Kiedy incydent NIS2 staje się naruszeniem danych osobowych

Zdjęcie: Kiedy incydent NIS2 staje się naruszeniem danych osobowych

Kiedy incydent NIS2 staje się naruszeniem danych osobowych Wiele organizacji przygotowujących się do wdrożenia wymagań NIS2 przez cały czas traktuje cyberbezpieczeństwo i ochronę danych osobowych jako dwa odrębne światy. Za cyberbezpieczeństwo odpowiada dział IT lub zewnętrzny dostawca usług, za zgodność z RODO inspektor ochrony danych, a zarząd otrzymuje od czasu do czasu raport dotyczący jednego lub drugiego obszaru. Problem pojawia się w momencie wystąpienia realnego incydentu. Wówczas bardzo gwałtownie okazuje się, iż granice pomiędzy NIS2 a RODO są znacznie mniej oczywiste, niż mogłoby się wydawać. Co więcej, ten sam incydent może jednocześnie uruchomić obowiązki wynikające z przepisów o cyberbezpieczeństwie, ochronie danych osobowych, a także odpowiedzialność kontraktową wobec klientów i partnerów biznesowych. To właśnie dlatego pytanie, kiedy incydent NIS2 staje się naruszeniem danych osobowych, ma w tej chwili znaczenie znacznie wykraczające poza obszar compliance. W praktyce wielu przedsiębiorców utożsamia naruszenie ochrony danych osobowych wyłącznie z wyciekiem danych. Tymczasem zgodnie z RODO naruszenie może dotyczyć poufności, integralności lub dostępności danych. Oznacza to, iż choćby jeżeli dane nie zostały skradzione ani ujawnione osobom nieuprawnionym, przez cały czas może dojść do naruszenia ochrony danych osobowych. Wyobraźmy sobie sytuację, w której przedsiębiorstwo pada ofiarą ataku ransomware. Systemy zostają zaszyfrowane, a pracownicy tracą dostęp do baz klientów, dokumentacji oraz systemów operacyjnych. W pierwszej reakcji wiele organizacji skupia się wyłącznie na przywróceniu działalności. Tymczasem już sam brak dostępności danych osobowych może oznaczać naruszenie w rozumieniu RODO. Jednocześnie ten sam incydent może zostać zakwalifikowany jako incydent cyberbezpieczeństwa podlegający obowiązkom wynikającym z NIS2. W praktyce oznacza to konieczność równoległej analizy dwóch różnych reżimów prawnych. Jeszcze bardziej skomplikowana sytuacja powstaje wtedy, gdy oprócz utraty dostępności dochodzi również do eksfiltracji danych. W takim przypadku przedsiębiorstwo może być zobowiązane zarówno do realizacji obowiązków raportowych przewidzianych dla incydentów cyberbezpieczeństwa, jak i do dokonania oceny ryzyka dla osób, których dane dotyczą, a następnie do zgłoszenia naruszenia organowi nadzorczemu oraz – w określonych przypadkach – do poinformowania samych osób, których dane zostały naruszone. W praktyce niebezpieczne jest przyjmowanie uproszczonego założenia, iż skoro nie stwierdzono wycieku danych, problem RODO nie występuje. Coraz częściej organy nadzorcze zwracają uwagę również na kwestie integralności i dostępności danych. Utrata kontroli nad systemami informatycznymi może prowadzić do zakłócenia procesów biznesowych, uniemożliwienia realizacji usług oraz naruszenia praw osób, których dane są przetwarzane. Szczególnego znaczenia nabierają również incydenty dotyczące dostawców usług IT oraz rozwiązań chmurowych. Przedsiębiorstwa coraz częściej korzystają z usług SaaS, infrastruktury chmurowej oraz zewnętrznego utrzymania systemów. W przypadku incydentu po stronie dostawcy organizacja bardzo często koncentruje się na analizie odpowiedzialności kontraktowej usługodawcy. Jest to zrozumiałe, ale niewystarczające. Fakt, iż źródło incydentu znajduje się poza organizacją, nie oznacza automatycznego wyłączenia obowiązków wynikających z RODO lub NIS2. Przeciwnie – jednym z podstawowych założeń współczesnych regulacji dotyczących cyberbezpieczeństwa jest zarządzanie ryzykiem w całym łańcuchu dostaw. W praktyce największym błędem popełnianym po incydencie nie jest zwykle brak wiedzy technicznej. Problemem okazuje się brak zintegrowanego procesu decyzyjnego. Dział IT analizuje incydent z perspektywy technicznej. Inspektor ochrony danych ocenia skutki dla danych osobowych. Dział prawny analizuje zobowiązania kontraktowe. Zarząd koncentruje się na przywróceniu działalności operacyjnej. Każdy działa prawidłowo, ale często niezależnie od pozostałych. Tymczasem skuteczne zarządzanie incydentami wymaga spojrzenia całościowego. To właśnie dlatego organizacje przygotowujące się do NIS2 powinny odchodzić od budowania równoległych procedur dla cyberbezpieczeństwa i ochrony danych osobowych. Znacznie bardziej efektywnym rozwiązaniem jest stworzenie jednego modelu zarządzania incydentami, który pozwala równocześnie identyfikować konsekwencje techniczne, regulacyjne, kontraktowe i biznesowe. NIS2 nie zastępuje RODO. RODO nie zastępuje NIS2. Obie regulacje coraz częściej dotyczą jednak tych samych zdarzeń. A największe ryzyko dla przedsiębiorstwa pojawia się nie wtedy, gdy dochodzi do incydentu, ale wtedy, gdy organizacja nie potrafi prawidłowo ocenić, z jakim rodzajem incydentu ma do czynienia i jakie obowiązki uruchamia on jednocześnie. Autor: Jarosław Chałas Partner Zarządzający Radca Prawny Kancelaria Prawna Chałas i Wspólnicy Dowiedz się więcej: Prawo cyberbezpieczeństwa i bezpieczeństwa informacji