S príchodom európskej smernice NIS2 sa kybernetická bezpečnosť stáva rovnako dôležitou a prísne sledovanou agendou, akou sa pred rokmi stalo GDPR. Pre moderné organizácie to znamená, že sa už nemôžu pozerať na ochranu údajov a bezpečnosť sietí ako na dve izolované disciplíny. V praxi sa totiž veľmi často stáva, že jeden kybernetický útok alebo technické zlyhanie aktivuje povinnosti vyplývajúce z oboch týchto právnych rámcov súčasne. Kým GDPR sa primárne zameriava na integritu a dôvernosť osobných údajov fyzických osôb, NIS2 sleduje kontinuitu základných služieb a bezpečnosť kritickej infraštruktúry. Pochopenie toho, kde sa tieto dve regulácie stretávajú, kedy je potrebné informovať Národný bezpečnostný úrad a kedy Úrad na ochranu osobných údajov, je kľúčové pre predchádzanie likvidačným pokutám a reputačným škodám. Tento článok podrobne analyzuje prieniky, rozdiely a postupy pri duálnom ohlasovaní incidentov.

1. Definícia incidentu: Rozdielne optiky NIS2 a GDPR

Aby sme pochopili, kedy platia obe povinnosti, musíme najprv definovať, čo jednotlivé nariadenia považujú za problém. Podľa smernice NIS2 je incidentom udalosť, ktorá má nepriaznivý vplyv na bezpečnosť sietí a informačných systémov, alebo udalosť, ktorá narúša dostupnosť, autentickosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov či služieb, ktoré tieto systémy ponúkajú.

Na druhej strane, GDPR definuje porušenie ochrany osobných údajov ako porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu alebo sprístupneniu osobných údajov. Rozdiel je teda v predmete ochrany:

• NIS2 chráni službu a systém (napr. schopnosť nemocnice operovať alebo energetiky dodávať prúd).
• GDPR chráni súkromie jednotlivca (napr. mená, rodné čísla, diagnózy pacientov).

Ak útočník zašifruje servery nemocnice pomocou ransomware, dochádza k incidentu podľa NIS2 (nemocnica nemôže poskytovať službu), ale zároveň aj k porušeniu podľa GDPR (osobné údaje sú nedostupné a pravdepodobne k nim získala prístup tretia strana).

2. Kedy vzniká povinnosť duálneho nahlasovania?

Povinnosť ohlásiť incident obom autoritám vzniká v momente, keď incident v kybernetickej bezpečnosti priamo alebo nepriamo zasiahol aj osobné údaje. Nie každý kybernetický útok je porušením GDPR a nie každé porušenie GDPR je incidentom podľa NIS2. Existuje však široká šedá zóna, kde sa tieto oblasti prekrývajú.

Scenáre, kedy musíte konať na oboch frontoch:

• Únik databázy klientov: Ak útočník prelomí zabezpečenie e-shopu (kritický subjekt podľa NIS2 v sektore digitálnych služieb) a ukradne dáta o tisíckach používateľov.
• Ransomware útok: Zašifrovanie dát, ktoré znemožní prístup k osobným údajom zamestnancov alebo klientov, pričom zároveň ochromí prevádzku subjektu.
• Vnútorná sabotáž: Administrátor systému vymaže kritické konfiguračné súbory aj s databázou používateľov bez existencie funkčnej zálohy.

V týchto prípadoch sa organizácia nemôže rozhodnúť, ktorému úradu dá prednosť. Musí postupovať podľa oboch právnych predpisov, čo so sebou prináša administratívnu záťaž a potrebu koordinácie medzi IT oddelením, právnym oddelením a zodpovednou osobou (DPO).

3. Časový stres: 24 hodín vs. 72 hodín

Jeden z najväčších praktických rozdielov medzi NIS2 a GDPR spočíva v časových lehotách na oznámenie. NIS2 zavádza viacstupňový proces hlásenia, ktorý je výrazne rýchlejší než doterajšia prax pri ochrane osobných údajov.

Harmonogram podľa NIS2:

1. Do 24 hodín: Zaslanie včasného varovania (early warning). Tu subjekt hlási, že došlo k významnému incidentu, či existuje podozrenie na trestný čin a či má incident cezhraničný dopad.
2. Do 72 hodín: Podanie oznámenia o incidente, ktoré obsahuje podrobnejšie informácie, posúdenie závažnosti a dopadu.
3. Do 1 mesiaca: Záverečná správa s podrobným opisom, príčinou a prijatými nápravnými opatreniami.

Harmonogram podľa GDPR:

Pri GDPR je lehota nastavená na 72 hodín od okamihu, kedy sa prevádzkovateľ o porušení dozvedel. V tejto lehote musí byť incident nahlásený dozornému orgánu (na Slovensku Úrad na ochranu osobných údajov SR), pokiaľ nie je nepravdepodobné, že by porušenie viedlo k riziku pre práva a slobody fyzických osôb.

Dôležitý postreh: Ak nastane incident spadajúci pod obe regulácie, prvú správu pre NIS2 (včasné varovanie) musíte odoslať o dva dni skôr, než končí lehota pre GDPR. To vyžaduje extrémne rýchlu internú detekciu a analýzu.

