+48 692 004 515

  kancelaria@maniszewska.pl

Menu
nis2 rodo

NIS2 a RODO — jak nowa dyrektywa cyberbezpieczeństwa wpływa na ochronę danych osobowych

3 kwietnia 2026 r. weszła w życie znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca w Polsce unijną dyrektywę NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555). To fundamentalna zmiana — dotychczasowe przepisy obejmowały ok. 400 operatorów usług kluczowych, nowe rozszerzają zakres na ponad 42 tys. podmiotów.

Dla wielu organizacji NIS2 oznacza nowe, rozbudowane obowiązki w zakresie cyberbezpieczeństwa — obowiązki, które w znacznej części pokrywają się z wymaganiami RODO. W tym artykule wyjaśniam, jak NIS2 i RODO współdziałają, jakie nowe obowiązki nakłada NIS2 i jak organizacje powinny zintegrować zgodność z oboma regulacjami.

Czym jest NIS2?

NIS2 (Network and Information Security Directive 2) to unijna dyrektywa, której celem jest podniesienie poziomu cyberbezpieczeństwa w kluczowych sektorach gospodarki UE. Zastępuje pierwotną dyrektywę NIS z 2016 r. i znacząco rozszerza jej zakres.

W przeciwieństwie do RODO, które jest rozporządzeniem (stosowanym bezpośrednio), NIS2 jest dyrektywą — wymaga implementacji do prawa krajowego. W Polsce implementacja nastąpiła przez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, podpisaną przez Prezydenta RP 19 lutego 2026 r. i obowiązującą od 3 kwietnia 2026 r.

Kogo dotyczy NIS2?

Zakres NIS2 jest znacznie szerszy niż poprzedniej dyrektywy. Nowe przepisy dzielą podmioty na dwie kategorie:

Podmioty kluczowe — organizacje z sektorów o najwyższym znaczeniu: energetyka, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, zaopatrzenie w wodę pitną i ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT (B2B), administracja publiczna, przestrzeń kosmiczna.

Podmioty ważne — organizacje z sektorów o istotnym znaczeniu: usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja i dystrybucja chemikaliów, produkcja i dystrybucja żywności, produkcja wyrobów (w tym urządzeń medycznych, komputerów, pojazdów), dostawcy usług cyfrowych (platformy internetowe, wyszukiwarki, sieci społecznościowe), badania naukowe.

Co do zasady NIS2 dotyczy średnich i dużych przedsiębiorstw — powyżej 50 pracowników lub 10 mln euro rocznego obrotu. Są jednak wyjątki — niektóre podmioty podlegają NIS2 niezależnie od wielkości (np. dostawcy usług DNS, rejestry domen, dostawcy usług zaufania).

Kluczowe terminy wdrożenia w Polsce

Ustawa weszła w życie 3 kwietnia 2026 r. Organizacje muszą pilnować następujących terminów:

Do 3 października 2026 r. (6 miesięcy) — samoidentyfikacja i złożenie wniosku o wpis do wykazu podmiotów kluczowych lub ważnych w systemie S46.

Do 3 kwietnia 2027 r. (12 miesięcy) — pełne wdrożenie środków zarządzania ryzykiem w cyberbezpieczeństwie oraz integracja z systemem S46.

Od 3 kwietnia 2028 r. (24 miesiące) — rozpoczęcie pełnej egzekucji kar administracyjnych. Do tego czasu obowiązuje tzw. „okres bezkarności” — celowy zabieg ustawodawcy, mający wspierać firmy w procesie nauki nowych procedur.

Pierwszy obowiązkowy audyt dla nowych podmiotów kluczowych wymagany jest od 3 kwietnia 2028 r.

Jak NIS2 i RODO się przenikają?

NIS2 i RODO to dwie odrębne regulacje, ale ich wymagania w znacznej części się pokrywają. Obie dotyczą bezpieczeństwa informacji — NIS2 z perspektywy cyberbezpieczeństwa systemów i sieci, RODO z perspektywy ochrony danych osobowych.

Zarządzanie ryzykiem NIS2 (art. 21) wymaga wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie, obejmujących m.in. polityki analizy ryzyka, obsługę incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, szkolenia pracowników. RODO (art. 32) wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych. Synergia: Organizacja, która wdroży system zarządzania ryzykiem zgodny z NIS2, jednocześnie w dużej mierze spełni wymogi art. 32 RODO.

