Czy spełnienie RODO automatycznie spełnia NIS2?

Częściowo. Środki techniczne (MFA, szyfrowanie, backup) z art. 32 RODO pokrywają większość art. 21 NIS2. Ale NIS2 dodaje: zgłaszanie do CSIRT NASK, szkolenia zarządu (art. 20), wpis do rejestru podmiotów, klauzule cyber w łańcuchu dostaw. RODO te elementy nie obejmuje.

Czy mała firma podlega obu naraz?

RODO dotyczy każdej firmy. NIS2 - tylko jeśli jesteście w sektorze załącznika I/II UKSC i spełniacie próg wielkości. Większość polskich MŚP (gabinety stomatologiczne, biura rachunkowe, kliniki estetyczne) spełnia tylko RODO.

Co jeśli incydent dotyka i dane osobowe, i podmiot NIS2?

Podwójne zgłoszenie. UODO w 72h od stwierdzenia (RODO art. 33). CSIRT NASK w trzech etapach: 24h wczesne ostrzeżenie, 72h pełne powiadomienie, 30 dni raport końcowy (NIS2 art. 23). Procedury wewnętrzne powinny być zsynchronizowane.

Czy ISO 27001 spełnia oba?

Pokrywa 80-90% obu, ale nie zwalnia ani z RODO ani z NIS2. ISO 27001 dostarcza dowodu staranności art. 32 RODO i art. 21 NIS2. Wciąż potrzebujecie osobno: DPIA, klauzul informacyjnych, umów powierzenia (RODO), rejestracji w MC, szkoleń zarządu (NIS2).

Czy DORA się tu mieści?

DORA to lex specialis dla sektora finansowego. Bank w UE podlega DORA, nie NIS2. Reszta sektorów - NIS2. RODO dotyczy obu niezależnie. Jeśli jesteście krytycznym dostawcą ICT dla banku - podlegacie DORA przez kontrakt z bankiem, niezależnie od własnego sektora.

Który audyt techniczny zaspokaja obowiązki obu?

Coroczna zewnętrzna ocena podatności (CyberAudyt CyberCerber lub odpowiednik) jest dowodem 'regularnego testowania skuteczności' dla RODO art. 32 ORAZ 'oceny skuteczności środków' dla NIS2 art. 21(2)(d). Jeden audyt - dwie zgodności.

RODO vs NIS2 - różnice, nakładające się obowiązki, podwójne zgłoszenia

RODO chroni dane osobowe i obowiązuje każdą polską firmę bez progu wielkości; egzekwowane przez UODO; kary do 20 mln euro lub 4% obrotu. NIS2 (w Polsce wdrożone przez UKSC) wymaga zarządzania ryzykiem cyber tylko dla wskazanych sektorów spełniających próg wielkości; egzekwowane przez Ministerstwo Cyfryzacji; kary do 10 mln euro lub 2% obrotu plus odpowiedzialność osobista zarządu. Reżimy są niezależne i równoległe.

Autor: Iwo Wojciechowski

CEO, CyberCerber 28 maja 2026

Tabela porównawcza

Kryterium	RODO	NIS2
Akt prawny	Rozporządzenie UE 2016/679, bezpośrednio stosowane od 25.05.2018	Dyrektywa UE 2022/2555, w PL wdrożona przez UKSC, w mocy od 03.04.2026
Kogo dotyczy	Każdej firmy przetwarzającej dane osobowe, bez progu wielkości	Tylko sektor załącznika I/II UKSC + ≥50 osób lub ≥10 mln euro obrotu
Co chroni	Dane osobowe (prawa osób, art. 9 dla szczególnych kategorii)	Sieci i systemy informacyjne (zarządzanie ryzykiem cyber)
Organ nadzoru	UODO (Urząd Ochrony Danych Osobowych)	Ministerstwo Cyfryzacji + sektorowe organy
Raportowanie incydentu	UODO w 72h od stwierdzenia (art. 33)	CSIRT NASK 24h (wczesne ostrzeżenie) / 72h (pełne) / 30 dni (raport końcowy)
Powiadomienie osób	Tak, przy wysokim ryzyku (art. 34)	Tak, jeśli incydent dotyka odbiorców usług (art. 23 ust. 7)
Kary maksymalne	20 mln euro lub 4% obrotu (kategoria 1), 10 mln euro lub 2% (kategoria 2)	10 mln euro lub 2% obrotu (podmioty kluczowe), 7 mln euro lub 1,4% (ważne)
Odpowiedzialność zarządu	Administracyjna (kara firmy); osobista tylko karna przy umyślnym naruszeniu	Osobista za zaniedbania zarządzania ryzykiem cyber (art. 20 NIS2)
Wymagany audyt	Regularne testowanie skuteczności (art. 32) - bez konkretnego terminu	Pierwszy obowiązkowy audyt 3.04.2028 dla podmiotów kluczowych

