Prawo6 min czytania

KSC a RODO — czym się różnią?

Różne cele regulacji

KSC i RODO to dwa odrębne reżimy prawne, które chronią różne wartości. Ustawa o krajowym systemie cyberbezpieczeństwa (KSC) ma na celu zapewnienie bezpieczeństwa systemów informacyjnych — ich poufności, integralności, dostępności i autentyczności. RODO (rozporządzenie 2016/679) chroni natomiast dane osobowe osób fizycznych i ich prawa do prywatności. Mimo różnych celów, oba akty prawne nakładają obowiązki z zakresu bezpieczeństwa informacji, co prowadzi do częściowego nakładania się wymagań. Warto też poznać relację KSC z rozporządzeniem DORA w sektorze finansowym.

KSC odpowiada na pytanie: czy Twoje systemy informatyczne są bezpieczne? RODO odpowiada na pytanie: czy dane osobowe, które przetwarzasz, są chronione? Organizacja może mieć bezpieczne systemy, ale naruszać RODO (np. przetwarzając dane bez podstawy prawnej). I odwrotnie — może być zgodna z RODO, ale nie spełniać wymogów KSC (np. brak raportowania incydentów do CSIRT).

Gdzie się pokrywają

Obszarem, w którym KSC i RODO najwyraźniej się pokrywają, są incydenty bezpieczeństwa dotyczące danych osobowych. Jeżeli incydent poważny w rozumieniu KSC prowadzi jednocześnie do naruszenia ochrony danych osobowych w rozumieniu art. 33 RODO — podmiot musi dokonać zgłoszenia zarówno do właściwego CSIRT (na gruncie KSC), jak i do Prezesa Urzędu Ochrony Danych Osobowych (na gruncie RODO).

  • Atak ransomware szyfrujący bazę danych klientów — incydent poważny KSC (zakłócenie usługi) + naruszenie RODO (utrata dostępności danych osobowych)
  • Wyciek danych osobowych przez podatność systemu — incydent KSC (naruszenie poufności systemu) + naruszenie RODO (nieuprawniony dostęp do danych)
  • Atak DDoS bez dostępu do danych — incydent KSC (zakłócenie dostępności usługi), ale niekoniecznie naruszenie RODO (jeśli dane osobowe nie były zagrożone)
  • Przetwarzanie danych bez zgody — naruszenie RODO, ale nie incydent KSC (brak zdarzenia cyberbezpieczeństwa)
Terminy zgłaszania są różne: KSC wymaga wczesnego ostrzeżenia w 24h i zgłoszenia w 72h od wykrycia incydentu poważnego. RODO wymaga zgłoszenia naruszenia do PUODO w 72h od jego stwierdzenia. Oba terminy biegną niezależnie i oba muszą być dotrzymane.

Porównanie KSC i RODO

Poniższa tabela przedstawia kluczowe różnice między KSC a RODO w najważniejszych wymiarach regulacyjnych. Szczegółowy opis sankcji KSC znajdziesz w artykule o karach w KSC.

AspektKSCRODO
CelBezpieczeństwo systemów informacyjnychOchrona danych osobowych osób fizycznych
Podstawa prawna UEDyrektywa NIS 2 (2022/2555)Rozporządzenie 2016/679 (GDPR)
Kogo dotyczyPodmioty kluczowe i ważne (wg sektora i wielkości)Każdy administrator i podmiot przetwarzający dane osobowe
Co chroniSystemy informacyjne (IT/OT)Dane osobowe osób fizycznych
Organ nadzoruOrgan właściwy ds. cyberbezpieczeństwa (minister sektorowy)Prezes Urzędu Ochrony Danych Osobowych (PUODO)
Zgłaszanie incydentówDo CSIRT (24h ostrzeżenie, 72h zgłoszenie)Do PUODO (72h od stwierdzenia naruszenia)
Kary — podmioty kluczowe / duzi administratorzyDo 10 mln EUR lub 2% rocznych przychodów z działalności gospodarczej (art. 73 ust. 3 KSC)Do 20 mln EUR lub 4% rocznego światowego obrotu (art. 83 ust. 5 RODO)
Kary — podmioty ważne / mniejsi administratorzyDo 7 mln EUR lub 1,4% rocznych przychodów z działalności gospodarczej (art. 73 ust. 4 KSC)Do 10 mln EUR lub 2% rocznego światowego obrotu (art. 83 ust. 4 RODO)
AudytPK: co 3 lata (art. 15 ust. 1); PW: na żądanie organu (art. 15 ust. 1b)Brak obowiązkowego audytu, ale zalecane DPIA
RejestracjaWykaz podmiotów kluczowych i ważnych (S46)Rejestr czynności przetwarzania (wewnętrzny)

