepisy NIS2 przewidują bezpośrednią odpowiedzialność osoby zarządzającej organizacją za naruszenie zasad cyberbezpieczeństwa?

Tak, i jest to jedna z kluczowych zmian. Polski projekt ustawy wdrażającej NIS2 wprowadza bezpośrednią i osobistą odpowiedzialność ,,kierownika jednostki” (członka zarządu, dyrektora etc.) za zaniedbania w obszarze cyberbezpieczeństwa.

Sankcje są bardzo surowe i mogą obejmować m.in. kary finansowe w wysokości do 2 000 000 zł oraz czasowy zakaz pełnienia funkcji kierowniczych. Co więcej, na kadrę zarządzającą nałożony zostanie obowiązek odbywania regularnych szkoleń z tego zakresu.

RODO i NIS2 – Kancelaria After Legal

Równoległe wdrożenie regulacji dotyczących ochrony danych osobowych oraz cyberbezpieczeństwa to duże wyzwanie, które wymaga nie tylko doskonałej znajomości przepisów, ale też praktyki regulacyjnej. Kancelaria After Legal oferuje kompleksowe wsparcie wszystkim podmiotom działającym w branży nowych technologii. Dla naszych klientów:

• identyfikujemy obowiązki na gruncie RODO/NIS2,
• przeprowadzamy audyt organizacji,
• opracowujemy niezbędną dokumentację,
• regularnie przeprowadzamy badania compliance,
• zapewniamy reprezentację przed organem nadzoru.