GDPR × NIS2 — kde sa prekrývajú a kde končí GDPR maturita

Firmy, ktoré za posledných 8 rokov nabehli GDPR (nariadenie EÚ 2016/679), majú prirodzený pocit, že NIS2 (smernica EÚ 2022/2555) je len "ďalšie pravidlo, dá sa preniesť dokumentáciu." Pravda je niekde uprostred: overlap existuje, ale kľúčové povinnosti NIS2 sú technicky hlbšie a mieria na inú vrstvu organizácie.

Tento článok prejde štyri kľúčové oblasti kde GDPR a NIS2 majú spoločný základ — a povie, čo je naozaj zdieľateľné a čo nie.

1. Breach notification — 72h vs. 24h

GDPR (Art. 33–34)

• 72 hodín od zistenia porušenia → notifikácia dozornému orgánu (v SR: ÚOOÚ, v ČR: ÚOOÚ CZ).
• Povinnosť len ak existuje "riziko pre práva a slobody" dotknutých osôb.
• Ak je riziko vysoké, aj notifikácia dotknutým osobám "bez zbytočného odkladu".

NIS2 (Art. 23)

• 24 hodín — early warning NBÚ/NÚKIB (hrubý popis incidentu, indikátory).
• 72 hodín — incident notification (aktualizácia, vplyv, odhad obnovenia).
• 1 mesiac — final report (technické detaily, root cause, mitigácia).
• Povinnosť pre každý significant incident, aj keď nenastala bezpečnosť osobných údajov.

Zdieľateľné

✅ Incident response plan — GDPR ho vyžadoval v rámci Art. 32 "primeraných technických opatrení." Ten istý plán môže byť základ pre NIS2 Art. 21, stačí doplniť:

• Logovanie komunikácie s NBÚ (GDPR logoval komunikáciu s ÚOOÚ)
• 24h ladenie (NIS2 neumožňuje 72h čakanie)
• Klasifikáciu significant vs. non-significant (GDPR ju nevyžadoval)

✅ Kontaktná matica — ak máte definovaného DPO, definujte CISO role s podobnou komunikačnou maticou.

Čo musíte spraviť navyše

❌ Early warning playbook — niektorá osoba musí do 24h napísať prvý draft notifikácie. ❌ Threat intelligence integrácia — GDPR ju nepožadoval, NIS2 ju očakáva (IOC feedy, CERT koordinácia). ❌ Cross-border notifikácia — ak máte prevádzky v multiple EÚ krajinách, musíte notifikovať všetky relevantné NBÚ.

2. Risk assessment — DPIA vs. NIS2 Art. 21

GDPR DPIA

• Fokus: riziko pre dotknuté osoby pri spracovaní osobných údajov.
• Triggery: automatizované rozhodovanie, citlivé údaje, veľký rozsah.

NIS2 Art. 21

• Fokus: riziko pre kontinuitu a integritu ICT systémov.
• Triggery: každý ICT systém v scope (nie len ten, ktorý spracováva osobné údaje).

Zdieľateľné

✅ Metodológia risk analýzy — ak používate napr. ISO 27005 alebo NIST SP 800-30 pre DPIA, použite ju aj pre NIS2.

✅ Register rizík — rozšírte existujúci GDPR RoPA (Record of Processing Activities) o stĺpce:

• Critical function impact (áno/nie)
• RTO / RPO cieľové hodnoty
• Supply chain dependency (vendori, ktorí môžu systém ovplyvniť)

Čo musíte spraviť navyše

❌ Technický scan + penetration test — GDPR ho priamo nevyžadoval. NIS2 áno, minimálne raz ročne. ❌ Mapovanie supply chain — GDPR riešil sub-processors, NIS2 ide hlbšie: subcontractors subcontractorov. ❌ Business impact analysis (BIA) — pre každý CIF proces.

3. Records / documentation — RoPA vs. ISMS

GDPR RoPA (Art. 30)

• Zoznam spracovateľských operácií, účel, právny základ, kategórie dát, príjemcov, retention.
• Forma: Excel alebo DB tabuľka.

NIS2 požaduje ISMS (Information Security Management System)

• Politiky: 10 povinných (risk, incident, BCM, supply chain, access, kryptografia, training, HR, asset, governance).
• Procedúry: krok-po-kroku návody pre 50+ scenárov.
• Records: proof of execution (logy, tickety, penetration test reporty).

Zdieľateľné

✅ Asset inventory — GDPR vyžadoval zoznam spracovateľských prostriedkov. Rozšírte o:

• Business criticality (1–5)
• Data classification (public / internal / confidential / restricted)
• Technical dependencies (aké iné systémy závisia od tohto)

✅ Training log — ak máte GDPR training, rozšírte o kybernetickú bezpečnostnú časť (phishing, MFA, incident reporting).

Čo musíte spraviť navyše

❌ 10 ISMS politík — ak v GDPR svete existovala len jedna "Privacy Policy", v NIS2 potrebujete 10 dokumentov s approval flow a review dátumami. ❌ SoA (Statement of Applicability) — zoznam, ktoré ENISA IR (EÚ) 2024/2690 opatrenia implementujete a prečo.

4. Supply chain — processors vs. ICT third-parties

GDPR (Art. 28)

• Processors musia mať DPA (Data Processing Agreement).
• Sub-processors len s vaším súhlasom.
• Fokus: zmluvné povinnosti, lokalita spracovania (Schrems II).

NIS2 + DORA (Art. 28 DORA)

• Všetci ICT dodávatelia (aj takí, ktorí neurazia osobné údaje!).
• Povinnosť LEI identifikácia, NACE kódy, concentration risk.
• Pravidelný security audit kľúčových vendorov, nie len právny review.

Zdieľateľné

✅ Vendor register — GDPR processors register je 30–50 % NIS2 supply chain registra. Rozšírte o:

• LEI (GLEIF API)
• Critical Important Function flag
• Security score (posledný audit)
• Concentration risk (% závislosti)

Čo musíte spraviť navyše

❌ Supplier security assessment — technický scan vendora, nie len právna kontrola DPA. ❌ Exit strategy — ak vendor padne, ako migrovať do 6 mesiacov? ❌ Continuous monitoring — credit grade delta, sankčné zoznamy, verejné kontrakty.

Zhrnutie — čo viete preniesť a koľko je nová práca

Realita: ak máte zrelý GDPR program, ~30 % NIS2 dokumentácie preskočíte. Zvyšných 70 % je technická + procesná práca, ktorú GDPR nepokrýva.

Ako to ustrojiť bez zbytočnej duplicity

1. Rozšírte existujúce GDPR artefakty (RoPA → asset inventory, DPA zoznam → vendor register, incident playbook → cyber-inclusive).
2. Oddeľte dokumenty podľa publicity — GDPR artefakty sú často dostupné verejnosti (privacy policy), NIS2 politiky sú interné.
3. Zmapujte overlap v nástrojoch — dobrá compliance platforma (napr. NISMap) spravuje oba režimy v jednej DB s krížovými odkazmi na články zákona.
4. Training — zvážte jeden blended kurz kombinujúci GDPR + NIS2 základy (ušetrí ~40 % času).

Spustiť overlap matrix na NISMap →

Orientačný výklad. Pre záväzné posúdenie kontaktujte ÚOOÚ (GDPR) a NBÚ/NÚKIB (NIS2).