Dlaczego są dwa różne akty

RODO powstało w 2016 r. dla ochrony danych osobowych - prywatności osób fizycznych. Egzekwuje UODO. Cel: każda firma, niezależnie od skali, ma obowiązek chronić dane, które przetwarza.

NIS2 powstało w 2022 r. dla ochrony infrastruktury cyfrowej UE - sieci, systemów, usług kluczowych. Egzekwuje Ministerstwo Cyfryzacji. Cel: podmioty istotne dla funkcjonowania państwa i społeczeństwa zarządzają ryzykiem cyber proporcjonalnie do ich wagi.

Akty są niezależne, bo chronią różne wartości. Naruszenie ransomware w szpitalu (NIS2 - usługa krytyczna) z wyciekiem dokumentacji pacjentów (RODO - dane medyczne) = naruszenie obu reżimów. Dwie procedury, dwóch regulatorów, dwie kary.

Co się nakłada, co się nie nakłada

Środki techniczne nakładają się prawie całkowicie. Art. 32 RODO i art. 21 NIS2 oba wymagają: MFA, szyfrowania at-rest i in-transit, backupu, regularnych aktualizacji, kontroli dostępu, regularnego testowania skuteczności. Jedna polityka bezpieczeństwa IT pokrywa oba.

Procedury raportowania są osobne. UODO 72h dla RODO; CSIRT NASK 24h/72h/30 dni dla NIS2. Procedury wewnętrzne muszą obsłużyć oba scenariusze - jednego incydentu, dwa formularze.

Klauzule kontraktowe nakładają się częściowo. Art. 28 RODO wymaga DPA z każdym procesorem danych osobowych. Art. 21(2)(d) NIS2 wymaga klauzul cyber z każdym dostawcą ICT. Jeden dostawca może wymagać obu (DPA + cyber).

Obowiązki dokumentacyjne są częściowo różne. Rejestr czynności (art. 30 RODO) ≠ rejestr podmiotów NIS2. Klauzula informacyjna RODO ≠ powiadomienie odbiorców usługi NIS2.

Podwójne zgłoszenie - praktyczny scenariusz

Ransomware atakuje sieć szpitala prywatnego (podmiot kluczowy, sektor zdrowie). Szyfruje dokumentację pacjentów oraz dane pracowników. W ciągu pierwszych 24 godzin szpital musi:

Zacząć licznik 72h do UODO (RODO art. 33 - wyciek danych osobowych pacjentów + pracowników)
Wysłać wczesne ostrzeżenie do CSIRT NASK (NIS2 art. 23 ust. 4 - istotny incydent)

W ciągu 72h:

Zgłosić pełne powiadomienie do UODO przez ePUAP (formularz 138/2342)
Zgłosić pełne powiadomienie do CSIRT NASK przez cert.pl

W ciągu 30 dni:

Raport końcowy do CSIRT NASK z analizą przyczyn

Powiadomienie pacjentów (art. 34 RODO) - jeśli wyciek powoduje wysokie ryzyko dla ich praw (dane medyczne zwykle tak). Powiadomienie odbiorców usługi (NIS2 art. 23 ust. 7) - tutaj pacjentów. Jedna komunikacja może obsłużyć oba obowiązki, ale podstawy prawne są różne.

Jeden audyt - dwie zgodności

CyberCerber dostarcza zewnętrzną ocenę podatności, która jest jednoczesnym dowodem dla:

RODO art. 32 (“regularne testowanie skuteczności środków technicznych”)
NIS2 art. 21(2)(d) (“oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa”)

Jeden raport CVSS spełnia oba wymogi. CyberAudyt z ręczną weryfikacją OWASP Top 10 dostarcza poziomu wymaganego przez większość audytorów NIS2 jako “warstwa techniczna dowodu” przy formalnym audycie zgodności w 2028 r.