4. Komunikačné kanály a cieľové úrady

Je dôležité si uvedomiť, že v SR (a väčšine krajín EÚ) neexistuje „jedno okienko“ pre nahlásenie všetkých typov incidentov. Organizácia musí komunikovať s rôznymi entitami podľa povahy problému.

V prípade incidentu podľa NIS2 komunikujete s Národným bezpečnostným úradom (NBÚ), respektíve s príslušným CSIRT jednotkami (Computer Security Incident Response Team). Cieľom tejto komunikácie je minimalizovať dopad na infraštruktúru štátu a varovať ostatné subjekty pred podobným útokom.

V prípade porušenia podľa GDPR komunikujete s Úradom na ochranu osobných údajov SR. Cieľom je ochrana práv dotknutých osôb a posúdenie, či prevádzkovateľ prijal dostatočné technické a organizačné opatrenia na zabezpečenie dát. Ak je riziko pre občanov vysoké, musíte o incidente informovať aj samotné dotknuté osoby (napr. e-mailom alebo verejným oznámením).

5. Významné incidenty pod lupou: Čo sa vlastne hlási?

Nie každý výpadok prúdu alebo stratený USB kľúč je „významným incidentom“ pre NIS2. Smernica NIS2 špecifikuje, že incident je významný vtedy, ak spôsobil alebo je schopný spôsobiť závažné narušenie prevádzky služieb alebo finančné straty pre dotknutý subjekt, alebo ak spôsobil významnú majetkovú či nemajetkovú ujmu iným osobám.

Pri GDPR je kritériom „riziko pre práva a slobody“. Ak napríklad unikne šifrovaná databáza, ku ktorej nikto nemá dešifrovací kľúč, nemusí ísť o porušenie, ktoré treba hlásiť Úradu na ochranu osobných údajov, pretože riziko pre občanov je nízke. Avšak pre NIS2 to stále môže byť významný incident, pretože došlo k narušeniu integrity systému alebo strate kontroly nad dátami v kritickej infraštruktúre.

6. Ako zladiť interné postupy pre oba režimy

Aby organizácia nepanikárila počas krízy, musí mať vypracovaný Incident Response Plan (IRP), ktorý integruje obe regulácie. Odporúča sa vytvoriť jednotný klasifikačný systém incidentov.

• Identifikácia: IT tím musí okamžite určiť, či ide o technickú chybu, cielený útok a či sú zasiahnuté osobné údaje.
• Klasifikácia: Pridelenie priority a určenie, či incident prekračuje prahové hodnoty „významnosti“ pre NIS2 a „rizikovosti“ pre GDPR.
• Súbežné procesy: Kým technici pracujú na obnove systémov (priorita NIS2), právnik alebo DPO musí pripravovať dokumentáciu pre Úrad na ochranu osobných údajov (priorita GDPR).
• Dôkazné bremeno: Dokumentovanie všetkých krokov je nevyhnutné. Oba úrady budú spätne skúmať, kedy ste sa o incidente dozvedeli a či ste konali bezodkladne.

Zanedbanie hlásenia podľa NIS2 môže viesť k pokutám až do výšky 10 miliónov eur alebo 2 % celosvetového obratu. GDPR má stropy ešte vyššie – až 20 miliónov eur alebo 4 % obratu. V prípade duálneho porušenia sa pokuty môžu teoreticky sčítať, hoci úrady by mali spolupracovať na princípe proporcionality.

Vzťah medzi NIS2 a GDPR je úzky a komplexný. Pre organizácie to znamená nutnosť prepojiť svet kybernetickej bezpečnosti so svetom právnej ochrany dát. Kým doteraz bolo GDPR vnímané ako „strašiak“, NIS2 prináša ešte prísnejšie časové limity a širší rozsah subjektov, ktoré spadajú pod reguláciu. Kľúčom k úspechu je nečakať na prvý útok, ale nastaviť procesy hlásenia a detekcie incidentov už dnes.

Zhrnutím problematiky duálnych povinností pri incidentoch podľa NIS2 a GDPR sa dostávame k záveru, že bezpečnosť informácií už nie je len o IT nastaveniach, ale o komplexnom krízovom riadení. Hlavným rozdielom zostáva objekt ochrany a časová tieseň – 24-hodinové varovanie pre NIS2 verzus 72-hodinové oznámenie pre GDPR. Organizácie, ktoré spadajú pod obe regulácie, sa musia pripraviť na scenár, kedy budú musieť komunikovať s dvoma rôznymi dozornými orgánmi súčasne, pričom každý z nich bude vyžadovať iný typ informácií a zameria sa na iný aspekt zlyhania.

Zanedbanie ktorejkoľvek z týchto povinností môže mať pre firmu fatálne následky, a to nielen vo forme drakonických finančných sankcií, ale aj v podobe straty dôvery obchodných partnerov a verejnosti. Implementácia NIS2 by nemala byť vnímaná len ako ďalšia byrokratická záťaž, ale ako príležitosť na revíziu a posilnenie celkovej odolnosti organizácie. Integrovaný prístup k riadeniu incidentov, pravidelné školenia zamestnancov a jasne definované kompetencie medzi IT bezpečnosťou a ochranou súkromia sú jedinou cestou, ako v modernom digitálnom svete prežiť kybernetický útok bez likvidačných dopadov. Pamätajte, že v momente incidentu je na prípravu neskoro – víťazia tí, ktorí majú svoje krízové scenáre otestované vopred.