Zgłaszanie incydentów NIS2 wymaga zgłaszania znaczących incydentów cyberbezpieczeństwa do właściwego CSIRT w ściśle określonych terminach: wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin, sprawozdanie końcowe w ciągu miesiąca. RODO (art. 33) wymaga zgłoszenia naruszenia ochrony danych osobowych do UODO w ciągu 72 godzin. Procedurę zgłaszania naruszeń opisujemy w osobnym artykule. Synergia: Jeden incydent może wymagać podwójnego zgłoszenia — do CSIRT (NIS2) i do UODO (RODO). Organizacje powinny mieć zintegrowaną procedurę reagowania na incydenty, która uwzględnia oba obowiązki notyfikacyjne.

Środki bezpieczeństwa NIS2 wymaga m.in.: polityk bezpieczeństwa systemów informatycznych, procedur obsługi incydentów, planów ciągłości działania, bezpieczeństwa łańcucha dostaw, szyfrowania, kontroli dostępu, uwierzytelniania wieloskładnikowego. RODO (art. 32) wymaga m.in.: pseudonimizacji i szyfrowania, zdolności zapewnienia poufności, integralności i dostępności systemów, zdolności szybkiego przywrócenia dostępu do danych, regularnego testowania środków bezpieczeństwa. Synergia: Lista środków bezpieczeństwa w obu regulacjach w dużej mierze się pokrywa. ISO 27001 jest idealnym ramowym podejściem, które jednocześnie spełnia wymagania NIS2 i RODO. Jak ISO 27001 wspiera zgodność z RODO opisujemy w osobnym artykule.

Odpowiedzialność kierownictwa NIS2 wprowadza osobistą odpowiedzialność członków organów zarządzających za zapewnienie zgodności z przepisami o cyberbezpieczeństwie. Kierownicy mogą ponosić odpowiedzialność finansową — do 600% wynagrodzenia. RODO nakłada odpowiedzialność na administratora danych, ale nie przewiduje wprost osobistej odpowiedzialności zarządu. Różnica: NIS2 jest pod tym względem surowsza od RODO — zarząd musi osobiście zatwierdzać środki zarządzania ryzykiem i przechodzić szkolenia z cyberbezpieczeństwa.

Bezpieczeństwo łańcucha dostaw NIS2 wymaga zarządzania ryzykiem w relacjach z dostawcami i podwykonawcami — oceny bezpieczeństwa dostawców, wymagań umownych, monitorowania. RODO (art. 28) wymaga weryfikacji procesorów i zawierania umów powierzenia przetwarzania. Synergia: Organizacja, która prawidłowo zarządza procesorami zgodnie z art. 28 RODO, ma solidne podstawy do spełnienia wymogów NIS2 w zakresie łańcucha dostaw — i odwrotnie. Przewodnik po umowach powierzenia znajdziesz tutaj.

Kary NIS2 vs kary RODO

Kary za naruszenie NIS2 są porównywalne z karami RODO:

NIS2 — podmioty kluczowe: do 10 mln euro lub 2% rocznego światowego obrotu (wyższa kwota). Minimalna kara: 15 tys. zł.

NIS2 — podmioty ważne: do 7 mln euro lub 1,4% rocznego światowego obrotu.

RODO: do 20 mln euro lub 4% rocznego światowego obrotu (dla najpoważniejszych naruszeń).

Kluczowa różnica: NIS2 wprowadza osobistą odpowiedzialność kierownictwa — do 600% wynagrodzenia. RODO nie przewiduje takiego mechanizmu.

Jeden incydent cyberbezpieczeństwa może skutkować karami z obu regulacji jednocześnie — np. atak ransomware, który prowadzi do naruszenia bezpieczeństwa sieci (NIS2) i naruszenia ochrony danych osobowych (RODO).

ISO 27001 jako wspólny mianownik

ISO 27001 stanowi idealne ramy integracji wymagań NIS2 i RODO. Norma obejmuje zarządzanie ryzykiem, środki bezpieczeństwa, zarządzanie incydentami, ciągłość działania, bezpieczeństwo łańcucha dostaw — czyli kluczowe wymagania obu regulacji.

Art. 21 ust. 5 dyrektywy NIS2 wprost zachęca do stosowania norm europejskich i międzynarodowych, w tym ISO 27001, jako podstawy wdrożenia środków zarządzania ryzykiem.

Organizacje, które już posiadają certyfikację ISO 27001 (szczególnie z rozszerzeniem ISO 27701 dla prywatności), mają najłatwiejszą drogę do jednoczesnej zgodności z NIS2 i RODO. Ci, którzy dopiero planują wdrożenie systemu zarządzania bezpieczeństwem, powinni od razu projektować go tak, aby spełniał wymagania obu regulacji.

