Mnoho firem řeší GDPR a kybernetickou bezpečnost jako dvě zcela oddělené agendy: GDPR jako právní záležitost, bezpečnost jako IT záležitost. Tento přístup je neefektivní a ve skutečnosti kontraproduktivní. GDPR a kybernetická bezpečnost sdílejí společný základ — ochranu dat — a velká část technických opatření splňuje požadavky obou regulací zároveň.
Správně nastavená spolupráce DPO (pověřenec pro ochranu osobních údajů) a CISO (ředitel informační bezpečnosti) může firmě dramaticky snížit duplicitní práci a zároveň zvýšit celkovou úroveň ochrany dat.
GDPR článek 32: Technická a organizační opatření
Klíčovým ustanovením GDPR z pohledu kybernetické bezpečnosti je článek 32 — Zabezpečení zpracování. Správce i zpracovatel jsou povinni „provést vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku."
Článek 32 výslovně zmiňuje jako příklady vhodných opatření:
- Pseudonymizaci a šifrování osobních údajů
- Trvalou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování
- Schopnost obnovit dostupnost a přístup k osobním údajům včas (zálohy, DRP)
- Pravidelné testování, posuzování a hodnocení účinnosti přijatých opatření
Tato formulace je záměrně technologicky neutrální — GDPR neurčuje konkrétní nástroje, ale principy. Zároveň je to výzva: bez kybernetické bezpečnosti článek 32 splnit nelze. Firewall, šifrování disků, správa přístupu, zálohy, penetrační testování — to vše jsou GDPR opatření i bezpečnostní opatření zároveň.
Princip přiměřenosti a risk-based přístup
Důležité je, že GDPR nevyžaduje absolutní bezpečnost — vyžaduje bezpečnost přiměřenou riziku. To zahrnuje zohlednění: stavu techniky, nákladů na implementaci, povahy a rozsahu zpracování, pravděpodobnosti a závažnosti rizik pro práva subjektů údajů. Stejný risk-based přístup aplikuje NIS2. Firmy, které provádějí formální analýzu rizik pro GDPR, mohou tutéž metodiku (s drobnými úpravami) použít pro NIS2 compliance.
NIS2 vs GDPR: Kde se liší a kde se doplňují
NIS2 směrnice a GDPR jsou dvě odlišné regulace s různými cíli — ale sdílejí překrývající se oblast a mohou se vzájemně posilovat.
GDPR chrání práva fyzických osob v souvislosti se zpracováním jejich osobních údajů. Platí pro prakticky všechny organizace zpracovávající osobní údaje osob v EU. Sankce až 20 milionů EUR nebo 4 % celosvětového ročního obratu.
NIS2 chrání bezpečnost sítí a informačních systémů v kritických a důležitých odvětvích. Platí pro specifické kategorie subjektů (definované zákonem). Sankce až 10 milionů EUR nebo 2 % celosvětového obratu pro základní subjekty.
Klíčové průniky obou regulací
- Řízení rizik — obě regulace vyžadují systematický risk management
- Technická opatření — šifrování, řízení přístupu, patch management přispívají k souladu s oběma
- Dodavatelský řetězec — GDPR: smlouvy se zpracovateli; NIS2: bezpečnost dodavatelů kritických služeb
- Hlášení incidentů — obě regulace ukládají povinnost hlásit incidenty (různým orgánům, různé lhůty)
- Dokumentace a audit — obě vyžadují průkaznou dokumentaci opatření
Organizace, která buduje bezpečnostní program správně od základu, může jednou sadou technických opatření a jednou sadou procesů pokrýt podstatnou část požadavků obou regulací.
Data breach notification: Lhůta 72 hodin a co to znamená v praxi
Jednou z nejdiskutovanějších povinností GDPR je povinnost hlásit porušení zabezpečení osobních údajů (data breach). Článek 33 stanoví: správce je povinen oznámit porušení dozorovému úřadu (v ČR Úřad pro ochranu osobních údajů — ÚOOÚ) bez zbytečného odkladu, nejpozději do 72 hodin od okamžiku, kdy se o porušení dozví — pokud je pravděpodobné, že porušení bude mít za následek riziko pro práva a svobody fyzických osob.
72 hodin je extrémně krátká lhůta, zvláště pokud organizace nemá připravený Incident Response plán. V praxi to znamená:
- Útok nebo únik musí být rychle detekován — bez monitoringu a SIEM/SOC to trvá průměrně 197 dní (IBM Cost of Data Breach Report)
- Musí existovat interní eskalační postup — kdo dostane informaci, kdo rozhoduje, kdo hlásí
- DPO musí být okamžitě informován a musí posoudit, zda se povinnost hlášení vztahuje na daný incident
- Musí být připravena šablona oznámení pro ÚOOÚ — formulář s požadovanými informacemi
- Pokud incident zasahuje i subjekty NIS2, souběžně se hlásí NÚKIB (s různými lhůtami a formátem)
Pokud je riziko pro fyzické osoby vysoké, platí navíc povinnost informovat přímo dotčené subjekty údajů (článek 34 GDPR) — bez zbytečného odkladu.
Jak se na data breach připravit
Příprava zahrnuje: definovaný Incident Response plán s jasnou odpovědností, pravidelná cvičení (tabletop exercises), připravené šablony pro hlášení ÚOOÚ a komunikaci se subjekty, zaznamenávání všech incidentů včetně těch, které se nemusí hlásit (interní evidence).
Spolupráce DPO a CISO: Jak ji nastavit efektivně
DPO (Data Protection Officer) a CISO jsou různé role s různým zaměřením, ale jejich práce se přirozeně překrývá v oblasti ochrany dat. Bez spolupráce vzniká duplicita nebo naopak slepá místa.
Pseudonymizace a šifrování jako průnik obou agend
Šifrování dat v klidu a při přenosu je technické bezpečnostní opatření, které zároveň snižuje riziko pro GDPR. Pokud jsou ukradená data šifrována a útočník nemá klíč, riziko pro subjekty údajů je minimální — a hlášení data breach nemusí být povinné. Šifrování je tedy investice se dvojí hodnotou.
Pseudonymizace (nahrazení identifikátorů pseudonymy) snižuje riziko i regulatorní zátěž: pseudonymizovaná data jsou stále osobními údaji pod GDPR, ale s nižším rizikovým profilem. Jejich únik má menší dopad.
Nastavit účinnou spolupráci mezi GDPR compliance a kybernetickou bezpečností tak, aby firma plnila obě regulace efektivně a bez zbytečné duplicity, je přesně to, v čem SecureOn.cz pomáhá — ať už jako CISOaaS, při přípravě na audit, nebo při nastavení Incident Response procesů.