Czy SZBI = zgodność z RODO?

Wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) wymaganego przez KSC nie oznacza automatycznej zgodności z RODO. SZBI koncentruje się na bezpieczeństwie systemów informacyjnych wykorzystywanych do świadczenia usług, podczas gdy RODO wymaga ochrony danych osobowych we wszystkich procesach przetwarzania — nie tylko tych związanych z usługami objętymi KSC. Jeśli nie wiesz jeszcze, czy Twoja organizacja podlega pod KSC, sprawdź nasz poradnik samoidentyfikacji.

  • SZBI (KSC) obejmuje systemy wykorzystywane do świadczenia usług — RODO obejmuje wszystkie procesy przetwarzania danych osobowych, w tym HR, marketing, monitoring
  • SZBI nie wymaga podstawy prawnej przetwarzania, realizacji praw osób, których dane dotyczą (dostęp, usunięcie, przenoszenie) ani oceny skutków (DPIA)
  • RODO nie wymaga raportowania incydentów do CSIRT, audytu bezpieczeństwa co 3 lata ani rejestracji w wykazie podmiotów
  • Wdrożenie ISO 27001 może pokrywać część wymagań obu regulacji, ale nie zapewnia pełnej zgodności z żadną z nich

Jak zharmonizować oba systemy

Organizacje podlegające zarówno KSC, jak i RODO powinny dążyć do zharmonizowania obu systemów zarządzania, aby uniknąć duplikowania wysiłków i zapewnić spójność procesów. Poniższe kroki pomagają zbudować zintegrowane podejście.

  1. Połącz szacowanie ryzyka KSC z oceną skutków dla ochrony danych (DPIA) — jedno badanie, dwa wyniki.
  2. Ujednolić procedury reagowania na incydenty: jeden proces wykrywania, dwie ścieżki zgłaszania (CSIRT + PUODO).
  3. Zintegruj polityki bezpieczeństwa — dokumentacja SZBI może zawierać sekcje dotyczące ochrony danych osobowych.
  4. Wyznacz jedną osobę lub zespół odpowiedzialny za koordynację zgodności z KSC i RODO (IOD i osoba kontaktowa KSC powinni ściśle współpracować).
  5. Uwzględnij wymogi RODO w zarządzaniu łańcuchem dostaw — umowy powierzenia przetwarzania (art. 28 RODO) obok oceny bezpieczeństwa dostawców (KSC).
  6. Prowadź wspólne szkolenia personelu z zakresu cyberbezpieczeństwa i ochrony danych osobowych.
Dane o karalności personelu SZBI (art. 8f KSC) stanowią dane dotyczące wyroków skazujących i czynów zabronionych w rozumieniu art. 10 RODO. Przechowywanie zaświadczeń z KRK musi być zgodne z zasadami RODO — to praktyczny przykład punktu styku obu regulacji.
FAQ2 pytania

Najczęstsze pytania

Czym różni się KSC od RODO?
RODO chroni dane osobowe, a KSC zabezpiecza systemy informacyjne i ciągłość usług kluczowych. RODO dotyczy wszystkich podmiotów przetwarzających dane osobowe, KSC tylko podmiotów z wyznaczonych sektorów. Obie regulacje mogą obowiązywać jednocześnie.
Czy wdrożenie RODO zwalnia z obowiązków KSC?
Nie. KSC i RODO to odrębne regulacje z różnymi wymaganiami. Wdrożenie RODO nie zastępuje obowiązku wdrożenia SZBI, rejestracji w wykazie podmiotów czy raportowania incydentów wymaganych przez KSC.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.