Efekt kaskadowy — NIS2 a mniejsze firmy

Nawet jeśli Twoja firma nie jest bezpośrednio podmiotem kluczowym ani ważnym w rozumieniu NIS2, nowe przepisy mogą Cię dotyczyć pośrednio. Podmioty objęte NIS2 mają obowiązek zarządzania ryzykiem w łańcuchu dostaw — co oznacza, że będą wymagać od swoich dostawców i podwykonawców spełniania określonych standardów bezpieczeństwa.

W praktyce mniejsze firmy, które są dostawcami dla podmiotów kluczowych lub ważnych, mogą być zmuszone do wdrożenia dodatkowych zabezpieczeń, przejścia audytów bezpieczeństwa, zaakceptowania nowych wymogów umownych lub uzyskania certyfikacji (np. ISO 27001) jako warunku utrzymania współpracy.

Ten efekt kaskadowy oznacza, że NIS2 pośrednio podnosi standardy cyberbezpieczeństwa w całej gospodarce — nie tylko w sektorach formalnie objętych dyrektywą.

Jak przygotować organizację — zintegrowane podejście NIS2 + RODO

Zamiast traktować NIS2 i RODO jako dwa odrębne projekty zgodności, organizacje powinny przyjąć zintegrowane podejście:

1. Jeden system zarządzania bezpieczeństwem — oparty na ISO 27001/27701, spełniający jednocześnie wymagania NIS2 (cyberbezpieczeństwo) i RODO (ochrona danych osobowych).

2. Jedna ocena ryzyka — zintegrowana analiza ryzyka obejmująca zarówno ryzyka dla systemów i sieci (NIS2), jak i ryzyka dla praw i wolności osób fizycznych (RODO/DPIA). Jak przeprowadzić DPIA opisujemy krok po kroku w tym artykule.

3. Jedna procedura incydentowa — uwzględniająca podwójny obowiązek zgłoszenia: do CSIRT (NIS2, 24h wczesne ostrzeżenie + 72h zgłoszenie) i do UODO (RODO, 72h).

4. Jedno podejście do łańcucha dostaw — weryfikacja dostawców pod kątem zarówno cyberbezpieczeństwa (NIS2), jak i ochrony danych (RODO/art. 28).

5. Jeden program szkoleń — obejmujący zarówno cyberbezpieczeństwo (wymagane przez NIS2), jak i ochronę danych (wymagane przez RODO), oraz AI literacy (wymagane przez AI Act – o relacji AI Act i RODO piszemy w osobnym artykule.)

Checklist — NIS2 i RODO

  1. Sprawdź, czy Twoja organizacja jest podmiotem kluczowym lub ważnym w rozumieniu NIS2.
  2. Jeśli tak — złóż wniosek o wpis do wykazu w systemie S46 (termin: 3 października 2026).
  3. Przeprowadź analizę ryzyka obejmującą cyberbezpieczeństwo (NIS2) i ochronę danych (RODO).
  4. Wdróż środki zarządzania ryzykiem — szyfrowanie, kontrola dostępu, MFA, kopie zapasowe, plan ciągłości działania.
  5. Przygotuj zintegrowaną procedurę reagowania na incydenty — z podwójnym zgłoszeniem (CSIRT + UODO).
  6. Zarządzaj bezpieczeństwem łańcucha dostaw — weryfikuj dostawców, aktualizuj umowy.
  7. Przeszkol kierownictwo — NIS2 wymaga, aby organy zarządzające zatwierdzały środki bezpieczeństwa i przechodziły szkolenia.
  8. Przeszkol pracowników — ze świadomości cyberbezpieczeństwa i ochrony danych.
  9. Rozważ certyfikację ISO 27001 — jako wspólny mianownik NIS2 i RODO.
  10. Zaplanuj audyty — pierwszy obowiązkowy audyt dla podmiotów kluczowych: od 3 kwietnia 2028.
  11. Monitoruj rozwój przepisów — akty wykonawcze, standardy techniczne, wytyczne organów.

Potrzebujesz wsparcia z NIS2 i RODO?

NIS2 i RODO wymagają jednoczesnego spełnienia wymogów prawnych i technicznych — od analizy ryzyka, przez procedury incydentowe, po zarządzanie łańcuchem dostaw. W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont doradzamy firmom w zakresie prawnych aspektów zgodności z NIS2 i RODO — pomagamy zidentyfikować obowiązki, zintegrować systemy zarządzania i przygotować dokumentację spełniającą wymagania obu regulacji.

 

Notariusz-Joanna-Maniszewska-Ejsmont

Skontaktuj się z nami — ocenimy, jakie obowiązki NIS2 dotyczą Twojej organizacji i jak je zintegrować z istniejącym systemem ochrony danych.

  +48 692 004 515

  kancelaria@maniszewska.pl

Related Posts