NIS2 a GDPR: kde se povinnosti překrývají a kde ne
NIS2 a GDPR nejsou totéž. Přesto se v praxi potkávají u incidentů, dodavatelů, přístupů a evidence bezpečnostních opatření. Dobrá dokumentační páteř šetří práci v obou režimech.
Autor: Marco Zoratto, zakladatel Splnit.eu
Společné jádro: bezpečnost a důkazy
GDPR chrání osobní údaje a práva fyzických osob. NIS2 a český ZoKB řeší kybernetickou bezpečnost regulovaných služeb. Pokud ale provozní incident zasáhne osobní data, oba světy se potkají.
Jedna kvalitní evidence může sloužit oběma režimům: kdo má přístup, jak se školí zaměstnanci, kteří dodavatelé jsou kritičtí, jak se hlásí incidenty a kde jsou uložené důkazy.
- Incident response plán: jeden proces, různé rozhodovací větve pro NÚKIB/Národní CERT a ÚOOÚ.
- Dodavatelé: bezpečnostní význam u NIS2, zpracovatelský vztah a DPA u GDPR.
- Přístupy: řízení identit chrání dostupnost služby i osobní údaje.
- Školení: bezpečnostní povědomí a ochrana osobních údajů se dají evidovat společně.
Kde se povinnosti nerozmazávají
GDPR stále potřebuje vlastní právní základy, informační povinnosti, ROPA, práva subjektů údajů a posouzení dopadu tam, kde je potřeba. To za vás NIS2 evidence nenahradí.
NIS2 naopak vyžaduje posouzení regulované služby, kontaktní a doplňující údaje, bezpečnostní opatření podle příslušného režimu a incidentní workflow vůči kybernetické autoritě.
Praktický minimální balík
Začněte pěti dokumenty: ROPA, politika dodavatelů, incident response plán, přístupová politika a gap analýza. Nejsou to hotová právní stanoviska, ale dobrý pracovní základ pro poradce, auditora nebo interní review.
Relevantní šablony v public/templates: ropa-gdpr.docx, politika-dodavatelu.docx, incident-response-plan.docx, pristupova-politika-nzkb.docx a gap-analyza-nizsi-rezim.xlsx.
Související přehled předpisu
Otevřít přehled: NIS2 + GDPR →Použijte společné šablony pro GDPR a NIS2
Začněte ROPA, incident response plánem a politikou dodavatelů. Všechny šablony jsou dostupné bez registrace.
Stáhnout ROPA šablonu