Wstęp
17 października 2024 r. minął termin wdrożenia przez Polskę dyrektywy NIS 2 (Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wspólnego poziomu cyberbezpieczeństwa na terytorium Unii – Network and Information Systems Directive 2). Cel implementacji wspólnotowych przepisów to podniesienie poziomu bezpieczeństwa infrastruktury informatycznej, podyktowane przede wszystkim rozwojem cyfryzacji, a co za tym idzie potrzeba zbudowania odporności na coraz szerzej oddziałującą cyberprzestępczość.
21 października 2025 r. Rada Ministrów przyjęła projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, którego zapisy stanowią implementację regulacji dyrektywy NIS 2 do polskiego porządku prawnego.
Ogólne założenia Dyrektywy NIS 2 były już omawiane na naszym blogu. Dzisiaj chcemy skupić na odpowiedzi na pytanie o punkty wspólne pomiędzy RODO a NIS 2.
NIS 2 – najważniejsze aspekty
W Dyrektywie wprowadzony został podział na podmioty kluczowe i podmioty ważne. W związku z tym najważniejsze zmiany będą dotyczyły takich aspektów, jak:
- zastosowanie odpowiednich środków technicznych, operacyjnych i organizacyjnych w celu skutecznego zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych,
- odpowiedzialność kierownika podmiotu za realizację zadań z zakresu cyberbezpieczeństwa,
- usprawnienie zgłoszenia incydentów – przy wykorzystaniu systemu S46, bezpośrednio do odpowiednich zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT).
Podmioty kluczowe i ważne będą musiały stosować odpowiednio dobrane do swojej wielkości środki organizacyjne i techniczne, wykonać audyt procesów i stosowanych procedur wewnętrznych, a także przeszkolić pracowników. W ten sposób zbudują system zarządzania bezpieczeństwem informacji, w ramach którego:
- będą regularnie oceniać ryzyko wystąpienia incydentów,
- zaimplementują środki organizacyjne i techniczne odpowiednie do poziomu ryzyka,
- będą gromadzić informacje o cyberzagrożeniach i podatnościach systemów używanych do świadczenia usług,
- będą odpowiednio zarządzały incydentami,
- zastosują środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemów.
W ramach dyrektywy NIS 2 każdy z podmiotów zobowiązanych do jej wdrożenia będzie samodzielnie przeprowadzał analizę ryzyka. Na jej podstawie będzie dobierał zabezpieczenia, uwzględniając ich charakter i skalę działania organizacji. Takie podejście oparte na analizie ryzyka pozwoli na zachowanie elastyczności oraz usprawnienie procesu wprowadzania nowych zabezpieczeń [1].
rozliczalności. Prawidłowo prowadzony i aktualizowany RCP będzie bowiem stanowił dowód na to, że administrator wie, jakie dane osobowe przetwarza, w jakim celu i na jakiej podstawie.
[1] Nowe przepisy wzmocnią ochronę przed cyberzagrożeniami, artykuł dostępny na stronie WWW: https://www.gov.pl/web/baza-wiedzy/nowe-przepisy-wzmocnia-ochrone-przed-cyberzagrozeniami, odczyt: 29.12.2025.
RODO a NIS 2 – punkty wspólne
Wdrożenie dyrektywy NIS 2 to położenie nacisku na zapewnienia bezpieczeństwa danych w szerszym znaczeniu, niż tylko dane osobowe. Zwróćmy jednak uwagę na fakt, że proces zapewnienia cyberbezpieczeństwa organizacji oraz ochrona danych osobowych będą miały punkty wspólne, w tym m.in.:
- inwentaryzację obszarów przetwarzania informacji w systemach informatycznych oraz ich otoczenia – w RODO ważne jest zidentyfikowanie aktywów, w których przetwarzane są dane osobowe (programy i zasoby),
- podejście oparte na analizie ryzyka, dobieranie odpowiednich środków organizacyjnych i technicznych, jak chociażby ważny z punktu widzenia RODO środek organizacyjny – zarządzenie uprawnieniami, zarządzanie upoważnieniami do przetwarzania danych osobowych,
- reagowanie na incydenty – wdrożenie nowych środków, niwelujących poziom ryzyka.
Zapewnienie bezpieczeństwa, zarówno danym osobowym, jak i tym w szerszym znaczeniu należy postrzegać jako złożony proces, którego elementy na siebie oddziałują. Dlatego też przygotowywanie się organizacji do nowych regulacji jest dobrym momentem na wykonanie przeglądów procedur, które zapewniają kontrolę nad dostępem do danych osobowych.